国内主要ブランド、なりすましメール対策に遅れかグローバルと4.8倍の格差判明

GMOブランドセキュリティ株式会社の調査により、国内主要50ブランドにおけるメールなりすまし対策技術「SPF/DMARC」の有効設定率がわずか4.8%にとどまることが明らかになりました。これはグローバル主要ブランドの23.1%と比較して約4.8倍の格差であり、経営上の重大なリスクが示唆されています。

国内ブランドのSPF/DMARC有効設定率、グローバルと約4.8倍の格差

見出し

1 国内ブランドのSPF/DMARC有効設定率、グローバルと約4.8倍の格差
2 休眠ドメインが最大の盲点、国内2,518件が無防備か
3 グローバルではゼロトレランス管理も、欧州規制が対策を牽引
4 経営責任としてのメールセキュリティ対策
5 調査概要
6 GMOブランドセキュリティについて

調査結果によると、SPFとDMARCの両方を有効に設定した「適切」な状態のドメインの割合は、グローバルTop50ブランドで23.1%でした。これに対し、国内Top50ブランドではわずか4.8%にとどまっています。この約4.8倍という大きな格差は、日本の主要企業がグローバル水準と比較してなりすましメール対策が不十分である現状を示しています。

アクティブドメインに限っても、グローバルTop50ブランドの適切率は37.9%であるのに対し、国内Top50ブランドは13.1%でした。また、自国に割り当てられた国別トップレベルドメイン（ccTLD）である「.jp」においても、国内Top50ブランドの適切率14.0%に対し、グローバルTop50ブランドは30.0%と、倍以上の差が開いています。

保有するドメインのSPF/DMARC設定が一切なされていない「適切率ゼロ」のブランドは、調査対象の計100社のうち9社でした。このうち、約88.8%にあたる8社が日本企業であり、情報通信、自動車、電機、医療機器、食品といった日本を代表する大企業が含まれています。これは、日本企業がグローバル展開におけるセキュリティ管理体制に課題を抱えている可能性を示唆しています。

休眠ドメインが最大の盲点、国内2,518件が無防備か

特に懸念されるのが、非アクティブ（休眠）ドメインの状況です。Aレコード（※）のない休眠ドメインの適切率は国内でわずか1.3%であり、約2,518件が完全に無防備な状態で放置されていることが判明しました。これらのドメインは、サイバー攻撃者になりすましの踏み台として悪用されるリスクが極めて高いと指摘されています。

（※）Aレコード：ドメイン名をIPアドレスに変換し、通信の宛先を指定する設定。ウェブサイトの表示やメール送受信の基本となる。

グローバルではゼロトレランス管理も、欧州規制が対策を牽引

一方、グローバルでは、SPF -all（全拒否）とDMARC p=reject（完全拒否）を保有ドメインに徹底する「ゼロトレランス管理」を実践し、アクティブドメインにおいて96.4%という高い適切率を達成しているブランドも存在します。これにより、自社ブランドを騙ったなりすましメールをほぼ完全に遮断し、顧客や取引先を保護しています。

TLD別の適切率では、.fr（56.0%）、.es（44.0%）、.de（44.0%）、.it（44.0%）など欧州のccTLDが上位を占めています。これは、EU域内の個人データ保護を目的とした「GDPR」や、サイバーセキュリティ水準を底上げするための「NIS2指令」といった厳格なサイバーセキュリティ規制が、企業の対策を促進している結果とみられています。

（※）SPF（エスピーエフ）：送信元サーバーのIPアドレスをあらかじめ公開し、正しい場所から送られたメールかを判定する技術。
（※）DMARC（ディーマーク）：SPF・DKIMの認証失敗時に「メールを遮断するか」等の処理を送信者が指示する仕組み。none（監視のみ）、quarantine（隔離）、reject（拒否）の3段階がある。
（※）GDPR（ジーディーピーアール）：EU域内の個人データ保護を目的とした法規則。
（※）NIS2指令（エヌアイエスツーしれい）：EU全域のサイバーセキュリティ水準を底上げするための新たな法的枠組み。

経営責任としてのメールセキュリティ対策

GMOブランドセキュリティは、今回の調査結果から、日本の主要ブランドにおけるなりすましメール対策の深刻な遅れが明確になったと考察しています。この格差の背景には、欧州のような法的強制力が日本にはなく、企業の自主的な取り組みに依存する状況が続いていることが考えられます。

同社は、ブランド名を騙ったフィッシング被害が消費者や取引先に直接的な金銭的・情報的損害を与えるだけでなく、長年築き上げたブランドへの信頼を根底から覆しかねない経営上の重大リスクであると指摘しています。そのため、メールセキュリティはIT部門の課題に留まらず、ブランドを守るための「経営責任」として捉え直す必要があると提言しています。

GMOブランドセキュリティは、ブランド価値と信頼を守るため、以下の対策を推奨しています。

SPF/DMARCの「拒否設定」の早期徹底: アクティブドメインだけでなく、非メールドメインや休眠ドメインを含め、「SPF: v=spf1 -all（拒否設定）」および「DMARC: p=reject（拒否）または p=quarantine（隔離）」を早急に設定すること。特に休眠ドメインはサイバー攻撃の踏み台として悪用されるケースが多いため、例外なく対応が求められます。
DMARCレポートによる継続的な監視: DMARCは設定して終わりではなく、レポートを確実に受信できる体制を整え、第三者による不正なドメイン利用がないかを継続的に監視・分析すること。
BIMIおよびVMC導入による信頼性の可視化: DMARCの適切な運用に加え、受信者の受信トレイに企業ロゴを表示させる規格「企業ロゴ付きメール（BIMI）」の導入と、ロゴの正当性を証明する「企業ロゴ所有証明書（VMC）」の取得を推奨しています。これにより、メールの視認性と開封率を向上させ、なりすましメールとの差別化を明確にし、ブランドの信頼性を視覚的に伝えることが可能になります。

調査概要

調査期間: 2026年3月10日
調査主体: GMOブランドセキュリティ株式会社
データソース: Interbrand Best Global Brands 2025 / Best Japan Brands 2025
調査対象: グローバルTop50ブランドおよび国内Top50ブランドが保有する計7,600ドメイン
調査方法: パブリックDNS（Google: 8.8.8.8 / Cloudflare: 1.1.1.1）を使用し、DNS公開情報を調査・集計
判定基準: 全体適切である状態の基準は、SPF: v=spf1 -all（拒否設定）、DMARC: p=reject（拒否）または p=quarantine（隔離）とした。

GMOブランドセキュリティについて

GMOブランドセキュリティ株式会社（所在地：東京都渋谷区桜丘町26番1号セルリアンタワー、代表取締役社長：中川光昭）は、「すべてのブランドにセキュリティを」をスローガンに、ブランド侵害リスクに対し、インターネットを中心に監視サービスや権利行使のサポートを提供しています。商標やドメインネームの取得支援から管理サービスまで、ワンストップでブランドを安心・安全な状態に導くとしています。同社が提供するサービスは、2025年8月時点で約2,000社に利用されています。