2021年第2四半期、私たちは報告された資産に基づく世界の上位100行におけるDMARCの採用状況を調査しました。その1年後、DMARCの導入が高度にターゲット化された金融サービス分野でどのように推移しているかを数字で確認しました。
私たちが学んだことはこうだ。
- p=rejectに設定されたDMARCポリシーの28%増加
- p=quarantineに設定されたDMARCポリシーの200%増加
- p=noneに設定されたDMARCポリシーの29%減少
- DMARCポリシーがない企業が18%減少
私たちが観察した傾向は、p=quarantineおよびp=rejectポリシーの成長におけるDMARCコンプライアンスの楽観的な進行を示しています。銀行や金融機関は、DMARCとその基礎となるテクノロジーをドメインベースのコントロールとして使用しています。
- 電子メール詐欺 – DMARCの本来の使用例。DMARCは、ドメインがどのように使用されているかを可視化し、不正な送信者が組織を代表してメールを送信することを防ぎます。
- メールの信頼性 – 組織はメールの信頼性を必要としています。DMARCはメール配信の基盤であり、メール配信の問題を解決するための最初のステップとなることがよくあります。
- コンプライアンス – 各業界、政府、規制により、DMARCの導入がますます求められています。また、多くのサイバーセキュリティ保険会社の要件にもなりつつあります。
これらの管理はこれまで以上に重要である。アンチ・フィッシング・ワーキング・グループ(APWG)は、最新のフィッシング・アクティビティ動向報告書の中で、2021年第1四半期において、”銀行を含む金融セクターに対するフィッシング攻撃が依然として最大の攻撃であり、フィッシング全体の23.6%を占めている “と報告している。
さらに、2022年第1四半期には、APWGは「1,025,968件のフィッシング攻撃を観測した。これはAPWGが観測したフィッシングの中で最悪の四半期であり、四半期合計が100万件を超えたのは初めてのことである。”
ペイメントカード業界DMARCの義務化
Payment Card Industry Security Standards Council(PCI SSC)は、「DMARCの要件は2025年3月31日まではベストプラクティスであり、それ以降は必須となり、PCI DSS評価時に十分に考慮されなければならない」と発表した。
PCI SSC は、グローバルな決済アカウント・データ・セキュリティに重点を置き、教育、認識、関係者による効果的な実装を促進するための標準とサポート・サービスを開発しています。
フィッシング対策を策定する際には、複数のアプローチを組み合わせて検討することが推奨される。例えば、Domain-based Message Authentication, Reporting & Conformance (DMARC)、Sender Policy Framework (SPF)、Domain Keys Identified Mail (DKIM)などのなりすまし防止策を利用することで、フィッシング詐欺師によるドメイン偽装やなりすましを防ぐことができる。
PCI データセキュリティ基準の要件とテスト手順、バージョン 4.0
PCI SSC DMARC 要件が DMARC 導入にどのような影響を及ぼしているのか、2025 年のこの義務化に伴い、金融業界における DMARC 導入について確認します。PCI DSS 要件はカード会員データ環境(CDE)に適用されるため、DMARC は広範囲に影響を及ぼす可能性があります。
- カード会員データおよび/または機密認証データを保存、処理、および送信するシステムコンポー ネント、人、およびプロセス
- カード会員データ(CHD)/機密認証データ(SAD)を保存、処理、または送信しないが、CHD/SAD を保存、処理、または送信するシステムコンポーネントと無制限の接続性を持つシステムコンポーネント
- CDE のセキュリティに影響を与える可能性のあるシステムコンポーネント、人、およびプロセス。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
