NEWS HOME ニュース なりすましメール対策の実態調査結果を発表 なりすましメール対策の実態調査結果を発表 2024/05/22 日経225のDMARC導入率91.6%、1年間で29.4ポイント増加 大学ドメインのDMARC導入率は38.4%にとどまる Gmail新ガイドライン6月本格運用直前「ワンクリック購読解除」利用率は77.7% メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive(本社:東京都中央区、代表取締役 末政 延浩)とエンバーポイント株式会社(本社:東京都千代田区、代表取締役社長 神谷 勇樹)は、なりすましメール対策の実態について調査結果を発表しました。TwoFiveによる調査は、国内で流通しているメールのDNSレコードから送信ドメイン認証技術DMARC導入実態を調査し、毎年5月と11月に結果を公開したものの最新版です。今回は、日経225企業が管理・運用する5,873ドメインと、教育機関として大学(国立、公立、私立、短大合わせて1,117校が管理・運用する13,860ドメイン)を対象として調査しました。エンバーポイントによる調査は、メール大量配信システムの市場シェアトップ*の「Mail Publisher」(開発・提供:エンバーポイント)の実ユーザーについて、DMARC導入などのなりすましメール対策実態をまとめたものです。 TwoFiveの調査において、日経225企業は、2024年5月時点で、206社(91.6%)が少なくとも1つのドメインでDMARCを導入し、昨年同月(140社 / 62.2%)と比較すると1年間で29.4ポイント増加しました。Google /米Yahoo!の送信者向け新ガイドライン発表(2023年10月)後の変化を見るために2024年2月に臨時調査したところ、DMARCを少なくとも1つのドメインで導入している企業は193社(85.8%)で、2023年11月(153社 / 68.0%)と比較すると3カ月間で17.8ポイントの急増が見られました。そして今回も3カ月間で5.8ポイント増加しており、新ガイドライン対応の動きが継続して進行しているものと考えられます。 エンバーポイントの調査においては、送信ドメイン認証(SPF、DKIM、DMARC)の設定機能を提供するMail Publisher利用ユーザーの設定状況を見ると、2024年5月時点で、全ドメインの84.3% / 全流量数の93.1%がDMARCを設定しています。Mail PublisherでのDMARC設定率は、2023年11月頃から増加傾向を示し、2024年1月時点では、全ドメインの46.3% / 全流量数の79.2%となり、4カ月間で、それぞれ38.0ポイント / 13.9ポイント増加しました。 メール送信者向け新ガイドラインでは、商用の宣伝メッセージの場合、ワンクリックでの購読解除(RFC8058 / List-Unsubscribe)に対応する必要があります。エンバーポイントは、今年1月、この条件を自動的に満たして配信できるよう、Mail Publisherに「ワンクリック購読解除機能」を新たに追加しており、1月下旬の提供開始から現在までの約3カ月間で、 全配信数の77.7%が利用しています。Google /米Yahoo!の新ガイドラインは、2024年2月から段階的に適用され、いよいよ来る6月には本格適用される予定ですが、適切なメール送信を行うための関連機能の利用の積極的なアナウンスが功を奏したものと考えています。 また、TwoFiveの調査において、大学のDMARC導入率は36.5%で、昨年同月(9.4%)と比較すると1年間で27.1ポイント増加しているものの、日経225をはじめとする企業と比較すると、なりすましメール対策が進んでいないと考えられます。 Google /米Yahoo!の新ガイドラインは、メール送信者に大きなインパクトを与えましたが、今後、メールを適切に利用していくためには、送信側が正しい対応をしなければならないことを認識する良いきっかけになったと考えます。TwoFiveとエンバーポイントは、今後も、DMARCをはじめとする送信ドメイン認証の導入、BIMI(送信者のブランドロゴを受信トレイに表示する技術)への対応など、適切な配信環境を整えるためのサポートに尽力してまいります。 各調査結果の詳細は以下の通りです。 ●日経225企業のDMARC導入・運用の実態日経225企業は、全225社の内206社(91.6%)が少なくとも一つのドメインでDMARCを導入しており、昨年同月(140社 / 62.2%)と比較すると1年間で29.4ポイント増加しています(図1)。 