プルーフポイントでは、2020年から毎年、世界の主要各国におけるDMARC導入率の推移を調査しています。これは各国を代表する主要な株式インデックスに含まれている企業が持つメインドメイン(ホームページに採用しているドメイン)がDMARCに対応しているかどうかを調査しています。メインドメインは攻撃者が「ドメインのなりすまし」として最も使用するため、DMARC対応をおこなう際にはメインドメインから優先して対策を行う必要があります。
日本においては昨年まで、グローバルに事業展開している少数の企業のみがDMARCに対応していました。以前は海外と違って政府からも強く奨励されているわけでもなく、そのためにDMARC自体の知名度が低かったことが影響しているかもしれません。DMARCはメールの送信側と受信側の両方が対応をおこなっている必要がありますが、2022年の10月からGmail、Appleメール、Yahooメールなどの主要なメールプロバイダーが相次いでDMARCの受信側の対応をおこなったことにより、現在は企業側がDMARCに対応すれば、なりすましメールが受信者のメール受信箱に届かない環境ができあがっています。
加速するDMARC導入:
日本は再劣等生の座を脱し、日経225企業の60%がDMARCを導入
今年はいっきに躍進が見られました。昨年度まで日本は調査18か国・地域中最下位で31%に留まっていましたが、今年、日経225企業内でのDMARC導入率は60%となり、ようやく最劣等生の座を脱し15位になりました。
日本において、DMARCの導入が加速したのは、主に以下の業界の流れが影響しています。
- 2023年1月に経産省/総務省/警察庁がクレジットカード会社に対して、DMARC対応を要請。
- 2023年7月に改訂された政府統一基準(政府機関等のサイバーセキュリティ対策のための統一基準群)において、DMARCが要件に含まるように。
- 半導体企業や携帯端末製造会社がサプライチェーンリスク対策として、日本の取引先企業(主に化学、製造、輸送業など)にも早急なDMARC対応を求める。
- 複数の監査法人が監査項目にDMARCを追加
- Google/Yahooが新スパム対策として1日5000通を超えるメールを送信する送信者にDMARC対応を義務付け
これらの業界特有の事情により、多くの日本企業が2022年にDMARC導入に着手しました。
世界に目を向けると、欧米やオーストラリアでは昨年からさらに導入率をのばし、主要企業の70-100%がすでにDMARCを導入しているのに対して、中東およびアフリカで50%台~80%台、日本を含むアジアは30%台~60%と地域によって大きな偏りがあります。
以下のグラフが示す通り、2023年12月における各国企業のDMARC導入率は、デンマークがOMXC25企業のうち100%とトップで、次いでフランスがCAC40企業のうち98%となっており、オランダはAEX企業のうち96%、ドイツはDAX40企業のうち93%、アメリカはFortune1000企業のうち92%といずれも日本の日経225企業(60%)に比べ非常に高い水準でした。
DMARC導入率自体はあがったものの、実効性ではいまだ最下位
確かに日本企業のDMARC導入率は1年前と比べて劇的に前進しました。しかし、安心することはできません。DMARCにはNone(モニタリング)、Quarantine(隔離)、Reject(拒否)の3つのポリシーがあります。最初は配信メールに影響を及ぼさないNone(モニタリング)から始めて、ドメインのなりすましに対して実効性を発揮するQuarantine(隔離)にし、最終的にはReject(拒否)に移行する必要があります。
しかし残念ながら日本においてはQuarantine(隔離)とReject(拒否)に到達しているのは日経225企業の13%にとどまっています。つまり残りの47%の企業はモニタリングのみでDMARC対応に着手した段階であって、まだ詐欺メール対策として実効性を持っているわけではありません。さらに40%の企業はDMARC対策に着手もしておらず、詐欺メール対策の重要性に気づいていない可能性があります。
一方で西欧諸国においては、ほとんどの国の半数以上の企業が実効力のあるQuarantine(隔離)かReject(拒否)に到達していることが分かります。
