フィッシング対策協議会は9月16日、各ISP、CATV、モバイル事業者、フリーメール事業者における送信ドメイン認証技術の導入・設定状況について集計した結果を発表した。
一般財団法人日本データ通信協会の迷惑メール相談センターでは毎年、各プロバイダ(ISP)、CATV(ケーブルテレビ)、モバイル事業者、フリーメール事業者における送信ドメイン認証実施状況について調査した結果を「送信ドメイン認証実施状況」として公表しており、フィッシング対策協議会 証明書普及促進ワーキンググループでは、「送信ドメイン認証実施状況」の2023年・2024年の調査結果をもとに、SPF/DKIM/DMARC/BIMIの導入率について集計を行った。
送信ドメイン認証実施状況の2024年の全体平均値は下記の通り。
・送信
SPF:99.0%
DKIM:78.5%
DMARC導入:74.4%/reject:3.9%/quarantine:38.8%/none:26.5%
・受信
PCY:49.7%/RPT:32.3%
BIMI:5.6%
証明書普及促進ワーキンググループでは、SPFの導入率は99.0%と高水準となっていること、DKIMの導入率は78.5%、DMARC導入率は74.4%と、着実に普及が進んでいることが示されていると評価している。また2024年2月に、GoogleがGmailのDMARC要件を強化し、その後iCloud、Outlook 、国内の携帯キャリアでも同様に強化したことで、結果的にDMARC導入が増加した可能性があると推測している。
DMARCのポリシー強度ごとの設定状況を見ると、「拒否(reject)」の導入率は前年比で73.7%となっているが、これは2024年のDMARC導入率全体が128.6%と大幅に増加し、導入母数が拡大した結果、「拒否(reject)」の割合が相対的に低下する結果となったからだとし、DMARC導入事業者の多くが「隔離(quarantine)」や「監視のみ(none)」を選択していることが影響していると考察している。
証明書普及促進ワーキンググループでは、DKIMおよびDMARCの導入は増加傾向にあるものの、「拒否(reject)」に設定されていないため、DMARC導入の効果が発揮できていない状況下にあり、フィッシング対策をより効果的に推進するために、ポリシー強度を「拒否(reject)」へ引き上げる取り組みが引き続き求めらるとしている。
なお、迷惑メール対策推進協議会 技術ワーキンググループが公表する「送信ドメイン認証技術 DMARC 導入ガイドライン」では、段階的に「隔離(quarantine)」「拒否(reject)」とポリシー強度を上げていくことを推奨している。
