株式会社TwoFiveは5月19日、日経225企業のDMARC導入についての調査結果を発表した。
DMARCは、メール送信元のドメインが詐称された偽物でないか、信頼できるかを判断するために、送信者と受信者が連携してなりすましメールに対抗する認証技術。同調査は2022年2月及び5月に、日経225企業が管理・運用する5,390ドメインについて「DMARCを導入しているかどうか」「DMARCのポリシー設定状況」「DMARCレポート先(ruaタグ、rufタグ)の指定状況」を調べた。
調査結果によると、2022年5月時点で全225社のうち112社(49.8%)、5,390ドメインのうち656ドメイン(12.1%)がDMARCを導入しており、2月の調査結果と比較すると、約2ヶ月間で33社、190ドメインでDMARCを新規に導入している。調査を行ったTwoFiveによれば「感覚だが、3ヶ月間の変化としては非常に多いと感じる」という。
2月から5月の間にDMARCを新規導入した企業の産業種別の内訳は、技術業界が11社増加、素材業界が7社増加と目立った結果となった。
なりすましと判定された場合の取り扱いを定めるDMARCポリシーについて、これまでは何もしないで受け取る「none」の割合が多い傾向であったが、5月の調査では強制力を持つポリシーである「quarantine」(隔離)や「reject」(拒否)の割合が31.1%から33.5%に増加している。また、DMARCレポートを受け取る設定「ruaタグ」「rufタグ」についても、2月から5月の間に設定率の上昇が確認できた。
株式会社TwoFiveの渋谷 律(しぶたに りつ)氏によれば、同社ではこれまでDMARC分析ツールの提供やコンサルティングを行ってきたが、2022年になり利用企業数や相談件数等が増加したため、国内企業でのDMARC普及状況や対応ドメインの特徴などを改めてこの時期に調査しようと考えたという。今後も定期的な調査結果を公表していく予定。
「調査対象となった5,390ドメインは、日経225銘柄の企業が所有もしくは管理するドメイン全般であり、メールには用いられていないWebサイト用のドメインや、将来のWebサービス開発やサイバースクワッティング等の対策のために取得されているパークドメインも含んでいるが、メールに利用しないドメインについても「p=reject」の指定が可能であるため調査対象に含めた(TwoFive 渋谷氏)」
海外の政府機関などではDMARC対応が強制的に行われている一方、日本では「nisc.go.jp(内閣官房 内閣サイバーセキュリティセンター)」も含め多くの組織でまだまだ対応は進んでいないのが現状であった。今回の民間企業を対象とした調査では明るい兆しが見える結果となった。
