タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針 | ScanNetSecurity
2024.03.29(金)

タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針

 日本プルーフポイント株式会社は1月25日、国内企業と海外企業におけるメール認証の調査結果をもとに安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
世界18か国のDMARC対応状況
世界18か国のDMARC対応状況 全 2 枚 拡大写真

 日本プルーフポイント株式会社は1月25日、国内企業と海外企業におけるメール認証の調査結果をもとに安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。

 同調査によると、日経225企業の過半数となる69%がDMARC認証を導入しておらず、自組織のドメインになりすます詐欺メールを可視化できていないことが判明した。

 またDMARCの実績がある企業で、DMARCのReject(拒否)ポリシーの導入は2%、Quarantine(隔離)ポリシーの導入は4%にとどまり、ポリシー設定により受信箱に届く詐欺メールを積極的に抑止しているのは日経225企業の僅か6%にとどまっていた。

 日経225企業におけるDMARC導入率の31%は、デンマーク(OMXC25)の100%、アメリカ(Fortune1000)の88%、フランス(CAC40)の83%、とオーストラリア(ASX200)の77%、イギリス(FTSE250)の74%と比較して大きく下回る結果となった。これは、タイ(SET)の37%、フィリピン(PSE)の32%よりも低く、調査18ヶ国中最も低い数値。

 同社のサイバーセキュリティ エバンジェリストの増田幸美氏は本誌の取材に応え、たとえ有効な対策だとわかっていてもガイドラインなどで示されない限り手を出さない日本の組織風土や、セキュリティ対策を行う実務者が攻撃者の視点を持っていないためDMARCの必要性を理解できていないケースも存在するなど、導入の妨げと推定されるいくつかの原因を挙げた。前者はすなわち「新しいことに挑戦して責任を問われるより現状維持で縮小均衡することをよしとする『茹でガエル』的」企業文化であり、後者はつまりDMARC対応をしていることが情報収集や偵察段階で判明することで、なりすましメール等の送信が攻撃対象に筒抜けになるため、サイバー攻撃者は当該組織のターゲット優先度を下げるなどの判断を行う場合があるということで、要はくみしやすいの反対の「セキュリティ対策を怠らない(攻撃者から見て)めんどくさいターゲット」と攻撃者に思われる、ということである。

 同社によると、業種によってDMARC導入が義務化されている欧米諸国と比べ、日本では政府からDMARC導入が強く要請されていなかったが、今年になってようやく経済産業省がクレジットカード各社にDMARC導入を求める方針を発表しているという。

 また増田氏はプレスリリースで「侵害の94%がメール攻撃からはじまる中で、メール詐欺対策は重要なポーションを占めています。2022年秋に大手個人メールプロバイダーの多くがBIMI/DMARCの導入を完了しています。また、BIMIやDMARCをサプライチェーン全体に導入することで、メール詐欺を容易に検知できる下地が整いました。あとは企業側が対策するだけです。」と述べている。

《高橋 潤哉》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る