ニュース & プレスリリース

NEWS & PRESS

プレスリリース

DMARC導⼊実態調査 第2弾を発表
⽇経225企業と、証券コードを持つ⾦融・流通・製造業に拡⼤調査


導⼊企業の約20%はDMARCレポート受け取らず、レポート活⽤・分析が課題
ポリシー設定はメール状況モニタリング段階が約70%、今後のポリシー強化に期待


メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive(本社:東京都中央区、代表取締役 末政 延浩)は、⽇経225企業が管理・運⽤する5,047ドメインについて、今年11⽉の送信ドメイン認証技術DMARC導⼊状況調査の結果を発表しました。前回(2022年2⽉・5⽉調査)に続き第2回となります。


また、⾦融機関、流通関連、製造業にフォーカスして、⼤⼿企業が多い⽇経225に加えて、証券コードを付与されている企業に対象を拡げて、同10⽉のDMARC運⽤・活⽤状況を詳しく調べた結果も発表します。


⽇経225 企業は、全225社の内124社(55.1%)がDMARCを導⼊しており、5⽉と⽐較すると半年で5.3%増加しています。(図1)


⼀⽅、証券コードを付与されている企業も含めて調査対象を拡⼤すると(⾦融:175 組織、流通:705組織、製造:2,188 組織)、DMARC導⼊率は増加しているものの、その⽐率は2.6%〜33.3%であり(図5・7・9)、⼤⼿が多い⽇経225 企業が先⾏していることがわかります。



対象を拡⼤した調査で、DMARC 導⼊後、次の段階として、どのようにポリシー運⽤やDMARCレポートを活⽤されているかに着⽬して⾒てみると、DMARCレポートを受け取る設定(ruaタグ)にしているドメインが80%以上あり、その内、半数程度がDMARCレポート分析を外部に委託しています。DMARCレポートを活⽤できなければ、DMARCのメリットが活かされませんが、⼤量のレポートデータの処理負荷をなくすだけでなく、専⾨的な知識とノウハウにより、DMARCレポートをより効果的に活⽤しようとしているものと考えられます。(図6・8・10)


⼀⽅、⽇経225企業に限った調査では、ruaタグを設定しているドメインは66.0%にとどまっています。これは、DMARC導⼊は先⾏しているものの、DMARCレポートの活⽤の観点では⼗分とはいえず、今後のruaタグの設定率の向上が課題と⾔えます。(図3)



DMARCの認証でなりすましと判定された場合にどう取り扱うかを指⽰するポリシー設定は、none(何もしないで受け取る)、quarantine(隔離)、reject(拒否)の3つがありますが、noneの増加が顕著であるのに対して、強制⼒のあるポリシーであるquarantineやrejectの増加は緩やかです。(図2)


noneに設定すると、DMARCの認証に失敗したメッセージに対して受信サーバーは何もしませんが、受信メールサーバーは認証結果の統計情報をレポートとして送信しますので、⾃社ドメインになりすましている送信者を特定する情報が収集できます。


また、DMARCレポートは、社員による想定しないメールの送信、意図しない経路でのメール送信が発⾒できるなど、メールの使われ⽅を可視化することにも活⽤できます。なりすましメール被害が増加する中、none設定であっても、可視化する意識が⾼まっていることは歓迎するべき状況です。


現時点で、強制⼒のあるポリシー(quarantine、reject)に設定しているのは、全体の約30%ですが(図2・11)、none設定によるモニタリングを経て、今後、強制⼒のあるポリシーに変更してなりすましメールを制御する段階にステップアップしていくことが期待されます。



⽇経225企業の調査

今回の調査結果では、全225社の内124社(55.1%)がDMARCを導⼊。


図1. ⽇経225企業DMARC導⼊状況(n=225)
図1. ⽇経225企業DMARC導⼊状況(n=225)

ドメイン数ベースでも、5,047ドメインの内932ドメインがDMARCを導⼊し、増加基調は続いているが、なりすましと判定された場合にどう取り扱うかを指⽰するDMARC ポリシーについては、none(何もしないで受け取る)の増加が顕著であるのに対して、強制⼒のあるポリシーであるquarantine(隔離)やreject(拒否)の増加は緩やか。


図2. ⽇経225 企業 DMARC 導⼊ドメインのポリシー状況(n=932)
図2. ⽇経225 企業 DMARC 導⼊ドメインのポリシー状況(n=932)

DMARC導⼊はドメイン数ベースでは増加している中で、DMARCレポートを受け取る設定(ruaタグ、rufタグ)は、いずれも未指定が多いため、設定しているドメインの11⽉の割合は減少。