この206社が運用するDMARC導入済み1,861ドメインの内、認証失敗時の取り扱いを指定するDMARCポリシーの設定状況を見ると、強制力のあるquarantine(隔離)またはreject(拒否)にポリシー設定しているのは、現時点で全体の26.8%で、依然としてnone(何もしない)設定が大半です。これは、現状のGmailの新ガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされているため、「p=none」での導入が増加していることを示しています(図2)。 今後、Gmail対応に留まらず、なりすましメールを制御するために、強制力のあるポリシーに変更してステップアップしていくことが期待されます。また、DMARC認証を使って、正規の送信者が所有するブランドロゴをメールアプリケーションの受信トレイに表示するBIMI(Brand Indicators for Message Identification)が新しいなりすましメール対策として注目されていますが、BIMIを利用するためにはquarantineまたはrejectのポリシー設定が必要となります。図1 日経225企業DMARC導入状況(n=225) 図2 日経225企業 DMARC導入ドメインのポリシー設定状況 ●Mail Publisher利用者のDMARC設定とDKIM署名の実態Mail Publisher利用ユーザーのDMARC設定率は、2024年5月時点で、全ドメインの84.3% / 全流量数の93.1%です。Mail PublisherでのDMARC設定率もTwoFiveによる調査結果と同様に、2023年11月頃から増加傾向を示し、2024年1月時点では、全ドメインの46.3% / 全流量数の79.2%となり、4カ月間で、それぞれ38.0ポイント / 13.9ポイント増加しました(図3)。DMARC認証には、SPFおよび/またはDKIMの認証結果が使用されますが、Mail Publisherは、送信メールに電子署名を付加するDKIMを使用し、作成者署名を設定できます(エンバーポイントが設定する第三者署名も利用可能です)。このDKIM作成者署名の設定率を調査したところ、2024年1月時点では、全ドメインの41.1% / 全流量数の90.4%となり、4カ月間で、それぞれ34.0ポイント / 8.3ポイント増加し、全ドメインの75.1% / 全流量数の98.3%となりました(図4)。DKIMの作成者署名を利用してDMARC認証を成功させることでメール転送などの認証失敗を回避することができることから、DMARC設定と併せてDKIMの作成者署名設定が増加していることは、適切なメール認証が実現しつつある状況といえます。 図3 Mail Publisher利用者のDMARC設定率 図4 Mail Publisher利用者のDKIM作成者署名率 ●ワンクリック購読解除の設定状況についてGoogle /米Yahoo!のメール送信者向け新ガイドラインでは、メール受信者が配信登録を容易に解除できるようにするために、RFC8058に準拠したList-Unsubscribeヘッダーを実装しなければなりません。Mail Publisherに新たに搭載された「ワンクリック購読解除機能」では、ヘッダーを自動的に付与して、要件に適合した配信が行えるサービスで、2024年1月の提供開始から現在までの約3カ月間で、全配信数の77.7%が利用しています(図5)。 図5 ワンクリック購読解除機能の設定率 ●大学のDMARC導入実態について調査対象は、1,117大学 / 13,860ドメインで、内訳は、国立大学:86校/ 7,115ドメイン、公立大学:101校/ 643ドメイン、私立大学:628校/ 4,647ドメイン、短期大学:302校/ 1,455ドメインです。結果は、全体のDMARC導入率は、昨年同月(1,114大学4,060ドメイン / 9.4%)からは増加したものの、38.4%と非常に低く、なりすましメール対策が進んでいないと考えられます(図6)。また、DMARC導入済みの2,890ドメインのうち、全体では83.2%がnoneのポリシー設定で、強制力のあるポリシー(quarantine、reject)への切り替えも今後の課題です(図7)。図6 大学のDMARC導入状況(n=1117) 図7 大学のDMARCポリシー設定状況 (n=2890) ◆今回発表するなりすましメール対策実態調査について ◇調査時期:2024年5月◇調査対象:日経225企業が管理・運用する5,873ドメイン 教育機関が管理運用するドメイン(1,117大学、13,860ドメイン) Mail Publisher利用者のドメイン◇調査方法:調査対象ドメインおよびサブドメインのDNSレコードを調査◇主な調査結果:各企業のドメインごとに以下の状況を把握しています。