ニュース & プレスリリース
NEWS & PRESS
プレスリリース
TwoFive、なりすましメール対策実態調査の最新結果を発表
2026年5月版
日経225企業は概ねDMARC導入済み、一方で80%超のドメインは未保護状態
証券会社は、強制力のあるポリシー設定に積極的で適用率は48.7%
メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive(本社:東京都中央区、代表取締役 末政 延浩)は、なりすましメール対策実態調査の最新結果(2026年5月時点)を発表しました。
今回は、日経225企業が管理・運用する9,301ドメインを対象とする送信ドメイン認証技術DMARCの導入実態を調査しました。さらに、前回に引き続き、2025年上期以降に不正取引の被害が増加した証券会社についても、421ドメインを対象に調査を実施しました。
日経225企業は、213社(94.7%、前年比2.3ポイント増)が少なくとも1つのドメインでDMARCを導入しており、ドメインベース※1では89.1%がDMARCを導入しています。
ポリシー設定については、少なくとも1つのドメインで強制力のあるポリシー(quarantine/隔離またはreject/拒否)を設定した企業は157社(69.8%、前年比16.0ポイント増)で、強制力のあるポリシーに移行する必要性を認識している企業数は着実に増加しています。
一方で、ドメインベースでは、213社が運用するDMARC設定済みの3,627ドメインの内、強制力のあるポリシーに設定しているのは、1,007ドメイン(27.7%、前年比8.6ポイント増)で進展がみられますが、サブドメインも含めた実質のドメイン数※1では18.5%となり、80%以上のドメインがnone設定によるモニタリング段階にとどまり、保護措置(隔離・拒否)が適用されていない状態です。
(※1) サブドメインは、DMARC未設定でも組織ドメインのDMARC設定が継承されるのでDMARC適用済みとみなします。
日本証券業協会会員の企業ドメインを調査した結果、少なくとも1つのドメインでDMARCを導入している企業数は、2025年5月は全体の約71.6%、2025年11月約77.6%。今回は更に約81.0%となり、DMARC導入に対する意識が急速に高まっていることがわかります。
ドメインベースでは、DMARCが適用されるドメイン率(DMARC設定している組織ドメインのポリシーを継承するDMARC未設定のサブドメインを含む)は90.7%(前年比18.3ポイント増)で、日経225企業ドメインの割合(89.1%)と比較しても高い適用率となりました。
ポリシー設定については、DMARC設定している組織ドメインのポリシーを継承するDMARC未設定のサブドメインも含め、強制力のあるポリシー(quarantine / reject)が設定されて保護されているドメインの割合は48.7%です。
各社が被害の深刻さをより強く認識していることや、reject設定を推奨する日本証券協会のガイドライン※2の影響で、日経225企業(18.5%)と比較しても高い水準まで対応が進んでいると考えられます。
(※2) 2025年10月15日付 ガイドライン改正についての日本証券業協会の発表資料
https://www.jsda.or.jp/houdou/2025/20251015fuseiaccess-guideline.pdf
「顧客へ送信する電子メールのドメインを特定してDMARC 等を計画的に導入し、DMARC レポート等の確認等を行った上でポリシーは“reject”にする」という内容が盛り込まれました。
DMARCは、なりすましメールをポリシーに従って隔離・拒否するための技術で、これによってドメインとメール受信者が保護されます。企業は、DMARC導入だけではなく、保護対象ドメイン率を高めるべく強制力のあるポリシーに変更していくことが求められます。
TwoFiveは、DMARCおよびBIMIの導入技術支援、DMARCレポート解析サービス、DMARCレポート作成サービスなどを提供していますが、今後も、DMARCおよびBIMI導入を促進する啓発活動や効果的に運用するためのサポートを推進してまいります。
日経225企業のDMARC導入実態-1
企業数ベースで94.7%(2.3ポイント増)、ドメイン数ベースで89.1%(3.4ポイント増)
日経225企業は、全225社のうち213社(94.7%)が少なくとも1つのドメインでDMARCを導入しており、1年前の2025年5月(92.4%)からは2.3ポイントの増加。大手企業はDMARCの必要性を認識し、ほぼ導入済みと言える状況です。
ちなみに、Googleメール送信ガイドラインの改定発表前である2023年5月と比較すると32.5ポイント増加しています(図1)。
ドメインベースで見ると、全9,301ドメインのうち8,283ドメイン(89.1%)となり、1年前からは3.4ポイント増加しました。
サブドメインは、DMARCが設定されていない場合でも、その組織ドメインにおいてDMARCが導入されていれば、そのポリシーを継承して適用されます。全225社のサブドメイン7,236の内、DMARC未設定ながら組織ドメインのDMARC設定が適用されるドメインは4,656確認でき、これをDMARC設定している組織ドメイン(1,135)とサブドメイン(2,492)と合わせた8,283ドメイン(89.1%)は実質的なDMARC適用率といえます(図2)。
日経225企業のDMARC導入実態-2
強制力のあるポリシー(quarantine、reject)設定は、 企業数ベースで69.8%(16ポイント増)、ドメイン数ベースで18.5%(7.5 ポイント増)
DMARC導入済み213社のうち少なくとも1つのドメインで強制力のあるポリシー(quarantine、reject)に設定しているのは、157社(全体の69.8%)、1年前の53.8%から進展が見られます(図3)。
ドメインベースでは、213社が運用するDMARC設定済みの3,627ドメインの内、強制力のあるポリシーに設定しているのは、1,007ドメイン(27.8%)で、1年前(19.8%)から増加しましたが、実質のドメイン数(DMARC未設定で組織ドメインの設定を継承するサブドメインを含む)にすると18.5%となり、80%以上のドメインがnone設定によりモニタリングされているだけで、強制力のあるポリシーで保護されていないということになります(図4)。
