大学のなりすまし対策DMARC導入率はわずか9.4％　= TwoFive 調べ=

TwoFiveは18日、なりすましメール対策実態調査の結果を発表した。

それによると、日経225企業は、全225社の内140社（62.2％）が少なくとも一つのドメインでDMARC(メール詐欺攻撃から防御できる送信ドメイン認証技術)を導入しており、調査を開始した2022年2月から見ると27.1％、昨年同月と比較すると1年間で12.4%増加している。

この140社が運用するDMARC導入済み971ドメインの内、強制力のあるポリシー（quarantine、reject）に設定しているのは、現時点で全体の31.7％であり、none設定によるモニタリング段階が大半で、1年前（33.5%）から全体比率は増えていない。

DMARCレポートは、社員による想定しないメール送信、意図しない経路でのメール送信などが発見でき、メールの使われ方を可視化できる。従って、none設定であっても、可視化する意識が高まっていることは歓迎するべき状況ではあるが、今後、強制力のあるポリシーに変更して、なりすましメールを制御する段階にステップアップしていくことが期待される。

BIMI（対応しているメールソフトでメールにブランドロゴを表示できる仕様）は、DMARCなどを利用して、正規の送信者が所有するブランドロゴを、メールアプリケーションの受信箱に表示する機能で、送信者は受信者に対してメールの真正性を証明でき、受信者は安心してメールを開封できるようになると期待される。

今回は、送信ドメイン認証技術DMARC導入実態について、日経225企業が管理・運用する5261ドメインに加えて、教育機関として大学を対象として調査した。

調査対象は、1114⼤学 / 4060ドメインで、内訳は、国⽴⼤学：86校 / 1691ドメイン、公⽴⼤学：99校/ 321ドメイン、私⽴⼤学：625校 / 1393ドメイン、短期⼤学：304校 / 655ドメイン。結果は、全体では、DMARC導⼊率が9.4%にとどまり、⽇経225企業の結果と⽐較すると⾮常に低く、なりすましメール対策が進んでいないと考えられる。

また、DMARC 導⼊ドメインのうち、86.6%はポリシーがnone であり、⽇経225企業と同様に、強制⼒のあるポリシー（quarantine、reject）への切り替えも今後の課題だという。