送信ドメイン認証技術の導入状況とその考察

フィッシングメール等の増加やフィッシングの手口が巧妙化していることを受けて，フィッシング対策に有効である送信ドメイン認証技術（SPF，DKIM，DMARC）に注目が集まっている．特に，政府系 機関が，特定の業界に対してDMARC の導入を要請したことに加え，大手プロバイダが大量のメール送信者に対して，これら技術の導入を送信要件とするなど，従来の自主的な取り組みから一般的な要件へと変わりつつある．このような状況から，これら技術は，広く普及し，より適切な設定になっていくことが期待される．本報告書では，この変換点に着目し，2023 年1 月より，日本国内の主要企業，官公庁，地方自治体のSPF 及びDMARC の設定状況を調査し，それぞれの導入状況を組織属性や業種単位にまとめている．また，米国及びグローバル企業における状況と比較した上で，日本国内における更なる利用促進に向けた考察を加えた．本調査にて，大手プロバイダによる送信要件の変更により，送信側のDMARC 導入率が7％から43％に増加したことが確認されたが，この増加は，なりすましメールを排除するという本来の目的に貢献できていない可能性があることが判った．

In response to the increase in phishing emails and the increasing sophistication of phishing techniques, sending domain authentication technologies (SPF, DKIM, DMARC) have been focused on the necessary as phishing countermeasures. This report investigates the usage status of SPF and DMARC by major companies, government offices, and local governments in Japan starting from February 2023, and summarizes the usage status of each and by organizational attributes. In addition to this, we compare the usage status among small and medium-sized enterprises and the usage status in the United States and global companies, and added our considerations for further improving the usage rate in Japan. This study confirmed that the usage rate of DMARC among senders increased from 7% to 43% due to changes in sending requirements by major providers, but this increase was not due to the original purpose of eliminating spoofed emails. It turns out that there will be a possibility that they are not contributing to eliminating spoofed emails.