急増する「なりすまし」メールの受信を防ぐDMARC、配信事業者の導入実態は
巧妙化する迷惑メールへの対策として、2024年からGmailに導入され、総務省も対応を要請するDMARC設定。メール配信事業者の導入実態が明らかになった。
なりすまし監視・削除支援サービスを展開するGMOブランドセキュリティは2025年9月2日、なりすましメールに対する意識と対策状況の調査結果をを発表した。同社は2025年7月24日、577人のメール受信者と531人のメール配信事業者を対象に、なりすましメールに対する意識と対策状況についてインターネットアンケートを実施。メール受信者の高い危機意識に反して、メール配信事業者側では、なりすましなど迷惑メールの対策として有効な送信ドメイン認証技術、DMARC(Domain-based Message Authentication, Reporting & Conformance)などの対策が進んでいない現状が明らかになった。
DMARCの導入、設定の実態
巧妙化する迷惑メールへの対策として、2024年2月にGoogleは「Gmail」の送信ガイドラインを変更した。1日に5000通以上送信するドメインに対し、メールの送信元IPアドレスを認証するSPF(Sender Policy Framework)と、送信元が電子署名し受信元がそれを検証することでなりすましやメール改ざんを検知するDKIM(DomainKeys Identified Mail)に加えてDMARCの設定を必須としている。これらが未設定になっていたり、設定の不備などによって認証が失敗したりした場合、迷惑メール扱いとなり、不特定多数にメールを配信したい企業は目的を達成できないことになる(参考記事)。
2024年以降「Outlook.com」「iCloud」、NTTドコモなど大手メールプロバイダーも同様の措置を行ったこともあり、メール配信事業者はDMARCの導入・設定を進めざるを得ないはずだが、現状はどうなのか。同社がセキュリティ、システム、ネットワーク管理、マーケティングなどの業務でメール配信に関わっている531人に聞いたところ、DMARC導入済みが30.1%、7割が未導入・不明となった。
DMARCはただ導入すればよいわけではない。例えば、認証失敗時のメールの扱いを明示する「ポリシー」というパラメーターがあり、配信事業者は「none」(認証に失敗しても読めるようにする)「quarantine」(認証に失敗したメールを迷惑メールとして隔離する)「reject」(認証失敗メールは拒否する)から選ぶことができる。導入初期段階は、監視やデータ収集のためにnoneが推奨されるが、自社ドメインをなりすましに悪用されないためには、最終的にquarantineやrejectへポリシーを強化するよう推奨されている。本調査でDMARCポリシーの設定について聞いたところ、quarantineやrejectが52.6%、noneや不明が半数近くという実態が浮き彫りになった。
本調査で577人のメール受信者に「不審だ」と感じるメールが多い業界について聞いたところ、銀行・クレジットカード会社、宅配業者、ECサイト、通信会社、公的機関、SNSやWebサービスの順に回答数が多い結果に。フィッシングメール対策協議会の「2025/07 フィッシング報告状況」(8月21日公開)によると、これらの業界はECサイトを除いて報告件数が増えており、受信者の危機感と一致している傾向にあるという。
フィッシングメールの急増に伴い、総務省は2025年9月1日「フィッシングメール対策の強化について(要請)」を公開し、配信事業者にDMARCの導入やDMARCポリシーの設定強化などを要請している(参考記事)。なりすましやフィッシングメールに不審感を抱く受信者から信頼を得て、メールというチャネルの価値を高めたい企業はメールサーバの適切な設定、運用が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
貴社で「メールが届かない」問題が起こる理由――メール送信/受信の基礎知識
メールの仕組みや基礎を再確認しながら、確実にメールを届けるために必要な設定や運用のポイントを解説する連載「意外と知らないメールサーバ構築・運用の基本」。初回は、メール送信ニーズがシステム開発で高まる中で起きている「メールが届かない」問題について、メール送信/受信の基礎知識を交じえながら解き明かす。「RPKI」「DNSSEC」「DMARC」のガイドライン策定に込められた思い、内容のポイントとは 作成した有識者らが解説
「RPKI」「DNSSEC」「DMARC」といったセキュリティ仕様は、広く認識、普及しているとは言い難い。こうした状況を踏まえ、総務省と複数の通信事業者、そしてJPNICをはじめとする業界団体が連携し、3つの技術それぞれに関して「ガイドライン」を定める取り組みを推進している。2024年11月に開催された「Internet Week 2024」で、ガイドライン策定を推進してきたメンバーが一堂に会し、ガイドラインの狙いとポイントを説明した。私のメールが届かないのは、何かの陰謀ですか?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第45列車は「メールが届かない」です。※このマンガはフィクションです。