基本的なメール認証の導入は進むも、なりすましメール対策は不十分

2026年4月14日 -- サイバーセキュリティおよびコンプライアンス分野のリーディングカンパニーであるプルーフポイントは本日、2026年6月11日から7月19日にかけて開催されるFIFAワールドカップ2026の公式スポンサー、サプライヤー、パートナー、サポーターを対象とした調査結果を発表しました。同調査によると、これらのうち3社に1社以上（36％）がドメインのなりすましから自社を守るために必要なメールセキュリティ対策を講じていないことが明らかとなりました。これにより、ファン、顧客、パートナーが、信頼するブランドを装ったメール詐欺の被害にあうリスクが高まります。

サイバー犯罪者は、世界的なスポーツイベントを好機として、スポンサー、航空会社、ホスピタリティブランド、配送サービス、消費者向けブランドなどを装ったソーシャルエンジニアリング詐欺をファンに仕掛けることが常態化しており、類似ドメインやなりすましメールが悪用されています。旅行やチケット購入への関心、プロモーション、グッズ販売が急増する大会開幕前の時期に向けて、詐欺の主要な攻撃経路であるメールを介した脅威に対し、関係する組織全体でセキュリティを強化する必要があります。

プルーフポイントは、なりすましリスクに対する現在の防御態勢を把握するため、ワールドカップスポンサー各社のドメインを対象に、DMARC（Domain-based Message Authentication, Reporting and Conformance）認証の導入状況を分析しました。

メール詐欺に対する第一の防衛線：DMARC

近年、プルーフポイントは、サイバー犯罪者が被害者のネットワークや技術インフラに侵入するのではなく、正規の組織になりすまして標的にアクセスするための多様な手口を用いていることを確認しています。

DMARCは、サイバー犯罪者によるドメイン名の不正利用を防ぐために設計されたメール認証プロトコルであり、メッセージが宛先に届く前に送信者の身元を認証します。DMARCポリシーには３つのレベルがあり、厳格な順に「reject（拒否）」「quarantine（隔離）」「none（モニタリングのみ）」が設定できます。「reject（拒否）」は、不審なメッセージが受信トレイに届くのを防ぐ最も強力な保護レベルです。

主な調査結果：

FIFAワールドカップ2026のスポンサー、パートナー、サプライヤーおよびサポーターに関連するドメインを分析した結果、以下の点が明らかになりました。

• 分析対象の25ドメインのうち、24ドメイン（96%）は、いずれかのDMARCポリシーを設定しており、多くの組織でメールドメインのなりすまし対策の導入を開始。
• 一方、25ドメインのうち16ドメイン（64%）のみが、未認証のなりすましメールの配信を防ぐ最も強力なDMARCポリシーである「reject（拒否）」を適用し、自社ドメイン名を積極的に保護。
• つまり、3分の1以上（36%）は、自社ブランドを装った不正メールを積極的にブロックする対策が未実施。
• 25ドメインのうち8ドメイン（32%）は、DMARCポリシーが「none（モニタリングのみ）」または部分的な適用にとどまり、可視性はあるものの、なりすましメールの受信を防止できていない。

調査方法：

プルーフポイントは、FIFAワールドカップ2026の公式スポンサーにおけるDMARC導入状況を評価するため、FIFA公式ウェブサイトおよびSports Business Journalに掲載されている各組織の主要ドメインを対象に調査を実施しました。FIFAは最高レベルのDMARCポリシーである「reject」を設定しています。

調査実施時期：2026年2月

プルーフポイントのサイバーセキュリティ戦略ディレクター（APJ） ジェニファー・チェン（Jennifer Cheng）は次のように述べています。「FIFAワールドカップのような世界的なスポーツイベントは、サイバー犯罪者が人々の高揚感や切迫感、信頼を大規模に悪用するための格好の機会となります。チケット購入、プロモーション、オンラインサービスの利用が活発なアジア太平洋地域では、ブランドと消費者の双方が、大会前に増加するフィッシングやなりすまし攻撃に警戒する必要があります。特に、AI搭載ツールの進化により、これらの攻撃は実行が容易になる一方で、検知が難しくなっています。多くのブランドがメールセキュリティの強化に取り組み始めていることは前向きな動きですが、依然として多くの企業が不正メッセージに対して脆弱な状態にあります。このリスクを低減するため、企業は不正メールを受信前にブロックする対策の強化と、フィッシングシミュレーションや継続的なトレーニングを通じた従業員の意識向上を進める必要があります」

FIFAワールドカップのファンの皆様は特に大会開幕前の時期に注意を払い、以下の推奨事項にご留意ください：

• チケットは、最高レベルのDMARC認証（reject）を導入しているFIFAの公式サイトから直接購入してください。
• メール、テキストメッセージ、電話には注意し、特に緊急の対応や即時の支払いを促すものには警戒してください。
• メールやテキストメッセージで金融情報やパスワードを共有しないでください。疑わしい場合は、公式チャネルを通じて確認してください。
• アカウントごとに固有のパスワードを使用し、可能な限り多要素認証（MFA）を有効にしてください。

DMARCの詳細については、こちらをご覧ください：https://www.proofpoint.com/jp/threat-reference/dmarc

Proofpoint | プルーフポイントについて

プルーフポイントは、人とAIエージェントを軸としたサイバーセキュリティにおけるグローバルリーダーです。メール、クラウド、コラボレーションツールを通じて人・データ・AIエージェント間の連携を保護します。プルーフポイントは、フォーチュン100企業のうち80社以上、10,000社を超える大企業、そして数百万の中小企業に信頼されるパートナーとして、サイバー脅威の阻止、情報漏えい対策（DLP）、人とAIが協働するワークフロー全体のレジリエンス構築を支援しています。プルーフポイントのコラボレーションおよびデータセキュリティプラットフォームは、あらゆる規模の組織が従業員を保護し能力を高めながら、安全かつ信頼性の高いAI導入を実現します。詳細は www.proofpoint.com/jp にてご確認ください。