None(モニタリング)の設定には、15分程度しかかからず、すぐにDMARC対策に着手することができます。しかし、Reject(拒否)に到達するには、自組織が持っているドメインの棚卸からはじめ、それぞれのドメインに対してSPFかDKIMを適用することによって、差出人として表示されるメールアドレス(Header-From)とアライメントをとってDMARC認証をパスさせる必要があります。
しかし、自社のドメインを使ってメールを配信している正規のシステムをすべて把握しないままQuarantine(隔離)やReject(拒否)に移行してしまうと、正規のメールが届かなくなってしまう恐れがあります。そのため、DMARC対策の成功の鍵を握るのは、自組織のドメインを用いているシステムの完全な可視化です。
日本企業は多くのドメインを保有していたり、サブドメインを数多く切っていたりする傾向にあります。そのため、それらひとつひとつを棚卸し、それぞれにSPFやDKIMを適用していくには、時間と手間がかかります。また、サードパーティのSaaSアプリを使っている場合などは、どのようにSPF/DKIMで対策できるのか、できるとすればどう設定すればいいのか、できないとしたらどうワークアラウンドしたらいいのかなど、いくつか設定や運用上のコツと経験が必要になります。そのため、複数のシステムをお持ちの場合は、ドメイン全体の使用状況を可視化できるツールと専門家の知見に頼ったほうがはるかに早くQuarantine(隔離)やReject(拒否)に到達することができるでしょう。
DMARC導入のメリット
DMARC認証を最終的にReject(拒否)ポリシーまで引き上げることにより、ドメインを詐称した詐欺メールを完全に封じ込めることができます。ドメイン詐称とは、攻撃者が自分のドメインを偽って、信頼できる企業や組織のドメインを使ってメールを送信することです。このようなメールは、受信者から見分けがつきにくく、攻撃者からの添付ファイルを開くことによってマルウェア感染したり、開いたリンクの先のページで個人情報やパスワードを入力することで認証情報を窃取されたり、ビジネスメール詐欺などの危険にさらされます。
メールは侵入の最初の段階で使われる攻撃経路として最も多く使われます。フィッシング協議会の2024年1月の月次報告によると、ある調査用メールアドレス宛に 12 月に届いたフィッシングメールのうち、約 50.2 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであることが分かっています。これらの事実から、ドメイン詐称は企業にとって深刻なサイバーセキュリティ脅威であり、サイバーインシデントの最初の侵入口であるメール脅威のうち、半数以上の攻撃をDMARCで阻止できることが分かります。
またDMARC認証を導入することには、詐欺メールの抑止だけでなく、他にも様々なメリットがあります。例えば、以下のようなメリットが挙げられます。
- メールの配信率向上:DMARC認証を導入することで、メールがスパムとして扱われる可能性が低くなり、メールの配信率が向上します。メールマーケティングなどでメールを活用している企業にとっては、メールの効果を高めることができます。
- ブランドイメージの向上:DMARC認証を導入することにより、自組織になりすます詐欺の発生を抑制することができ、さらにサプライチェーン全体を守るためにセキュリティ対策をしっかりと講じている企業としての信頼性を得ることができます。
- 詐欺メールに関する問い合わせ数の減少:詐欺メールに関する問い合わせがなくなり、場合によっては受付業務の70%の業務負荷軽減した企業もあります。
DMARCが通常のセキュリティ対策と異なるのは、自分の組織を守るためだけのセキュリティ対策なのではなく、自分の組織はもちろん、自組織につながる取引先企業や顧客も含めてサプライチェーン全体をサイバー詐欺から守る対策であるところです。日本企業は、サプライチェーンリスク対策の基本としてDMARC認証の重要性に気づき、日本全体を守るためにもDMARC対策を加速する必要があります。
無料のDMARCスタートガイド
- 無料ホワイトペーパー:DMARCスタートガイド
- 無料ウェビナー:DMARC徹底解説!政府統一基準に新たに盛り込まれる詐欺メール対策
- 無料ウェビナー:Google/Yahooのメール要件変更に伴うDMARC対応について解説
すでにDMARC対応に着手されており、アセスメントを希望される方はお問合せフォームよりご連絡ください。DMARC対応支援シェアNo.1のプルーフポイントがお手伝いいたします。