日本プルーフポイント株式会社は1月23日、国内企業と海外企業におけるメール認証の調査結果をもとに安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。
同調査によると、日経225企業のうちDMARC認証を導入している企業は60%と前回調査の31%から倍増しているが、40%がDMARC認証を導入しておらず、メール詐欺やドメインなりすまし攻撃に広くさらされていることが判明した。
日経225企業におけるDMARC導入率の60%は、デンマーク(OMXC25)の100%、フランス(CAC40)の98%、オランダの(AEX)の96%、スウェーデン(OMX560)の93%、アメリカ(Fortune1000)の92%等と比較して大きく下回り、日本より低い数値であったのはイスラエル(TA-125)の59%、タイ(SET)の44%、フィリピン(PSE)の35%だけであった。
またDMARCの実績がある企業で、DMARCのReject(拒否)ポリシーの導入は4%、Quarantine(隔離)ポリシーの導入は9%にとどまり、ポリシー設定により受信箱に届く詐欺メールを積極的に抑止しているのは日経225企業の13%にとどまり、トップのデンマーク(OMXC25)とオランダの(AEX)の88%から大きく引き離され、タイ(SET)とフィリピン(PSE)の25%よりも低く、調査国中最低であった。
同社のサイバーセキュリティ チーフ エバンジェリストの増田幸美氏は「日本企業は比較的多くのドメインやサブドメインを保有しているため、ドメインの棚卸しとそれぞれへのDMARC対応に労力と時間を要する傾向にあります。DMARCを実装するにはSPFかDKIMを実装する必要がありますが、SPFのDNS参照回数の制限にひっかかったり、DKIMに対応していないメール送信システムが多いなど、実効性のある「Reject(拒否)」や「Quarantine(隔離)」モードに移行するには、多くの課題が残っています。専門家の知見を活用すれば、これらの課題を早期にクリアしていくことが可能となります。」とコメントしている。
