サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は、2024年12月に実施した日本を含む主要18か国の大手上場企業におけるEメール認証の調査結果をもとに、Eメールの安全性に関して分析をおこない、日本における現状と課題、考察をまとめました。

概要

Eメールは、攻撃者が世界中の企業を攻撃する際に、最も多く利用する経路です。プルーフポイントは、企業におけるDMARC認証の導入率を調査しました。DMARC（Domain-based Message Authentication, Reporting and Conformance）認証は詐欺メールの手法である「ドメインのなりすまし」の対策に有効なもので、なりすまされた側の企業が設定した内容に基づいて、自動でなりすましメールを拒否、隔離、あるいはモニタリングのみを行うことができます。DMARCポリシーには３つのレベルがあり、ポリシーが厳しいレベル順に「Reject(拒否)」「Quarantine(隔離)」「None（モニタリングのみ）」となっています。このうち「Reject(拒否)」および「Quarantine(隔離)」を導入することで、従業員、取引先企業および顧客の受信箱に届く前に、自社になりすました詐欺メールを積極的に抑止することができます。

プルーフポイントが2024年12月に行った調査によると、日経225企業のうちDMARC認証を導入している企業は83％と、1年前の調査に比べて２０ポイント増加しましたが、そのうち、推奨される最高レベルのDMARC認証（Reject）を導入している企業は、わずか7％でした。これは、主要18カ国のうち最下位で、世界的に大きな遅れをとっており、さらなる対策強化が必要なことが分かりました。世界におけるReject (拒否)ポリシーの導入率は、高い順で、オランダがAEX企業のうち76%、スイスがSMI企業のうち75%、と共に70％台で、次にスペインのIBEX35企業のうち54%、ドイツのDAX40企業のうち53%となっています。

調査結果

プルーフポイントでは、日経225企業におけるDMARC認証の対策状況について調査を行いました。その結果、未だ17％がDMARCを導入しておらず、ドメインのなりすまし詐欺対策に着手できていないことが分かりました。また、DMARCの導入実績がある企業のうち、詐欺メールを積極的に抑止することができる、Reject(拒否)ポリシーおよびQuarantine(隔離)ポリシーを導入しているのは、日経225社全体の20%にとどまっています。

世界の主要企業のDMARC対策状況の調査では、DMARC認証の導入率は、欧米・オーストラリアでは主要企業の80%台～100%、中東およびアフリカで60%台～90%台、日本を含むアジアは60%台～80%台と、いずれも前回より増加が見られました。一方で、Reject（拒否）ポリシーおよびQuarantine(隔離)ポリシーの導入率は、欧米・オーストラリアでは60%台～90%台であるのに対し、中東およびアフリカは20%台～70%台、日本を含むアジアは20%台～40%台と、ポリシーレベルに大きな差があることがわかりました。

プルーフポイントによる日経225企業におけるDMARC分析結果は以下の通り：

• 日本225企業の17%はDMARC未導入のため、メール詐欺やドメインなりすまし攻撃に広くさらされている。
• 推奨される最高レベルのDMARC認証（Reject）を行っている日経225企業は、わずか7%にとどまっている。
• 日経225企業のうち、詐欺メールを積極的に抑止することができる、Reject(拒否)ポリシーおよびQuarantine(隔離)ポリシーを導入しているのは、全体の20%にとどまっている。
• 日経225企業の83％は、何らかの形でDMARCを導入しているが、採用されているDMARCポリシーのレベルは以下のように異なる：
  • 7%がDMARC - Reject（拒否：最高レベルの保護）を使用
  • 13％がDMARC - Quarantine（隔離：メッセージが隔離フォルダに移動）を使用
  • 63％がDMARC - None（モニタリングのみ）を使用
• 日経225企業におけるDMARC認証の導入率は、過去４年間で飛躍的に増加しているものの、Reject(拒否)ポリシーおよびQuarantine(隔離)ポリシーの導入増加が今後の対策課題となる。

調査結果に対する考察

DMARCはメールに表示されている送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる唯一の認証技術です。DMARCを導入することにより、ドメイン詐称の詐欺メールを完全に封じ込めることが可能です。

また、メールの規格仕様としてBIMIの使用が始まりました。BIMIを導入することにより、メールの受信リストに企業のロゴマークが表示されます。受信者はロゴを確認することにより、「なりすまし」でない正規の送信元から送信されたメールであることを簡単に判断することができます。BIMIの利用はDMARCの導入が前提となっています。つまりDMARC認証を企業側が導入すれば、消費者は簡単にドメイン詐称を見破ることができます。