図3. ⽇経225 企業DMARC 集約レポートモニタリング状況(n=932)
図3. ⽇経225企業DMARC集約レポートモニタリング状況(n=932)

図4. ⽇経225企業 DMARC失敗レポートモニタリング状況(n=932)
図4. ⽇経225企業 DMARC失敗レポートモニタリング状況(n=932)



証券コードを付与されている企業の調査(⾦融機関)

調査対象を拡⼤すると、DMARC導⼊率は増加しているものの、⽇経225企業のみの結果(2022年11⽉調査55.1%)と⽐較すると導⼊率は低い。


図5. ⾦融機関のDMARC導⼊状況(2022年2⽉と10⽉の⽐較) 調査対象:175 組織 / 715 ドメイン (銀⾏:85 組織 / 316 ドメイン、証券:40 組織 / 124 ドメイン、保険:14 組織 / 32 ドメイン、その他:36 組織 / 243 ドメイン)
図5. ⾦融機関のDMARC導⼊状況(2022年2⽉と10⽉の⽐較)
調査対象:175 組織 / 715 ドメイン (銀⾏:85 組織 / 316 ドメイン、証券:40 組織 / 124 ドメイン、保険:14 組織 / 32 ドメイン、その他:36 組織 / 243 ドメイン)

⾦融機関全体では、DMARC導⼊ドメインのうち、54%(54ドメイン)がDMARCレポート分析を外部委託している。
⼀⽅、DMARCは導⼊済みであるが、DAMRCレポートを受け取るruaタグを設定していないドメインが13%(13 ドメイン)あり、DMARC 導⼊メリットである、なりすましメールの流通を把握できない状態である。


図6. ⾦融機関のDMARCレポート受取先の設定状況 (2022年10⽉ n=100)
図6. ⾦融機関のDMARCレポート受取先の設定状況 (2022年10⽉ n=100)



証券コードを付与されている企業の調査(流通関連企業)

DMARC導⼊率は増加しているものの、⽇経225企業のみの結果(2022 年11 ⽉調査55.1%)と⽐較すると導⼊率は低い。また、⾦融機関全体(20〜33%)と⽐較すると、概して導⼊⽐率が低く、特に倉庫・運輸関連が低い。


図7. 流通関連企業のDMARC導⼊状況(2022年2⽉と10⽉の⽐較) 調査対象:705 組織 / 3,115ドメイン(倉庫・運輸関連:38組織 / 72ドメイン、卸売業:318組織 / 1,338ドメイン、⼩売業:349 組織 / 1,705ドメイン)
図7. 流通関連企業のDMARC導⼊状況(2022年2⽉と10⽉の⽐較)
調査対象:705 組織 / 3,115ドメイン(倉庫・運輸関連:38組織 / 72ドメイン、卸売業:318組織 / 1,338ドメイン、⼩売業:349 組織 / 1,705ドメイン)

流通関連全体では、DMARC導⼊ドメインのうち、55%(170ドメイン)がDMARCレポート分析を外部委託している。
⼀⽅、DMARCは導⼊済みであるが、DAMRCレポートを受け取るruaタグを設定していないドメインが14.2%(44ドメイン)あり、DMARC導⼊メリットである、意図しない経路でのメール送信や⾃社ドメインのなりすましメールの流通を把握できない状態である。


図8. 流通関連のDMARC レポート受取先の設定状況 (2022 年10 ⽉ n=309)
図8. 流通関連のDMARC レポート受取先の設定状況 (2022 年10 ⽉ n=309)



証券コードを付与されている企業の調査(製造業)

DMARC導⼊率は増加しているものの、⽇経225企業のみの結果(2022年11⽉調査55.1%)と⽐較すると導⼊率は低い。


図9. 製造業のDMARC導⼊状況(2022年2⽉と10⽉の⽐較) 調査対象:1,308 組織 / 6,546 ドメイン(化学・医薬品:291 組織 / 956 ドメイン、機械・機器:616 組織 / 3,799 ドメイン、その他:401 組織 / 1,791 ドメイン)
図9. 製造業のDMARC導⼊状況(2022年2⽉と10⽉の⽐較)
調査対象:1,308 組織 / 6,546 ドメイン(化学・医薬品:291 組織 / 956 ドメイン、機械・機器:616 組織 / 3,799 ドメイン、その他:401 組織 / 1,791 ドメイン)

製造業全体では、DMARC導⼊ドメインのうち、51.9%がDMARCレポート分析を外部委託しており、特に、機械・機器は54%以上(206ドメイン)が外部委託している。

