急増する「なりすまし」メールの受信を防ぐDMARC、配信事業者の導入実態は

巧妙化する迷惑メールへの対策として、2024年からGmailに導入され、総務省も対応を要請するDMARC設定。メール配信事業者の導入実態が明らかになった。

[＠IT]

　なりすまし監視・削除支援サービスを展開するGMOブランドセキュリティは2025年9月2日、なりすましメールに対する意識と対策状況の調査結果をを発表した。同社は2025年7月24日、577人のメール受信者と531人のメール配信事業者を対象に、なりすましメールに対する意識と対策状況についてインターネットアンケートを実施。メール受信者の高い危機意識に反して、メール配信事業者側では、なりすましなど迷惑メールの対策として有効な送信ドメイン認証技術、DMARC（Domain-based Message Authentication, Reporting & Conformance）などの対策が進んでいない現状が明らかになった。

DMARCの導入、設定の実態

　巧妙化する迷惑メールへの対策として、2024年2月にGoogleは「Gmail」の送信ガイドラインを変更した。1日に5000通以上送信するドメインに対し、メールの送信元IPアドレスを認証するSPF（Sender Policy Framework）と、送信元が電子署名し受信元がそれを検証することでなりすましやメール改ざんを検知するDKIM（DomainKeys Identified Mail）に加えてDMARCの設定を必須としている。これらが未設定になっていたり、設定の不備などによって認証が失敗したりした場合、迷惑メール扱いとなり、不特定多数にメールを配信したい企業は目的を達成できないことになる（参考記事）。

　2024年以降「Outlook.com」「iCloud」、NTTドコモなど大手メールプロバイダーも同様の措置を行ったこともあり、メール配信事業者はDMARCの導入・設定を進めざるを得ないはずだが、現状はどうなのか。同社がセキュリティ、システム、ネットワーク管理、マーケティングなどの業務でメール配信に関わっている531人に聞いたところ、DMARC導入済みが30.1％、7割が未導入・不明となった。

　DMARCはただ導入すればよいわけではない。例えば、認証失敗時のメールの扱いを明示する「ポリシー」というパラメーターがあり、配信事業者は「none」（認証に失敗しても読めるようにする）「quarantine」（認証に失敗したメールを迷惑メールとして隔離する）「reject」（認証失敗メールは拒否する）から選ぶことができる。導入初期段階は、監視やデータ収集のためにnoneが推奨されるが、自社ドメインをなりすましに悪用されないためには、最終的にquarantineやrejectへポリシーを強化するよう推奨されている。本調査でDMARCポリシーの設定について聞いたところ、quarantineやrejectが52.6％、noneや不明が半数近くという実態が浮き彫りになった。

DMARCポリシーはどのレベルで設定されていますか？（提供：GMOブランドセキュリティ）

　本調査で577人のメール受信者に「不審だ」と感じるメールが多い業界について聞いたところ、銀行・クレジットカード会社、宅配業者、ECサイト、通信会社、公的機関、SNSやWebサービスの順に回答数が多い結果に。フィッシングメール対策協議会の「2025/07 フィッシング報告状況」（8月21日公開）によると、これらの業界はECサイトを除いて報告件数が増えており、受信者の危機感と一致している傾向にあるという。

不審だと感じるメールが多い業界はどれですか？（重複回答あり）（提供：GMOブランドセキュリティ）

　フィッシングメールの急増に伴い、総務省は2025年9月1日「フィッシングメール対策の強化について（要請）」を公開し、配信事業者にDMARCの導入やDMARCポリシーの設定強化などを要請している（参考記事）。なりすましやフィッシングメールに不審感を抱く受信者から信頼を得て、メールというチャネルの価値を高めたい企業はメールサーバの適切な設定、運用が求められる。