・DMARCを導入しているかどうか・DMARCのポリシー設定状況「none(何もしないで受け取る)」「quarantine(隔離)」「reject(拒否)」 ※Googleの「メール送信者のガイドライン」は以下に掲載されています。https://support.google.com/a/answer/81126 ※Gmailの「メール送信者のガイドライン」対応のMail Publisher機能アップデートは以下をご覧ください。https://emberpoint.com/news/notice/gmail-guideline2402.html ※Mail Publisherの詳細については以下をご覧ください。https://emberpoint.com/service/mailpublisher/smart-edition/ *デロイトトーマツ ミック経済研究所の市場調査レポート「マーテック市場の現状と展望 2023年度版クラウド型CRM市場編(第7版)」(2023年12月発行)のEメール大量配信システム市場において、2022年度主要ベンダーシェアNo.1を獲得。同調査における15年連続トップを継続しています。 ※TwoFiveは、DMARC導入などのなりすましメール対策実態について継続的に調査しています。過去の調査結果を以下でご覧いただけます。https://www.twofive25.com/news/20220519_dmarc_report.htmlhttps://www.twofive25.com/news/20221110_dmarc_report.htmlhttps://www.twofive25.com/news/20230518_dmarc_report.htmlhttps://www.twofive25.com/news/20231106_dmarc_report.htmlhttps://www.twofive25.com/news/20240209_dmarc_report.html ※DMARCの仕組み、TwoFiveが提供するクラウド型DMARC分析サービス「DMARC / 25 Analyze」の詳細は以下をご参照ください。https://www.dmarc25.jp/ ※BIMIの仕組み、TwoFiveが提供するBIMI 技術サービスの詳細は以下をご参照ください。https://www.twofive25.com/service/bimi.html ■エンバーポイント株式会社についてhttps://emberpoint.com/エンバーポイント株式会社は、国内メールマーケティングの黎明期より20年以上に渡り、数多くの企業へメール配信サービス「Mail Publisher」を提供しています。現在は月間80億通を超えるメール配信を支え、15年連続国内メール配信市場でトップシェアを維持しています。また、従来の強みであるメールを中心としながら、マーケティングオートメーション「Engage Cros」や、セミカスタム型モバイルアプリ開発パッケージ「App Publisher」、SMS送信サービス「SMS Publisher」の提供などサポートの領域を拡大、コンサルティングや運用代行サービス、コンテンツの制作など、システムの提供にとどまらず総合的な支援を行っています。これまで業界を牽引してきたメール配信システムの提供および運用支援を中心としながら、特定の手段に限定せず、「つながり」をつくり、深めることでより強い結びつきである「絆」へ発展させるべく総合的に支援する企業として、更なる進化を遂げて参ります。 ■株式会社TwoFive社についてhttps://www.twofive25.com/株式会社TwoFiveは、大手ISP、ASP、携帯事業者、大手企業の大規模電子メールシステムインフラの構築・サポートで長年経験を蓄積した技術者集団により、メールシステムの構築、メールセキュリティ、スレッドインテリジェンスを事業の柱として2014年に設立。国内外の優れた製品/ソリューションに技術サービスを組み合わせて提供してきました。現在は、所属する業界団体や関連サービスの提供ベンダーと協業し、メールシステムだけでなく、多様なメッセージング分野の新しい課題に取り組んでいます。また、海外ベンダーとの充実したネットワークを活かして、メッセージング分野に限定せず、日本のDXを支える優れた製品・ソリューションを日本市場に紹介しています。東京本社の他、ハノイにベトナム支社があり、開発、サポートを行っています。 ■報道関係者お問い合わせエンバーポイントホールディングス株式会社 マーケティング部電話番号: 03-6868-8980 Eメール: pr@emberpoint.com(広報窓口) 株式会社TwoFive 担当:渋谷 電話番号:03-5704-9948 Eメール: info@twofive25.com ツイート