TwoFive、日経225企業5,390ドメインの実態調査結果を発表

　調査結果では、全225社の内112社（49.8%）、5,390ドメインの内656ドメイン（12.1%）がDMARCを導入していました。TwoFiveでは、2022年2月にも同様の調査を実施しており、今回の結果と比較すると、約2カ月間で33社、190ドメインでDMARCが新規導入されたことがわかります(図1・2)。

　また、全企業の半数がDMARCに対応している中、ドメイン数でみると対応比率がまだかなり低いことから、複数ドメインを管理・運営する企業は、主にメールで利用するドメインを優先的に対応させており、今後はメールに利用していないドメインについても強制力を持つポリシーに対応したDMARC導入が拡大されていくものと期待されます。

　今回の調査では、2月から5月の間にDMARCを新規導入した企業名を見ると、技術業界（11社増加）、素材業界（7社増加）の対応が目立ちました（図3）。これらの業界では、サイバー攻撃の標的になる確率がさらに高まる中、サプライチェーンにおいて、自社ドメインがなりすまされることにより取引先や顧客に与える被害の甚大さを認識させられるインシデントが発生したことなどから、なりすましメール対策に積極的に取り組むようになったのではないかと考えられます。

　また、なりすましと判定された場合にどう取り扱うかを指示するDMARCポリシーについては、これまではnone（何もしないで受け取る）の割合が多い傾向でありましたが、5月の調査では強制力を持つポリシーであるquarantine（隔離）やreject（拒否）の割合（31.1%から33.5%）が増加しています（図4）。

　加えて、DMARC導入後の運用で重要となるDMARCレポートを受け取る設定（ruaタグ、rufタグ）は任意であるものの、2月から5月の間に設定率の上昇が確認できます(図5・6)。これは、自社ドメインのなりすまし状況を把握するだけではなく、SPFやDKIMに対応していないメール送信を把握する目的で活用し始めたものと捉えることができます。