⼀⽅、DMARCは導⼊済みであるが、DAMRCレポートを受け取るruaタグを設定していないドメインが18.2%(128ドメイン)で、3業種の中で最も多く、DMARC導⼊メリットである、意図しない経路でのメール送信や⾃社ドメインのなりすましメールの流通を把握できない状態である。


図10. 製造業のDMARC レポート受取先の設定状況 (2022 年10 ⽉ n=703)
図10. 製造業のDMARC レポート受取先の設定状況 (2022 年10 ⽉ n=703)



証券コードを付与されている⾦融・製造・流通業のDMARCポリシー設定状況

⾦融機関・流通関連・製造業の平均でDMARC の強制⼒のあるポリシー(p=quarantine、reject)の⽐率は29.2%


図11. ⾦融・製造・流通業のDMARCポリシー設定状況 調査対象:2,188 組織 / 10,376 ドメイン
図11. ⾦融・製造・流通業のDMARCポリシー設定状況
調査対象:2,188 組織 / 10,376 ドメイン






第2回DMARC導⼊状況調査結果について


調査時期:2022 年8⽉・10⽉・11⽉


調査対象:⽇経225企業が管理・運⽤する5,047ドメイン
証券コードを付与されている企業が管理運⽤するドメイン(⾦融業715 ドメイン・流通業3,115 ドメイン・製造6,546 ドメイン)


調査⽅法:調査対象ドメインおよびサブドメインのDNSレコードを調査


主な調査結果︓各企業のドメインごとに以下の状況を把握しています。

・DMARC を導⼊しているかどうか
・DMARC のポリシー設定状況「none(何もしないで受け取る)」「quarantine(隔離)」「reject(拒否)」
・DMARC レポート先(rua タグ、ruf タグ)の指定状況


※2022年2⽉・5⽉に実施した⽇経225企業DMARC の導⼊状況調査結果は以下をご参照ください。

https://www.twofive25.com/news/20220519_dmarc_report.html






なりすましメール対策に不可⽋なDMARC


多くのサイバー攻撃の90%以上がメールを介して仕掛けられるとされており、攻撃者にとって、“なりすましメール”が常套⼿段となっていますが、DMARC は、メール送信元のドメインが詐称された偽物でないかどうか、信頼できるかどうかを判断するため、送信者と受信者が連携してなりすましメールに対抗する認証技術です。

DMARC により、⾃社のドメインがなりすまされていないか迅速に把握することができ、また、攻撃者は、なりすましメール送信に利⽤するドメインがDMARC 対応していれば、検知される確率が⾼くなることから、DMARCを導⼊していないドメインを選ぶことになり、DMARC導⼊は、なりすまされるリスクを軽減する抑⽌⼒になります。

⽇本国内のDMARC 導⼊率は、欧⽶と⽐較してまだ低いのが実態ですが、TwoFiveは、DMARCの導⼊、DMARCの効果的な活⽤を⽀援しながら、なりすましメール撲滅に尽⼒してまいります。

※DMARCの仕組みなど詳細、ならびにTwoFiveが提供するクラウド型DMARC分析サービス「DMARC/25 Analyze」の詳細は以下をご参照ください。

https://www.dmarc25.jp/






株式会社TwoFive 社について


株式会社TwoFiveは、⼤⼿ISP、ASP、携帯事業者、⼤⼿企業の⼤規模電⼦メールシステムインフラの構築・サポートで⻑年経験を蓄積した技術者集団により、メールシステムの構築、メールセキュリティ、スレッドインテリジェンスを事業の柱として2014年に設⽴。国内外の優れた製品/ソリューションに技術サービスを組み合わせて提供してきました。
現在は、所属する業界団体や関連サービスの提供ベンダーと協業し、メールシステムだけでなく、多様なメッセージング分野の新しい課題に取り組んでいます。
また、海外ベンダーとの充実したネットワークを活かして、メッセージング分野に限定せず、⽇本のDXを⽀える優れた製品・ソリューションを⽇本市場に紹介しています。東京本社の他、ハノイにベトナム⽀社があり、開発、サポートを⾏っています。

https://www.twofive25.com/






報道関係者お問い合わせ


株式会社TwoFive

担当:渋谷

Email:info@twofive25.com TEL:03-5704-9948


※読者お問い合せ先は以下をご掲載ください。

Email:info@twofive25.com TEL:03-5704-9948



※本プレスリリースのPDF版を以下URLにてご参照いただけます。

https://www.twofive25.com/news/press/pdf/20221110_dmarc_report.pdf



記載されている会社名、製品名は各社の商標です。





Contact & Download

お問い合わせ・資料ダウンロード

サービスについてのご質問、資料ダウンロード、各種お問い合わせはこちら