株式会社TwoFiveは5月21日、なりすましメール対策実態調査の最新結果(2026年5月時点)を発表した。
同調査では、日経225企業が管理・運用する9,301ドメインと日本証券業協会の協会員企業が管理・運用する421ドメインを対象に、送信ドメイン認証技術DMARCの導入実態について調査している。
日経225企業では、全225社のうち213社(94.7%)が少なくとも1つのドメインでDMARCを導入しており、1年前の2025年5月(92.4%)から2.3ポイントの増加となっている。なお、Googleメール送信ガイドラインの改定発表前である2023年5月と比較すると32.5ポイント増となっている。ドメインベースで見ると、全9,301ドメインのうち8,283ドメイン(89.1%)がDMARCを導入しており、1年前から3.4ポイント増となっている。
DMARC導入済み213社のうち少なくとも1つのドメインで強制力のあるポリシー(quarantine、reject)を設定しているのは157社(全体の69.8%)で、1年前の53.8%から進展が見られた。
ドメインベースで見ると、213社が運用するDMARC設定済みの3,627ドメインの内、強制力のあるポリシーに設定しているのは、1,007ドメイン(27.8%)で、1年前(19.8%)から増加したが、実質のドメイン数(DMARC未設定で組織ドメインの設定を継承するサブドメインを含む)にすると18.5%となり、80%以上のドメインがnone設定でモニタリングされているだけで、強制力のあるポリシーで保護されていない。
日本証券業協会会員の企業ドメイン(200企業、421ドメイン)では、少なくとも1つのドメインでDMARCを導入している企業数は1年前の2025年5月は全体の約71.6%だったが、2025年11月には12企業増加して全体の約77.6%に、2026年5月は更に6企業増加して約81.0%となった。DMARCが適用されるドメイン率(DMARC設定している組織ドメインのポリシーを継承するDMARC未設定のサブドメインを含む)は、2025年5月の72.4%から90.7%へと18.3ポイント増加し、日経225企業ドメインの割合(2026年5月、89.1%)と比較しても高い適用率となっている。
日本証券業協会会員の企業ドメインで、DMARC設定している組織ドメインのポリシーを継承するDMARC未設定のサブドメインも含めて、強制力のあるポリシー(quarantine、reject)が設定されて保護されているドメインの割合は48.7%で、日経225企業ドメイン(18.5%)と比較しても高い水準まで対応が進んだといえる。また、BIMIへの対応については、専用の証明書(VMC またはCMC)をDNS上に公開しているドメインが同期間で5ドメインから21ドメインに増加している。
