株式会社TwoFiveは5月18日、なりすましメール対策実態調査の最新結果を発表した。
同調査は2023年1月から5月に、日経225企業が管理・運用する5,261ドメインに加え、教育機関として大学1,114校(国立:86校 / 1,691ドメイン、公立大学:99校/ 321ドメイン、私立大学:625校 / 1,393ドメイン、短期大学:304校 / 655ドメイン)が管理・運用する4,060ドメイン、TwoFiveが利用・流通を確認したBIMI対応メールドメイン 3,724ドメインを対象に実施している。
日経225企業は2023年5月時点で、全225社のうち約6割にあたる140社(62.2%)が少なくとも1つのドメインでDMARCを導入し、調査を開始した2022年2月から27.1%、昨年同月比で12.4%増加している。
140社が運用するDMARC 導入済み971ドメインの内、強制力のあるポリシーである quarantine(隔離)、reject(拒否)に設定しているのは全体の31.7%で、none設定によるモニタリング段階が大半で、1年前の33.5%から全体比率は増えていない。
大学でのDMARC導入率は9.4%にとどまり、日経225企業の結果と比較すると非常に低く、なりすましメール対策が進んでいないと指摘している。DMARC 導入ドメインのうち、86.6%はポリシーがnone で、強制力のあるポリシー(quarantine、reject)への切り替えも今後の課題としている。
BIMI の対応について、2023年4月現在で3,724ドメインがDNS上にBIMIレコードを設定していたが、ロゴの所有証明のために必要となるVMCを設定しているのは865ドメイン(23.2%)にとどまった。
VMCを設定している865ドメイン中252ドメイン(29.1%)にも、何らかの設定不備が確認され、最も多いのがVMCに指定されたドメイン名とBIMIレコードのドメイン名が一致しないケース(122ドメイン)で、他にはVMCの有効期限が過ぎたケース(58ドメイン)と、画像情報の不一致(33ドメイン)が確認されている。
株式会社TwoFiveのCTO 加瀬正樹氏は本誌の取材にこたえ「フィッシング詐欺は巧妙化しており、目視によってフィッシングメールを判断することが難しくなっている状況のなかで、(怪しいメールかどうかの)判断を人にゆだねることなく、なりすましメールのリスクを機械的に確実に一定量に減らすことができる点がDMARCの長所のひとつである」とコメントした。
