日経225企業のDMARC導入率、欧米と比較して大きな開き プルーフポイントが警鐘：セキュリティニュースアラート

日本プルーフポイントは日経225企業が「なりすましメール詐欺」対策で欧米に遅れていると報告した。DMARC認証の国内外企業における利用状況の調査に基づいており、日本企業の安全性対策に重要な課題を示唆している。

[後藤大地，有限会社オングス]

　日本プルーフポイント（以下、プルーフポイント）は2024年1月23日、日経225に名を連ねる企業の「なりすましメール詐欺」対策が欧米諸国と比較して遅れていると指摘した。

　同社は2023年12月に国内企業および海外企業における電子メール認証の調査結果に基づいて電子メールの安全性に関する解析を実施し、日本における現状と課題を分析した。

日経225企業の「なりすましメール詐欺」対策は欧米諸国と比較して遅れていることが判明した（出典：プルーフポイントのWebサイト）

日本のDMARC導入率、海外と比較して大きな開き

　プルーフポイントは今回、日経225企業におけるDMARC（Domain-based Message Authentication, Reporting, and Conformance）の導入率を調査した。DMARCとは、なりすましメールを防止する「SPF」や「DKIM」といった仕組みを使った認証に失敗した場合のポリシーを定義するものだ。企業は設定したDMARCの内容に基づいて自動的になりすましメールの拒否や隔離、モニタリングなどが実施できる。

　DMARCには上から順に「Reject（拒否）」「Quarantine（隔離）」「None（モニタリングのみ）」という3つのレベルがあり、このうち「Reject」または「Quarantine」を導入することで悪質な詐欺メールを抑止できる可能性が高まる。

　プルーフポイントが調査した主要18カ国におけるDMARC導入率（2023年12月）は以下の通りだ。

• デンマーク（OMXC25）：　100％
• フランス（CAC40）：　98％
• オランダ（AEX）：　96％
• スウェーデン（OMXS60）：　93％
• ドイツ（DAX40）：　93％
• 米国（Fortune1000）：　92％
• アラブ首長国連邦（Nasdaq Dubai）：　88％
• サウジアラビア（Tadawul30）：　88％
• アフリカ（SA40）：　88％
• オーストラリア（ASX200）：　87％
• 英国（FTSE350）：　85％
• スイス（SMI）：　85％
• ベルギー（BEL20）：　85％
• スペイン（IBEX35）：　71％
• 日本（日経225）：　60％
• イスラエル（TA-125）：　59％
• タイ（SET）：　44％
• フィリピン（PSE）：　35％

　調査によると、日経225企業におけるDMARCの導入率は60％で、「Reject（拒否）」および「Quarantine（隔離）」を導入しているのは13％だった。これに対して米国は92％、英国は85％、オーストラリアは87％、フランスは98％、デンマークは100％と日本と比較して高い割合でDMARCに対応している。

　プルーフポイントは日経225企業におけるDMARCの分析結果として以下の内容を伝えている。

• 4％は推奨される最高レベルのDMARC認証を適切に行っている
• 96％は推奨される最も厳しいレベルのDMARCを実施していない
• 40％はDMARCを導入していない

　Googleと米Yahooは2024年2月から両社のプラットフォームに電子メールをする際にDMARCをはじめとするスパムメール対策を義務付けることを発表している。日本は依然としてDMARC認証の対応率が低く、対応に時間を要する傾向を示している。

　プルーフポイントは、DMARC認証を導入することでビジネスメール詐欺から自組織を守るだけでなく、取引先企業や顧客を含めたサプライチェーン全体をなりすましメールの脅威から守れるようになると指摘している。