日本プルーフポイント(以下、プルーフポイント)は、2023年12月に実施した国内企業および海外企業におけるEメール認証の調査結果をもとに、Eメールの安全性に関して分析を行い、日本における現状と課題、考察をまとめた。
プルーフポイントでは、日経225企業におけるDMARC認証の対策状況について調査を実施。その結果、60%がDMARC認証を設定しており、40%がドメインのなりすまし詐欺対策に着手できていないことがわかった。また、DMARCの導入実績がある企業のうち、DMARCのReject(拒否)ポリシーおよびQuarantine(隔離)ポリシーを導入しているのは、日経225社全体の13%にとどまっているという。
同社はさらに、世界における主要企業のDMARC対策状況との比較を行った。その結果、欧米やオーストラリアでは主要企業の70%台~100%近くが既にDMARC認証を導入しているのに対し、中東およびアフリカで50%台~80%台、日本を含むアジアは30%台~60%と地域によって大きな偏りがあることがわかった。
2023年12月における各国企業のDMARC導入率は、デンマークがOMXC25企業のうち100%とトップで、次いでフランスがCAC40企業のうち98%となっており、オランダはAEX企業のうち96%、ドイツはDAX40企業のうち93%、アメリカはFortune1000企業のうち92%といずれも日本に比べ非常に高い水準となっている。
同社による日経225企業におけるDMARC分析結果は以下のとおり。
- 日本の主要上場企業の96%は、推奨される最も厳しいレベルのDMARCを実施しておらず、40%はDMARCを導入していないため、メール詐欺やドメインなりすまし攻撃に広くさらされている
- 日経225企業の4%は、不審なメールをブロックすることで、推奨される最高レベルのDMARC認証を適切に行っている
-
日経225企業の60%は、何らかの形でDMARCを導入しているが、採用されているDMARCポリシーのレベルは以下のように異なる
- 4%がDMARC - Reject(拒否:最高レベルの保護)を使用
- 9%がDMARC - Quarantine(隔離:メッセージが隔離フォルダに移動)を使用
- 47%がDMARC - None(モニタリングのみ)を使用
DMARCはメールに表示されている送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる認証技術。DMARCを導入することにより、ドメイン詐称の詐欺メールを封じ込めることが可能だという。
また、メールの規格仕様としてBIMIの使用が始まった。BIMIを導入することにより、メールの受信リストに企業のロゴマークが表示される。受信者はロゴを確認することにより、「なりすまし」でない正規の送信元から送信されたメールであることを判断できるとのこと。BIMIの利用はDMARCの導入が前提となっており、DMARC認証を企業側が導入すれば、消費者はドメイン詐称を見破ることができるとしている。
Googleおよび米Yahooは、2024年2月から、両社のプラットフォームへメールを送信する際にDMARCをはじめとするスパムメール対策を義務付けると発表。これらのセキュリティ要件は、1日に5,000件以上のメールを送信する送信者に適用され、他の対策に加えてDMARC認証を導入する必要があり、ガイドラインに従わない場合、GmailやYahooアカウントへのメール配信に大きな影響を与えることになるという。
【関連記事】
・日本におけるボードメンバーの79%がAI技術をセキュリティリスクとして認識か──プルーフポイント調査
・プルーフポイント、AIやMLを活用して脅威を阻止する統合ソリューション発表
・攻撃者はスキルやツールを強化──プルーフポイントが「Human Factor 2023」発表