Googleおよび米Yahooは、2024年2月から、両社のプラットフォームへメールを送信する際にDMARCをはじめとするスパムメール対策を義務付けると発表しました。これらのセキュリティ要件は、1日に5000件以上のメールを送信する送信者に適用され、他の対策に加えてDMARC認証を導入する必要があり、ガイドラインに従わない場合、GmailやYahooアカウントへのメール配信に大きな影響を与えることになります。

日本プルーフポイント株式会社　サイバーセキュリティ チーフ エバンジェリストの増田 幸美は次のように述べています。「昨年末より日本ではDDoS攻撃がニュースを賑わせていますが、メール経由の攻撃も増えています。プルーフポイントのデータでは、2024年12月は、グローバルでメール経由のサイバー攻撃の量が過去最大となり、前年同月比の3.2倍となりました。メール脅威の中でもドメインの詐称は攻撃者にとって、もっとも費用対効果の高い攻撃で、労力せずして人を簡単に騙すことができます。DMARCをRejectにすることによって、その費用対効果が高い攻撃を封じ込めることができます。その結果、攻撃者はより見破られやすいローテクな攻撃に移行するか、あるいはより高度なアカウント乗っ取りの攻撃に移行せざるを得ず、攻撃実施のコストを増大させることができます。自分の企業をサイバー攻撃から守るためだけでなく、自組織のお客様、取引先、ひいては日本全体がメール脅威への耐性を持てるよう、ぜひDMARC対策を進めていただきたいです」

欧米諸国では、数年前より業種によってDMARC導入を義務化しています。日本では、2023年2月に経済産業省、警察庁、総務省よりクレジットカード各社に対して、DMARC導入の要請を発表しました。また2023年7月に改訂された政府統一基準（政府機関等のサイバーセキュリティ対策のための統一基準群）においてDMARCが要件に含まれました。2024年10月には、金融庁より公表された「金融分野におけるサイバーセキュリティに関するガイドライン」において、第三者による不正行為を阻止するための仕組みとしてメール送信ドメイン認証であるDMARCが推奨されました。

企業がDMARC認証を始めるには、DNSに「None（モニタリングのみ）」のポリシーでDMARCレコードを追加するだけで済みますが、詐欺メールに対して実行力を持たせるには「Reject(拒否)」レベルまで実装する必要があります。「Reject(拒否)」ポリシーでDMARCを運用することにより、攻撃者にとってもっとも効果の高かったドメインをなりすます詐欺メールを完全に封じ込めることができます。

DMARCを導入することにより、ビジネスメール詐欺から自組織を守るだけでなく、取引先企業や顧客を含めたサプライチェーン全体をなりすましメールの脅威から守ることができます。これにより、自組織のブランドを守ることにつながります。

DMARC認証を実施する方法については、以下をご覧ください。

DMARCスタートガイド:
https://www.proofpoint.com/jp/resources/white-papers/getting-started-with-dmarc

Email Fraud Defense: DMARCを用いたなりすましメール対策/類似ドメインの可視化
https://www.proofpoint.com/jp/products/email-protection/email-fraud-defense

DMARCについて

2012年に公開されたDMARCは、インターネット標準のメール認証プロトコルで、既存の標準技術であるSPFおよびDKIMをベースにしており、メールに表示される送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初で唯一の認証技術です。なりすまされた側の企業が、自組織になりすましたメールがどれだけ世に出ているかを可視化できるだけでなく、そのなりすましメールを削除したり、隔離したりするなどの処理を指定することができます。

DMARC認証では、送信者になりすまして送信しているユーザーがいないか、どのメールが認証され、どのメールが認証されなかったか、そしてその理由は何かを確認できます。また、認証されなかったメールの処理方法をメールの受信者に指示します。さらに、自社のドメインになりすましたフィッシング攻撃が従業員やパートナー企業、自社のお客様の受信トレイに到達する前にブロックします。受信者にとっての利点は、正規の送信者と悪意のある送信者を自動で区別することができ、顧客の信頼と従業員の保護を強化することができます。DMARCを導入することによりEメール経由の攻撃から保護され、企業の評価に繋がります。

BIMIについて

BIMI （Brand Indicators for Message Identification） は、ドメインから送信される認証済みメールにブランドのロゴを追加するためのメール標準の技術仕様です。BIMI に対応するメール クライアントの受信トレイでは、DMARC認証をパスしたメールの場合は、送信者のブランドのロゴが表示されます。BIMI では、ブランドのロゴとロゴの所有権がVMC（Verified Mark Certificates）によって検証されるため、受信者は受信トレイに表示されるロゴが正当なものであることを確認できます。

Proofpoint | プルーフポイントについて

Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の85%を含むさまざまな規模の大手企業が、メールやクラウド、ソーシャルメディア、Webにおける最も重要なリスクを軽減する人を中心としたセキュリティおよびコンプライアンスのソリューションとして、プルーフポイントに信頼を寄せています。