サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は、2023年12月に実施した国内企業および海外企業におけるEメール認証の調査結果をもとに、Eメールの安全性に関して分析をおこない、日本における現状と課題、考察をまとめました。

概要

Eメールは、攻撃者が世界中の企業を攻撃する際に、最も多く利用する経路です。プルーフポイントは、企業におけるDMARC認証の導入率を調査しました。DMARC（Domain-based Message Authentication, Reporting and Conformance）認証は詐欺メールの手法である「ドメインのなりすまし」の対策に有効なもので、なりすまされた側の企業が設定した内容に基づいて、自動でなりすましメールを拒否、隔離、あるいはモニタリングのみを行うことができます。DMARCポリシーには３つのレベルがあり、ポリシーが厳しいレベル順に「Reject(拒否)」「Quarantine(隔離)」「None（モニタリングのみ）」となっています。このうち「Reject(拒否)」および「Quarantine(隔離)」を導入することで、従業員、取引先企業および顧客の受信箱に届く前に、自社になりすました詐欺メールを積極的に抑止することができます。

プルーフポイントが2023年12月に行った調査によると、日経225企業のうちDMARC認証を導入している企業は60％で、依然としてDMARCの導入において世界的に遅れをとっていることが分かりました。アメリカのDMARCの導入率は92％、イギリスは85％、オーストラリアは87％、フランスは98％、デンマークは100％となっています。一方、日本では、日経225企業の半数強がDMARCを導入しているに過ぎず、なりすましメール詐欺対策において、世界の主要企業に大きく遅れをとっています。

調査結果

プルーフポイントでは、日経225企業におけるDMARC認証の対策状況について調査を行いました。その結果、60％がDMARC認証を設定しており、40％がドメインのなりすまし詐欺対策に着手できていないことが分かりました。また、DMARCの導入実績がある企業のうち、DMARCのReject(拒否)ポリシーおよびQuarantine(隔離)ポリシーを導入しているのは、日経225社全体の13%にとどまっています。

プルーフポイントはさらに、世界の主要企業のDMARC対策状況との比較を行いました。その結果、欧米やオーストラリアでは主要企業の70%台～100%近くがすでにDMARC認証を導入しているのに対し、中東およびアフリカで50%台～80%台、日本を含むアジアは30%台～60%と地域によって大きな偏りがあることが分かりました。2023年12月における各国企業のDMARC導入率は、デンマークがOMXC25企業のうち100%とトップで、次いでフランスがCAC40企業のうち98%となっており、オランダはAEX企業のうち96%、ドイツはDAX40企業のうち93%、アメリカはFortune1000企業のうち92%といずれも日本に比べ非常に高い水準となっています。

プルーフポイントによる日経225企業におけるDMARC分析結果は以下の通り：

• 日本の主要上場企業の96%は、推奨される最も厳しいレベルのDMARCを実施しておらず、40%はDMARCを導入していないため、メール詐欺やドメインなりすまし攻撃に広くさらされている。
• 日経225企業の4%は、不審なメールをブロックすることで、推奨される最高レベルのDMARC認証を適切に行っている。
• 日経225企業の60％は、何らかの形でDMARCを導入しているが、採用されているDMARCポリシーのレベルは以下のように異なる：
  • 4%がDMARC - Reject（拒否：最高レベルの保護）を使用
  • 9％がDMARC - Quarantine（隔離：メッセージが隔離フォルダに移動）を使用
  • 47％がDMARC - None（モニタリングのみ）を使用

調査結果に対する考察

DMARCはメールに表示されている送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる唯一の認証技術です。DMARCを導入することにより、ドメイン詐称の詐欺メールを完全に封じ込めることが可能です。

また、メールの規格仕様としてBIMIの使用が始まりました。BIMIを導入することにより、メールの受信リストに企業のロゴマークが表示されます。受信者はロゴを確認することにより、「なりすまし」でない正規の送信元から送信されたメールであることを簡単に判断することができます。BIMIの利用はDMARCの導入が前提となっています。つまりDMARC認証を企業側が導入すれば、消費者は簡単にドメイン詐称を見破ることができます。

Googleおよび米Yahooは、2024年2月から、両社のプラットフォームへメールを送信する際にDMARCをはじめとするスパムメール対策を義務付けると発表しました。これらのセキュリティ要件は、1日に5000件以上のメールを送信する送信者に適用され、他の対策に加えてDMARC認証を導入する必要があり、ガイドラインに従わない場合、GmailやYahooアカウントへのメール配信に大きな影響を与えることになります。

