主なポイント
- 多くの日本企業がDMARCの強制ポリシーを導入していない
- 日本の規制環境と最近のフィッシング被害
- 日本のドメインではSPFエラーが多発
- DMARCは不正メールの防止と配信成功率の向上に貢献
日本のDMARC導入の現状
日本には技術志向の有力企業が多く、サイバーセキュリティの強化に取り組んでいますが、DMARCの導入率とポリシーの強制は依然として低水準です。フィッシングやメールなりすましが依然として主要な攻撃手段である中、DMARCの導入はブランド信頼性とメール配信成功のために不可欠です。
GoogleとYahooが大量送信者にDMARCを義務化したのに続き、Yahoo Japanも同様の方針を発表しました。
「Yahoo!メールの安全・安心な利用のため、送信ドメイン認証の実装を推奨します。SPF、DKIM、DMARCの認証に失敗したメールは迷惑メール扱いや拒否される可能性があります。Yahoo!オークションやYahoo!ウォレットから送信されるメールには認証を導入し、フィッシング対策を強化します。銀行やクレジットカード会社などにも導入を促し、個人情報の盗難防止に努めます。」
— LINEヤフー
日本の規制とDMARC
- 経済産業省(METI)はクレジットカード会社にDMARC導入を要請(3DセキュアやPCI DSSに関連)
- 半導体メーカーには取引条件としてDMARC導入を要求
- 日本政府機関ではDMARCが義務化され、統一IT基準に準拠
- Google、Yahoo、Apple、Microsoftなどのメールプロバイダーは大量送信者にDMARCを要求
- 警察庁はDMARCを詐欺メール対策の手段とし、p=rejectポリシーの推進を図る
サイバー防衛法とDMARC
2025年5月に成立した「能動的サイバー防衛法(ACD)」では、政府・企業ネットワークのトラフィック監視にDMARCレポートが活用されます。インシデント報告義務(24時間以内)においても、DMARCレポートはフィッシングやなりすましの証拠として有効です。
内閣官房: サイバー安全保障に関する取組 重要電子計算機に対する不正な行為による被害の防止に関する法律およびその整備法
日本におけるフィッシング被害の急増
2025年初頭、日本企業はフィッシング攻撃の集中攻撃を受けました。サイバー犯罪者はフィッシングキットを用いて、日本中の個人や組織を標的とした悪意のあるメールキャンペーンを送信しました。
よくあることですが、犯罪者はAmazon、PayPay、三井住友カードなどの有名日本ブランドになりすましていました。詐欺メールはソーシャルエンジニアリングの戦術を用いて、偽造されたログインページに誘導し、ログイン認証情報や決済カード情報を盗もうとしました。日本の警察は、2025年上半期に過去最高の120万件のフィッシング事件が発生し、オンラインバンキング詐欺による損失は42億2000万円を超えたと報告しています。
日本の上位250社のDMARC導入状況
企業収益に基づいて日本のトップ250企業を調査し、DMARCを評価した結果、以下のことがわかりました。
- 31%:DMARC未設定
- 31%:p=none(監視のみ、強制なし)
- 19%:ベストプラクティス未遵守(ドメインが無防備な状態、または可視性のない状態)
- 9%:p=quarantine(隔離ポリシー)
- 10%:p=reject(完全保護)
このデータから、日本のトップ企業の81%がメール攻撃に利用されることから保護されていないことがわかります。これらの組織の親ドメインにはDMARCレコードがないか、レコードに誤りがあるか、
p=noneのDMARCポリシー(認証に失敗したメールに対して強制力を提供しない監視段階)が反映されています。
企業の10%は p=reject のDMARC強制ポリシーを達成しており完全に保護されています。9%はp=quarantine ポリシーを反映しており、失敗したメールはスパムフォルダに送信されます
GoogleとYahooが一括送信者向けにDMARC要件を導入した後、世界中のドメイン所有者は、基本要件を満たすためにp=noneポリシーを含むDMARCレコードの公開を急ぎました。今日に至るまで、多くの一括送信ドメインは、p=quarantineとp=rejectのDMARC強制ポリシーの利点を理解せずに、 p=noneの監視ポリシーに固執しています。
日本の強制ポリシーの不足を考えると、この「p=noneで十分」という現象が、調査対象となった企業にも当てはまるのではないかと考えざるを得ません。メールエコシステムでは、大手メール企業はいずれ、DMARCポリシーの強制要件を導入することで、メールをより安全にし、スパムを削減し続けるだろうとささやかれています。
DMARC導入における日本の課題
日本のドメイン調査で発見されたエラーを計算したところ、ドメインの33%にSPFレコードが全く存在せず、さらに43%にDMARCレコードの不具合があり、大多数がメール認証に失敗する可能性があることがわかりました。SPFレコードの問題を細かく分類すると、12%にエラー、7%に DNSルックアップ制限超過、5%に無効な構文あることがわかりました。
- 33%:SPF未設定
- 43%:DMARC設定に不備
- 12%:SPFエラーあり
- 7%:SPFのDNSルックアップ制限超過
- 5%:SPF構文エラー
なぜDMARCは重要なのでしょうか?
DMARCのような強力なセキュリティ対策を不正メールに対して導入すると、配信率が向上し、ブランドの信頼が維持され、ドメイン所有者の可視性が高まります。p=quarantineまたは p=rejectの適用ポリシーを持つDMARCレコードを持つ組織は、サードパーティベンダーに対するDMARC要件とともに、より安全なメールプログラムとサプライチェーン運用に貢献します。
日本のお客様は細部にまでこだわり、新しいテクノロジーの導入にも非常に慎重です。これは特にDMARCのようなセキュリティ対策に当てはまり、ミスがあると重要なコミュニケーションを見逃してしまう可能性があります。私たちは、日本の企業が自信を持ってDMARCを導入できるよう支援する、日本データセンター、地域サポート、そして専門家との現地パートナーシップを擁しています。
— dmarcian APACディレクター、Tass Kalfoglou
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