強制力のあるポリシーに移行する必要性を認識している企業数は着実に増加しているものの、適用するドメインの範囲を拡大していく動きがなかなか進まない状況がうかがえます。
日本証券業協会 協会員企業のDMARC導入実態について-1
企業数ベース:DMARC導入への意識が急速に高まり約8割が対応
ドメインベース:適用率90.7%で、日経225を上回る
2025年上期以降、証券会社の口座を乗っ取り不正利用した取引が増加しました。その結果、2025年度には約8,000億円規模の被害が発生したと金融庁が公表しています※3。
実在する証券会社のサイトを装ったフィッシングサイトが原因の一つとされており、日本証券業協会は2025年10月に「インターネット取引における不正アクセス等防止に向けたガイドライン」を改正し、「顧客へ送信する電子メールのドメインを特定してDMARC 等を計画的に導入し、DMARC レポート等の確認等を行った上でポリシーは“reject”にする」という内容が盛り込まれました。
そこで今回も引き続き、日本証券業協会会員の企業ドメイン(対象:200企業、421ドメイン)を調査しました。1年前の2025年5月は、少なくとも1つのドメインでDMARCを導入している企業数は全体の約71.6%でしたが、半年後の2025年11月には12企業増加して全体の約77.6%に。今回は更に6企業増加して約81.0%となりました。証券会社では、メールサービスで利用するドメインのDMARC導入に対する意識が急速に高まっていることがわかります。
DMARCが適用されるドメイン率(DMARC設定している組織ドメインのポリシーを継承するDMARC未設定のサブドメインを含む)は、2025年5月の72.4%から90.7%へと18.3ポイント増加し、日経225企業ドメインの割合(2026年5月、89.1%)と比較しても高い適用率となりました(図5)。
日本証券業協会 協会員企業のDMARC導入実態について-2
強制力のあるポリシー(quarantine、reject)設定で保護されるドメインは、48.7%
日経225の18.5%を大きく上回る
DMARC設定している組織ドメインのポリシーを継承するDMARC未設定のサブドメインも含めて、強制力のあるポリシー(quarantine、reject)が設定されて保護されているドメインの割合は48.7%であり、日経225企業ドメイン(18.5%)と比較しても高い水準まで対応が進んだといえます(図4、図5)。
なお、メールアプリ上に指定されたアイコンを表示することで、メール受信者に対してより安全かつ信頼性の高いメールであることを示すBIMI(ビミ)への対応については、専用の証明書(VMC またはCMC)をDNS上に公開しているドメインが同期間で5ドメインから21ドメインに増加しました。
(※3) 金融庁発表インターネット取引サービスへの不正アクセス・不正取引の発生状況
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing/20260514.pdf
今回発表するなりすましメール対策実態調査について
| 調査時期 | 2026年5月 |
|---|---|
| 調査対象 |
|
| 調査方法 |
|
| 主な調査結果 |
各企業のドメインごとに以下の状況を把握しています。
|
※TwoFiveは、DMARC導入などのなりすましメール対策実態を継続的に調査しています。
過去の調査結果を以下でご覧いただけます。
2022年5月発表:https://www.twofive25.com/news/20220519_dmarc_report.html
2022年11月発表:https://www.twofive25.com/news/20221110_dmarc_report.html
2023年5月発表:https://www.twofive25.com/news/20230518_dmarc_report.html
2023年11月発表:https://www.twofive25.com/news/20231106_dmarc_report.html
2024年5月発表:https://www.twofive25.com/news/20240522_dmarc_report.html
2024年11月発表:https://www.twofive25.com/news/20241111_dmarc_report.html
2025年5月発表:https://www.twofive25.com/news/20250521_dmarc_report.html
2025年11月発表:https://www.twofive25.com/news/20251114_dmarc_report.html
※DMARCの仕組み、TwoFiveが提供するクラウド型DMARC分析サービス「DMARC / 25 Analyze」の詳細は以下をご参照ください。
※BIMIの仕組み、TwoFiveが提供するBIMI 技術サービスの詳細は以下をご参照ください。
https://www.twofive25.com/service/bimi.html
株式会社TwoFive社について
株式会社TwoFiveは、大手ISP、ASP、携帯事業者、大手企業の大規模電子メールシステムインフラの構築・サポートで長年経験を蓄積した技術者集団により、メールシステムの構築、メールセキュリティ、スレッドインテリジェンスを事業の柱として2014年に設立。国内外の優れた製品/ソリューションに技術サービスを組み合わせて提供してきました。現在は、所属する業界団体や関連サービスの提供ベンダーと協業し、メールシステムだけでなく、多様なメッセージング分野の新しい課題に取り組んでいます。また、海外ベンダーとの充実したネットワークを活かして、メッセージング分野に限定せず、日本のDXを支える優れた製品・ソリューションを日本市場に紹介しています。東京本社の他、ハノイにベトナム支社があり、開発、サポートを行っています。
報道関係者お問い合わせ
株式会社TwoFive
担当:渋谷
Email:info@twofive25.com TEL:03-5704-9948
※本プレスリリースのPDF版を以下URLにてご参照いただけます。
https://www.twofive25.com/news/press/pdf/20260521_dmarc_report.pdf
記載されている会社名、製品名は各社の商標です。