日本プルーフポイント株式会社　サイバーセキュリティ チーフ エバンジェリストの増田 幸美は次のように述べています。「2023年に日本政府がDMARCを政府統一基準の要件に加えたことや、一部企業がサプライチェーンリスク対策の基本として取引先企業にDMARC導入を求めたことにより、ガラパゴス化していた日本においてDMARCの導入が急速に進んでいます。昨年は18か国・地域中、日本のDMARC導入率は最下位でしたが、最劣等生の座から脱却することができました。しかし欧米諸国とは異なり、日本企業は比較的多くのドメインやサブドメインを保有しているため、ドメインの棚卸しとそれぞれへのDMARC対応に労力と時間を要する傾向にあります。DMARCを実装するにはSPFかDKIMを実装する必要がありますが、SPFのDNS参照回数の制限にひっかかったり、DKIMに対応していないメール送信システムが多いなど、実効性のある「Reject(拒否)」や「Quarantine（隔離）」モードに移行するには、多くの課題が残っています。専門家の知見を活用すれば、これらの課題を早期にクリアしていくことが可能となります。」

欧米諸国では、数年前より業種によってDMARC導入を義務化しています。日本では、ようやく2023年2月1日に経済産業省、警察庁、総務省よりクレジットカード各社に対して、DMARC導入の要請を発表しました。また日本政府も2023年7月に改訂された政府統一基準（政府機関等のサイバーセキュリティ対策のための統一基準群）においてDMARCが要件に含まれました。

企業がDMARC認証を始めるには、DNSに「None（モニタリングのみ）」のポリシーでDMARCレコードを追加するだけで済みますが、詐欺メールに対して実行力を持たせるには「Reject(拒否)」レベルまで実装する必要があります。「Reject(拒否)」ポリシーでDMARCを運用することにより、攻撃者にとってもっとも効果の高かったドメインをなりすます詐欺メールを完全に封じ込めることができます。

DMARCを導入することにより、ビジネスメール詐欺から自組織を守るだけでなく、取引先企業や顧客を含めたサプライチェーン全体をなりすましメールの脅威から守ることができます。これにより、自組織のブランドを守ることにつながります。

DMARC認証を実施する方法については、以下をご覧ください。

DMARCスタートガイド:
https://www.proofpoint.com/jp/resources/white-papers/getting-started-with-dmarc

mail Fraud Defense: DMARCを用いたなりすましメール対策/類似ドメインの可視化
https://www.proofpoint.com/jp/products/email-protection/email-fraud-defense

DMARCについて
2012年に公開されたDMARCは、インターネット標準のメール認証プロトコルで、既存の標準技術であるSPFおよびDKIMをベースにしており、メールに表示される送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初で唯一の認証技術です。なりすまされた側の企業が、自組織になりすましたメールがどれだけ世に出ているかを可視化できるだけでなく、そのなりすましメールを削除したり、隔離したりするなどの処理を指定することができます。

DMARC認証では、送信者になりすまして送信しているユーザーがいないか、どのメールが認証され、どのメールが認証されなかったか、そしてその理由は何かを確認できます。また、認証されなかったメールの処理方法をメールの受信者に指示します。さらに、自社のドメインになりすましたフィッシング攻撃が従業員やパートナー企業、自社のお客様の受信トレイに到達する前にブロックします。受信者にとっての利点は、正規の送信者と悪意のある送信者を自動で区別することができ、顧客の信頼と従業員の保護を強化することができます。DMARCを導入することによりEメール経由の攻撃から保護され、企業の評価に繋がります。

BIMIについて
BIMI （Brand Indicators for Message Identification） は、ドメインから送信される認証済みメールにブランドのロゴを追加するためのメール標準の技術仕様です。BIMI に対応するメール クライアントの受信トレイでは、DMARC認証をパスしたメールの場合は、送信者のブランドのロゴが表示されます。BIMI では、ブランドのロゴとロゴの所有権がVMC（Verified Mark Certificates）によって検証されるため、受信者は受信トレイに表示されるロゴが正当なものであることを確認できます。

Proofpoint | プルーフポイントについて
Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の85%を含むさまざまな規模の大手企業が、メールやクラウド、ソーシャルメディア、Webにおける最も重要なリスクを軽減する人を中心としたセキュリティおよびコンプライアンスのソリューションとして、プルーフポイントに信頼を寄せています。 詳細は www.proofpoint.com/jp にてご確認ください。