タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針 | ScanNetSecurity
2024.06.20(木)

タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針

 日本プルーフポイント株式会社は1月25日、国内企業と海外企業におけるメール認証の調査結果をもとに安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
世界18か国のDMARC対応状況
世界18か国のDMARC対応状況 全 2 枚 拡大写真

 日本プルーフポイント株式会社は1月25日、国内企業と海外企業におけるメール認証の調査結果をもとに安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。

 同調査によると、日経225企業の過半数となる69%がDMARC認証を導入しておらず、自組織のドメインになりすます詐欺メールを可視化できていないことが判明した。

 またDMARCの実績がある企業で、DMARCのReject(拒否)ポリシーの導入は2%、Quarantine(隔離)ポリシーの導入は4%にとどまり、ポリシー設定により受信箱に届く詐欺メールを積極的に抑止しているのは日経225企業の僅か6%にとどまっていた。

 日経225企業におけるDMARC導入率の31%は、デンマーク(OMXC25)の100%、アメリカ(Fortune1000)の88%、フランス(CAC40)の83%、とオーストラリア(ASX200)の77%、イギリス(FTSE250)の74%と比較して大きく下回る結果となった。これは、タイ(SET)の37%、フィリピン(PSE)の32%よりも低く、調査18ヶ国中最も低い数値。

 同社のサイバーセキュリティ エバンジェリストの増田幸美氏は本誌の取材に応え、たとえ有効な対策だとわかっていてもガイドラインなどで示されない限り手を出さない日本の組織風土や、セキュリティ対策を行う実務者が攻撃者の視点を持っていないためDMARCの必要性を理解できていないケースも存在するなど、導入の妨げと推定されるいくつかの原因を挙げた。前者はすなわち「新しいことに挑戦して責任を問われるより現状維持で縮小均衡することをよしとする『茹でガエル』的」企業文化であり、後者はつまりDMARC対応をしていることが情報収集や偵察段階で判明することで、なりすましメール等の送信が攻撃対象に筒抜けになるため、サイバー攻撃者は当該組織のターゲット優先度を下げるなどの判断を行う場合があるということで、要はくみしやすいの反対の「セキュリティ対策を怠らない(攻撃者から見て)めんどくさいターゲット」と攻撃者に思われる、ということである。

 同社によると、業種によってDMARC導入が義務化されている欧米諸国と比べ、日本では政府からDMARC導入が強く要請されていなかったが、今年になってようやく経済産業省がクレジットカード各社にDMARC導入を求める方針を発表しているという。

 また増田氏はプレスリリースで「侵害の94%がメール攻撃からはじまる中で、メール詐欺対策は重要なポーションを占めています。2022年秋に大手個人メールプロバイダーの多くがBIMI/DMARCの導入を完了しています。また、BIMIやDMARCをサプライチェーン全体に導入することで、メール詐欺を容易に検知できる下地が整いました。あとは企業側が対策するだけです。」と述べている。

《高橋 潤哉》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  5. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  6. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  7. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  8. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  9. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  10. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

ランキングをもっと見る