サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は、2022年12月に実施した国内企業および海外企業におけるEメール認証の調査結果をもとに、Eメールの安全性に関して分析をおこない、日本における現状と課題、考察をまとめました。

概要

Eメールは、攻撃者が世界中の企業を攻撃する際に、最も多く利用する経路です。プルーフポイントは、企業におけるDMARC認証の導入率を調査しました。DMARC認証は「ドメインのなりすまし」対策に有効なもので、なりすまされた側の企業が設定した内容に基づいて、自動でなりすましメールを拒否、隔離、あるいは監視を行うことができます。DMARCポリシーには３つのレベルがあり、ポリシーが厳しいレベル順に「Reject(拒否)」「Quarantine(隔離)」「None (監視のみ)」となっています。このうち「Reject(拒否)」および「Quarantine(隔離)」を導入することで、従業員、取引先企業および顧客の受信箱に届く前に、自社になりすました詐欺メールを積極的に抑止することができます。

プルーフポイントが2022年12月におこなった調査によると、DMARC認証を導入している日経225企業は31％にとどまっており、世界18か国での導入状況と比較し大きな遅れをとっていることが分かりました。アメリカは、Fortune 1000企業のうち88%、英国はFTSE250企業のうち74%、オーストラリアはASX200企業のうち77%、フランスはCAC40企業のうち83%、デンマークはOMXC25のすべての企業においてDMARC認証が採用されています。一方、日本では、日経225企業の3社に1社しかDMARCを導入しておらず、なりすましメール詐欺への対策は、世界の主要企業に比べ、大幅に遅れていることが分かりました。

調査結果

プルーフポイントが日経225企業を対象に行った調査によると、日経225企業の過半数（69％）が企業情報保護に不可欠なメール認証プロトコル、DMARCをメインのドメインにおいて導入しておらず、顧客やパートナー、従業員がメール詐欺に遭う可能性があることが判明しました。

調査対象企業のうち、メール認証プロトコル、DMARCをメインのドメインにおいて導入している企業はわずか31％でしたが、それぞれメール詐欺に対する防御のレベルは異なっていました。このうち、25%が「None（監視のみ）」レベルでDMARCプロトコルを採用しており、認証されていないメールが受信者のメールに到達することを許していました。現在推奨されている厳格なレベルのDMARCプロトコルである「Reject(拒否)」を導入していたのは、わずか2％でした。つまり、日経225企業の3分の2（69％）は、不正なメールを積極的にブロックしていないことになります。
 

日経225企業における主な調査結果：

• 69％の企業が自分の組織のドメインになりすます詐欺メールを可視化できていない。
• DMARC導入実績がある企業のうち、「Reject(拒否)」（2%）および「Quarantine(隔離)」（4%）ポリシー設定により受信箱に届く詐欺メールを積極的に抑止しているのは日経225企業のわずか6%にとどまっている。
• 日経225企業におけるDMARC導入率（31%）は、諸外国における導入率を大きく下回っている。
  （例）
  • デンマーク　（OMXC25）: 100%
  • アメリカ (Fortune1000): 88%
  • フランス (CAC40): 83%
  • イギリス (FTSE250)： 74%
  • オーストラリア(ASX200): 77%

調査結果に対する考察

日本プルーフポイント株式会社　サイバーセキュリティ エバンジェリストの増田 幸美は次のように述べています。「2022年は、ロシアによるウクライナへのサイバー攻撃により、サイバー攻撃によって重要インフラが麻痺し、市民生活に影響が及ぶことを痛感した年でした。また日本でも多発したランサムウェア攻撃によって、標的とされた組織だけでなく、その組織につながるサプライチェーン全体に影響が及び、サプライチェーン攻撃からいかに組織を守るかが喫緊の課題となっています。侵害の94%がメール攻撃からはじまる中で、メール詐欺対策は重要なポーションを占めています。2022年秋に大手個人メールプロバイダーの多くがBIMI/DMARCの導入を完了しています。また、BIMIやDMARCをサプライチェーン全体に導入することで、メール詐欺を容易に検知できる下地が整いました。あとは企業側が対策するだけです。攻撃の多くは『人』の脆弱性をついて行われます。サイバーセキュリティ対策は自分の組織を守るためのものだけではありません。自分の組織になりすまして取引先や顧客などのサプライチェーンを狙う攻撃に対するサイバーセキュリティ対策も必要です。サプライチェーン全体が、サイバー攻撃に対して耐性を持つための対策が必要とされています」

欧米諸国では、業種によってDMARC導入が義務化していますが、日本ではこれまで、政府からDMARC導入を強く要請されていませんでした。しかし、今年になり、ようやく経済産業省がクレジットカード各社に対して、DMARC導入を求める方針を発表しています。

企業がDMARC認証を始めるには、DNSにレコードを追加するだけで済み、導入のメリットも明らかです。DMARC認証を最も厳しい「Reject(拒否)」レベルで実装するのは、企業によっては難しい場合がありますが、「None (監視のみ)」レベルからであればすぐに始めることができます。「None（監視のみ）」レベルでも、攻撃者が詐称しているドメインがレポートされるようになるため、攻撃者はそのドメインを使うことを敬遠するようになり、効果が見込めます。

DMARCを導入することにより、自組織になりすまして送る詐欺メールを防ぐことができ、自組織だけでなく付き合いのあるパートナー組織や一般消費者を守ることが可能です。これにより、自組織のブランドを守ることにつながります。

DMARC認証を実施する方法については、以下をご覧ください。
DMARCスタートガイド:
https://www.proofpoint.com/jp/resources/white-papers/getting-started-with-dmarc

Email Fraud Defense: DMARCを用いたなりすましメール対策/類似ドメインの可視化
https://www.proofpoint.com/jp/products/email-protection/email-fraud-defense

DMARCについて

DMARCとは、ドメイン名がサイバー犯罪者によって悪用されるのを防ぐために設計された、オープンな電子メール認証プロトコルです。メッセージが目的の受信者に到達する前に、送信者のIDを認証します。DMARCプロトコルを使用している組織は、ドメインを偽装しようとする非正規の電子メールに対して、次の3つのレベルのポリシーを実装できます。

1. None（監視のみ）：不適格なメールを受信者の受信箱や他のフォルダーに移動させることができます。
2. Quarantine（隔離）：不適格なメールを迷惑メールフォルダやスパムフォルダに振り分けます。
3. Reject（拒否）：不適格なメールが受信者に届かないようにします（最高レベルの保護）。

BIMIについて

BIMI （Brand Indicators for Message Identification） は、ドメインから送信される認証済みメールにブランドのロゴを追加するためのメール標準の技術仕様です。BIMI に対応するメール クライアントの受信トレイでは、DMARC認証をパスしたメールの場合は、送信者のブランドのロゴが表示されます。BIMI では、ブランドのロゴとロゴの所有権がVMC（Verified Mark Certificates）によって検証されるため、受信者は受信トレイに表示されるロゴが正当なものであることを確認できます。

Proofpoint | プルーフポイントについて

Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の75%を含むさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。
詳細は www.proofpoint.com/jp にてご確認ください。

Twitter | LinkedIn | Facebook | YouTube

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。