日本プルーフポイント株式会社は1月25日、国内企業と海外企業におけるメール認証の調査結果をもとに安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。
同調査によると、日経225企業の過半数となる69%がDMARC認証を導入しておらず、自組織のドメインになりすます詐欺メールを可視化できていないことが判明した。
またDMARCの実績がある企業で、DMARCのReject(拒否)ポリシーの導入は2%、Quarantine(隔離)ポリシーの導入は4%にとどまり、ポリシー設定により受信箱に届く詐欺メールを積極的に抑止しているのは日経225企業の僅か6%にとどまっていた。
日経225企業におけるDMARC導入率の31%は、デンマーク(OMXC25)の100%、アメリカ(Fortune1000)の88%、フランス(CAC40)の83%、とオーストラリア(ASX200)の77%、イギリス(FTSE250)の74%と比較して大きく下回る結果となった。これは、タイ(SET)の37%、フィリピン(PSE)の32%よりも低く、調査18ヶ国中最も低い数値。
同社のサイバーセキュリティ エバンジェリストの増田幸美氏は本誌の取材に応え、たとえ有効な対策だとわかっていてもガイドラインなどで示されない限り手を出さない日本の組織風土や、セキュリティ対策を行う実務者が攻撃者の視点を持っていないためDMARCの必要性を理解できていないケースも存在するなど、導入の妨げと推定されるいくつかの原因を挙げた。前者はすなわち「新しいことに挑戦して責任を問われるより現状維持で縮小均衡することをよしとする『茹でガエル』的」企業文化であり、後者はつまりDMARC対応をしていることが情報収集や偵察段階で判明することで、なりすましメール等の送信が攻撃対象に筒抜けになるため、サイバー攻撃者は当該組織のターゲット優先度を下げるなどの判断を行う場合があるということで、要はくみしやすいの反対の「セキュリティ対策を怠らない(攻撃者から見て)めんどくさいターゲット」と攻撃者に思われる、ということである。
同社によると、業種によってDMARC導入が義務化されている欧米諸国と比べ、日本では政府からDMARC導入が強く要請されていなかったが、今年になってようやく経済産業省がクレジットカード各社にDMARC導入を求める方針を発表しているという。
また増田氏はプレスリリースで「侵害の94%がメール攻撃からはじまる中で、メール詐欺対策は重要なポーションを占めています。2022年秋に大手個人メールプロバイダーの多くがBIMI/DMARCの導入を完了しています。また、BIMIやDMARCをサプライチェーン全体に導入することで、メール詐欺を容易に検知できる下地が整いました。あとは企業側が対策するだけです。」と述べている。
