タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針 | ScanNetSecurity
2024.02.28(水)

タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針

 日本プルーフポイント株式会社は1月25日、国内企業と海外企業におけるメール認証の調査結果をもとに安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
世界18か国のDMARC対応状況
世界18か国のDMARC対応状況 全 2 枚 拡大写真

 日本プルーフポイント株式会社は1月25日、国内企業と海外企業におけるメール認証の調査結果をもとに安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。

 同調査によると、日経225企業の過半数となる69%がDMARC認証を導入しておらず、自組織のドメインになりすます詐欺メールを可視化できていないことが判明した。

 またDMARCの実績がある企業で、DMARCのReject(拒否)ポリシーの導入は2%、Quarantine(隔離)ポリシーの導入は4%にとどまり、ポリシー設定により受信箱に届く詐欺メールを積極的に抑止しているのは日経225企業の僅か6%にとどまっていた。

 日経225企業におけるDMARC導入率の31%は、デンマーク(OMXC25)の100%、アメリカ(Fortune1000)の88%、フランス(CAC40)の83%、とオーストラリア(ASX200)の77%、イギリス(FTSE250)の74%と比較して大きく下回る結果となった。これは、タイ(SET)の37%、フィリピン(PSE)の32%よりも低く、調査18ヶ国中最も低い数値。

 同社のサイバーセキュリティ エバンジェリストの増田幸美氏は本誌の取材に応え、たとえ有効な対策だとわかっていてもガイドラインなどで示されない限り手を出さない日本の組織風土や、セキュリティ対策を行う実務者が攻撃者の視点を持っていないためDMARCの必要性を理解できていないケースも存在するなど、導入の妨げと推定されるいくつかの原因を挙げた。前者はすなわち「新しいことに挑戦して責任を問われるより現状維持で縮小均衡することをよしとする『茹でガエル』的」企業文化であり、後者はつまりDMARC対応をしていることが情報収集や偵察段階で判明することで、なりすましメール等の送信が攻撃対象に筒抜けになるため、サイバー攻撃者は当該組織のターゲット優先度を下げるなどの判断を行う場合があるということで、要はくみしやすいの反対の「セキュリティ対策を怠らない(攻撃者から見て)めんどくさいターゲット」と攻撃者に思われる、ということである。

 同社によると、業種によってDMARC導入が義務化されている欧米諸国と比べ、日本では政府からDMARC導入が強く要請されていなかったが、今年になってようやく経済産業省がクレジットカード各社にDMARC導入を求める方針を発表しているという。

 また増田氏はプレスリリースで「侵害の94%がメール攻撃からはじまる中で、メール詐欺対策は重要なポーションを占めています。2022年秋に大手個人メールプロバイダーの多くがBIMI/DMARCの導入を完了しています。また、BIMIやDMARCをサプライチェーン全体に導入することで、メール詐欺を容易に検知できる下地が整いました。あとは企業側が対策するだけです。」と述べている。

《高橋 潤哉》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

    ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

  2. 「UTM 理解していない」半数

    「UTM 理解していない」半数

  3. エレコム製無線 LAN ルータに複数の脆弱性

    エレコム製無線 LAN ルータに複数の脆弱性

  4. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

    「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開PR

  5. ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

    ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

  6. JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

    JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

  7. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

    到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割PR

  8. ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

    ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

  9. LINEヤフー委託先への不正アクセス、社外のサービスシステムについての調査結果を公表

    LINEヤフー委託先への不正アクセス、社外のサービスシステムについての調査結果を公表

  10. 東和エンジニアリングへのランサムウェア攻撃、VPN機器の脆弱性を悪用しブルートフォース攻撃でID・パスワードを不正に取得

    東和エンジニアリングへのランサムウェア攻撃、VPN機器の脆弱性を悪用しブルートフォース攻撃でID・パスワードを不正に取得

ランキングをもっと見る