日経225企業、DMARC導入率9割超も詐欺メール対策は最下位か

日本プルーフポイント株式会社が2025年12月に実施した調査によると、日経225企業のDMARC導入率は約92%に達しました。しかし、詐欺メールを防ぐ「Reject（拒否）」や「Quarantine（隔離）」といった有効なポリシー設定は、主要18か国中最下位の約36%にとどまっていることが明らかになりました。導入は進む一方で、実効性のある対策への移行が急務となっています。

DMARC導入率は約92%に上昇

見出し

1 DMARC導入率は約92%に上昇
2 有効設定は主要18か国中最下位
3 DMARCとBIMI：メールセキュリティの要
4 各方面でDMARC対応を要請
5 日本を狙うメール攻撃の増加とDMARCの重要性
6 有効なDMARCポリシーへの移行が急務

同社の調査によると、日経225企業におけるDMARC（Domain-based Message Authentication, Reporting and Conformance）認証の導入率は、約92%に達しました。これは、前年の調査（約83%）と比較して9ポイントの上昇であり、DMARC認証の普及が進んでいることを示しています。DMARCは、詐欺メールの手法である「ドメインのなりすまし」対策に有効な技術であり、なりすまされた側の企業が設定した内容に基づいて、なりすましメールを自動で拒否、隔離、あるいはモニタリングのみを行うことができます。

過去5年間で見ても、日経225企業のDMARC導入率は飛躍的に増加しています。

有効設定は主要18か国中最下位

DMARCの導入が進む一方で、詐欺メールを積極的に抑止できる「Reject（拒否）」および「Quarantine（隔離）」ポリシーの導入率は、依然として低い水準にとどまっています。日経225企業のうち、これらの有効なポリシーを設定している企業は合わせて約36%（Reject約15% + Quarantine約21%）であり、主要18か国中で最下位という結果でした。半数以上の約56%の企業が「None（モニタリングのみ）」ポリシーを使用しており、これは詐欺メールを検知するものの、受信箱への到達を阻止する機能がないことを意味します。

海外の主要企業と比較すると、この差は顕著です。欧米やオーストラリアではDMARC導入率が約90%以上、特に欧州では約100%導入されている国もあります。最も厳格な「Reject」ポリシーの導入率を見ると、スイスが約85%、オランダが約80%と高いレベルで導入しているのに対し、日本は約15%と、調査対象国の中で最も低い水準にあります。

DMARCとBIMI：メールセキュリティの要

DMARCは、メールに表示される送信元アドレス（header-from）のドメインがなりすまされていないか、信頼できるものかを判断する唯一の認証技術です。SPF（Sender Policy Framework）やDKIM（DomainKeys Identified Mail）といった既存の技術と連携し、なりすましメールに対する処理方針を受信側に指示できます。これにより、ドメイン詐称の詐欺メールを完全に封じ込めることが可能となります。DMARCの詳細はこちらで確認できます。

また、DMARCで認証に成功したメールにブランドのロゴを表示させるBIMI（Brand Indicators for Message Identification）も注目されています。BIMIは、受信者が正規の送信元からのメールであることを視覚的に判断できるため、なりすましメールを見破る手助けとなります。BIMIの利用にはDMARCの導入が前提となります。

各方面でDMARC対応を要請

近年、政府や各業界団体、主要メールプラットフォーム事業者からDMARC認証への対応が強く要請されています。例えば、GoogleやYahoo!は、1日5000通以上を送信する送信者に対し、SPF、DKIM、DMARCの設定を義務付けており、Microsoftも同様の要件を2025年4月から適用すると発表しています。さらに、経済産業省、総務省、警察庁はクレジットカード会社に、金融庁は金融機関にDMARC対応を強く推奨しています。政府統一基準でもDMARCのRejectまたはQuarantine設定とBIMI設定が推奨されており、日本証券協会はインターネット取引を行う証券会社等に対し、DMARCのReject導入を強く推奨しています。

これらの要請は、DMARCに対応しない場合、メール配信に影響が出るだけでなく、業務継続の条件や取引先との関係にも影響を及ぼす可能性を示唆しています。

日本を狙うメール攻撃の増加とDMARCの重要性

日本プルーフポイント株式会社のサイバーセキュリティチーフエバンジェリストである増田幸美氏は、2025年に全世界で新種のメール攻撃が急増し、前年の約5.4倍となったと述べています。そのうち約82.8%が日本を標的としていたといい、生成AIによる言語の壁の崩壊や、日本の詐欺メール対策の遅れが背景にある可能性を指摘しています。また、ランサムウェア攻撃の初期侵入源のほとんどが、ネットワーク機器の脆弱性か詐欺メールによるものであることから、DMARCとBIMIは自組織だけでなく、顧客や取引先を含むサプライチェーン全体をメール攻撃から守るために必須の対策であるとしています。

有効なDMARCポリシーへの移行が急務

DMARC認証を始めるには、DNSに「None（モニタリングのみ）」ポリシーのDMARCレコードを追加するだけで済みます。しかし、詐欺メールに対して実効力を持たせるためには、「Reject（拒否）」レベルまで実装する必要があります。「Reject」ポリシーでDMARCを運用することにより、攻撃者にとって最も効果の高いドメインなりすまし詐欺メールを完全に封じ込めることが可能となります。

DMARCを導入し、有効なポリシーを適用することは、ビジネスメール詐欺から自組織を守るだけでなく、取引先企業や顧客を含めたサプライチェーン全体をなりすましメールの脅威から保護し、自組織のブランドを守ることにつながります。
DMARC認証の具体的な実施方法については、DMARCスタートガイドをご参照ください。

ソース元: 日経225企業のDMARC導入率は92％に達するも、詐欺メールを防ぐ有効設定は18か国中最下位
URL: https://www.proofpoint.com/jp