日本プルーフポイント株式会社は2月4日、2024年12月に実施した日本を含む主要18ヶ国の大手上場企業におけるメール認証の調査結果をもとに、日本における現状と課題、考察をまとめ発表した。
調査結果によると、日経225企業でDMARC認証を導入している企業は83%で、17%がDMARC未導入であり、83%という数値は1年前の調査に比べ20ポイント増加したが、そのうち推奨される最高レベルの「Reject(拒否)」を導入している企業は、わずか7%にとどまり、主要18ヶ国で最下位となった。日本225企業の17%はDMARC未導入で、メール詐欺やドメインなりすまし攻撃に広くさらされていると分析している。
DMARCの導入実績がある企業で詐欺メールを積極的に抑止することができる Reject ポリシーおよび「Quarantine(隔離)」ポリシーを導入しているのは、日経225社全体の20%にとどまっている。世界における Reject ポリシーの導入率はオランダがAEX企業の76%、スイスがSMI企業の75%とともに70%台で、スペインのIBEX35企業の54%、ドイツのDAX40企業の53%が続いている。
世界の主要企業のDMARC対策状況の調査によると、DMARC認証の導入率は、欧米・オーストラリアでは主要企業の80%台~100%、中東およびアフリカで60%台~90%台、日本を含むアジアは60%台~80%台と、前回より増加があった一方で、Reject ポリシーおよび Quarantine ポリシーの導入率は、欧米・オーストラリアが60%台~90%台であるのに対し、中東およびアフリカは20%台~70%台、日本を含むアジアは20%台~40%台と、ポリシーレベルに大きな差があることが判明した。
日本プルーフポイント サイバーセキュリティ チーフ エバンジェリストの増田幸美氏は「昨年末より日本ではDDoS攻撃がニュースを賑わせていますが、メール経由の攻撃も増えています。プルーフポイントのデータでは、2024年12月は、グローバルでメール経由のサイバー攻撃の量が過去最大となり、前年同月比の3.2倍となりました。メール脅威の中でもドメインの詐称は攻撃者にとって、もっとも費用対効果の高い攻撃で、労せずして人を簡単に騙すことができます。DMARCをRejectにすることによって、その費用対効果が高い攻撃を封じ込めることができます」とコメントしている。
