なりすましメールを見破りやすくする DMARC は、金融機関をはじめとする民間企業のみならず、地方自治体においても導入が進んでいる。中でも群を抜いて対応率が高いのが北海道、およびその市町村だ。なんと 2024 年には道庁も含めた全 180 団体で DMARC 対応を完了している。
一体どのようにして、これだけの自治体が対応を進めていったのだろうか。JPAAWG 7th General Meeting のセッション「道内自治体における共同化の取り組みと DMARC 導入」において、北海道 総合政策部 次世代社会戦略局 DX 推進課の田嶋直哉氏が、JPAAWG 会長の櫻庭秀次氏とともに説明した。
● JPドメインにおいても 2023 年末から急激に進んだ DMARC 対応
櫻庭氏は一般財団法人インターネット協会(IAjapan)の迷惑メール対策委員長、および客員研究員として共同研究も行っている。その1つが、全 JP ドメインの DMARC 導入状況に関する調査結果で、一部は 2024 年 7 月に公表されている。
「日本レジストリサービス(JPRS)が管理している 170 万以上の JP ドメインを対象に、属性ごとに、SPF レコードと DMARC レコードの有無、DNS の管理状況を調査しました」(櫻庭氏)。なお DKIM については、類推が避けられないデータとなるため調査はしているが公表はしていない。
調査によると、SPF についてはほぼ対応が進んでいるのに対し、2023 年までの DMARC 対応状況は、go.jpドメインを除けば、率直に言うと「ひどいもの」だったそうだ。だが Google の送信者ガイドライン公表をきっかけに流れが変わり、対応率は急上昇し、2024 年 11 月時点でのデータによると平均で 33.3 %にまで増加している。DNS を管理している事業者がデフォルト設定を変更したことで、一気に対応率が上昇するといった動きも見て取ることができた。
「特徴的なことの一つは、地方自治体が使っている lg.jp ドメインです。それまでは非常に低い水準でしたが、2023 年 10 月ごろから急激に伸び、平均と同程度までに上昇しています」(櫻庭氏)。go.jp ドメインはさらに先を行き、対応率は 40 %超に達し、JP ドメインの各属性の中では高いレベルとなっている。
一方で気になるポイントもあるという。「せっかく DMARC レコードを書いているのですが、ポリシーは依然として none が多く 72.6 %を占めています」(櫻庭氏)。属性別に見ると、地域ドメインや汎用 JP ドメイン、go.jp などで少しずつ reject の割合が伸びてはいるものの、「伸び切れていないのが日本の実情だと思います」と櫻庭氏は述べた。
継続的な調査の中では、none よりも reject を設定しているドメインの方が多い時期もあったという。しかし、ドメイン管理を行う事業者がデフォルトで DMARC に対応した際、ポリシーについては none に設定するケースがほとんどだった。このため、DMARC に対応したドメインの総数こそ増えたものの、reject の比率が減ってしまう現象も生じているという。「この reject の割合が増えていけば、なりすましメールを止める役に立つのではないかと思っています」と櫻庭氏は述べた。
また、日本には全部で 1,718 の地方自治体が存在する。地方公共団体情報システム機構(J-LIS)のデータも活用しながらそれら団体が利用するドメインについて調査したところ、やはり SPF は対応比率が高い一方、DMARC は地域によってばらつきがあった。
そしてポリシーについても、他のドメイン同様、まだ quarantine や reject の比率は低く、「今後に向けた改善点の一つではないかと感じています」(櫻庭氏)
そんな中、すべての自治体が SPF と DMARC に対応していたのが北海道だ。
● 各自治体単独では対応しきれない IT 施策を共同推進
では、北海道はどのように対応率 100 %を達成したのだろうか。
その経緯については、北海道は多くの自治体と共に既存の取り組みを活かし共同で DMARC 対応推進を行ったとのことで、会場でこの場限りの共有ということで発表があった。そのため、ここで詳細はお伝えできないが、このような参考となる事例を聞くことができるため、JPAAWG General Meeting ではぜひ現地へ足を運んでほしい。
DMARC を推進していく立場にあるという参加者からは「100 %という結果を聞き、未来が見えたような思いです」という率直な感謝の声も上がっていた。
