GMOブランドセキュリティ株式会社は5月18日、国内大学におけるメールセキュリティの実態についての調査結果を発表した。
同調査は、国内大学338校(国立85校、公立93校、私立160校)が保有する「.ac.jp」や「.jp」ドメインを対象に、「SPF」「DMARC」の導入状況について実施した調査結果をまとめたもの。
調査結果によると、SPFとDMARCの両方を有効な設定にした「適切」な状態の割合(適切率)は、わずか4.1%(14校)にとどまり、同社が2026年4月に公表した国内Top50ブランドの適切率4.8%と同水準で、日本の教育機関においてもメールセキュリティ対策の遅れが浮き彫りになった。
DMARC設定大学の過半数(52.7%)が「監視のみ」に留まり、実際に遮断可能な「reject」はわずか1.5%、「quarantine」は2.7%にとどまり、なりすましメールの遮断効果がない状態で、DMARCを導入しながらも実効性のある設定に移行できていない状況が明らかになった。
SPFもDMARCも全く設定されていない「完全無防備」な状態の大学は27校(8.0%)で、これらの大学のドメインは、第三者がそのドメインを詐称してメールを送信することが技術的に容易で、学生・保護者・取引先に対するフィッシング詐欺の踏み台として悪用されるリスクが極めて高い状況となっている。
適切なメールセキュリティの運用が確認された大学は下記の通りとなっている。
・国立
北海道大学
山形大学
東京大学
一橋大学
横浜国立大学
・公立
国際教養大学
横浜市立大学
大阪公立大学
長崎県立大学
・私立
学習院大学
芝浦工業大学
日本大学
玉川大学
同志社女子大学
同社では、SPFの設定率が91.4%と比較的高い一方で、実際に遮断効果を持つDMARC(reject/quarantine)の設定率がわずか4.1%にとどまっていることを挙げ、対策の「形式」と「実効性」の間に大きな乖離が存在することを指摘している。
