米国およびカナダの小売業者におけるDMARCの導入状況
2024年にGoogleとYahoo!が送信者に対する要件を厳格化して以来、DMARCの導入が急速に進んでいます。こうした状況を踏まえ、当社はDMARC導入に関する調査を継続しており、推定売上高に基づいて、米国およびカナダの主要な小売ドメインを分析しています。
小売業者は、自社のデータベースやネットワーク内に膨大な量の個人情報や決済情報を保有しているため、常に犯罪者の標的となりやすい。

「フィッシングや認証情報の収集は、ほとんどのサイバー犯罪活動において主要な侵入経路として、年間を通じて依然として重点的な脅威となっています。当センターの加盟機関からは、個人識別情報(PII)の収集を目的として消費者を標的とした、人気商品のプロモーションを餌にしたフィッシング攻撃が絶えず発生しているとの報告が寄せられています。また、偽装サイトの増加、特定の商品を狙ったフィッシング攻撃、および経営幹部を装ったフィッシング攻撃も増加しているとの報告があります。」
—小売・ホスピタリティ情報共有分析センター
米国における小売業界を標的としたフィッシング詐欺
ベライゾンの「2024年データ侵害調査報告書」によると、小売業界におけるサイバーセキュリティインシデントの最大の原因は、電子メールを介したフィッシングおよびプレテクスティングであり、侵害事例の73%がこれらいずれか、あるいは両方の手口によって引き起こされていたことが明らかになった。同報告書では、プレテクスティングを「ビジネスメール詐欺の代名詞として、攻撃者が既存のメールのやり取りを利用して、被害者に(入金に伴う関連銀行口座の更新など)何らかの行動をとらせる手口」と定義している。
小売大手ターゲット社で、下請け業者がフィッシング攻撃を受けたことをきっかけに発生した、あの衝撃的な情報漏洩事件を覚えている方もいらっしゃるかもしれません。ペンシルベニア州の冷蔵設備業者である同社が、ユーザーの認証情報を盗むことを目的としたフィッシングメールをクリックしてしまったのです。犯人グループがターゲット社のネットワークに侵入すると、マルウェアをインストールし、顧客データの収集を開始しました。この攻撃による被害を受け、ターゲット社は罰金、訴訟費用、顧客の信用情報モニタリング費用など、莫大な費用を負担して事態の収拾にあたらざるを得ませんでした。総額で約2億9000万ドルの損害となりました。
残念ながら、サードパーティベンダーを介したフィッシング攻撃による情報漏洩は、今やあまりにも一般的になってしまいました。組織のサイバーセキュリティ体制の強度は、そのパートナーのセキュリティ体制次第であり、だからこそ、サードパーティベンダーの審査と監視体制の構築が、昨今極めて重要となっているのです。
その点において、DMARCはサイバーセキュリティ対策の指標となるものです。組織がDMARCレコードを保有していない場合、あるいは p=quarantine または p=reject の適用レベルに設定されていない場合、それは悪意のある攻撃者に対する「招待状」となり、その組織に包括的なサイバーセキュリティ対策が整備されていない可能性を示唆しています。
当社の無料ドメイン監査ツールをご利用いただければ、任意のドメインのDMARC、SPF、DKIMの状態を簡単に確認できます。また、外部ベンダーのDMARC状態を継続的に監視したい場合は、当社のDMARC管理プラットフォームをご活用ください。
DMARCが、貴社のPCI DSS要件への準拠にどのように役立つかをご覧ください。
米国小売業者トップ500社のDMARCステータス
当社の調査によると、心強い進展が見られます。米国の小売業界上位500ドメインのうち74%が、ベストプラクティスに沿ったDMARCレコードを公開しており、これほど喜ばしいことはありません!これらのドメインの大半は、ある程度GoogleやYahoo!の影響もあり、メールドメインの利用状況を監視・制限するための主要な手段であるDMARCを導入することで、サイバーセキュリティ対策を強化しています。

そうですね、もっとうまくいくはずでした。米国の大手小売業者の31%が、究極の p=reject DMARCポリシーの適用レベルに達しており、15%が次善の p=quarantine ポリシー適用段階に達している一方で、28%は依然として p=none の監視ポリシーにとどまっており、DMARCの機能を十分に活用できていません。
少なくとも、まだです。楽観的に考えて、 p=none グループが最近DMARCの取り組みを始めたばかりで、GoogleやYahooから提示された控えめなDMARC要件を満たしたからといって、現状に甘んじていないと仮定しましょう。
米国の主要小売業者のドメインのうち、残りの26%は、「DMARCレコードがない」と「不正なDMARCレコードがある」という2つのグループに均等に分かれています。また、DMARCの導入状況を詳しく分析すると、ドメインの46%が p=reject または p=quarantine ポリシーでDMARCの強制適用段階に達しているのに対し、54%はDMARCレコードが存在しないか、誤りを含んでおり、フィッシング攻撃の標的となる危険にさらされています。
「フォーチュン100にランクインする企業も、中小企業と同じような問題を抱えていることが多く、その逆もまた然りです」と、dmarcianの米国事業部門ディレクター、フレッド・ビアンキ氏は述べる。「顧客や業種、組織規模は異なるかもしれませんが、直面する課題は似通っている傾向があります。」
こうした課題には、SPFレコードの管理ミス(特に権限の過剰付与)、1024ビットから2048ビットへのDKIM鍵の長さの更新、そして(特に中小企業において)RUAを指定せず、単に「v=DMARC1;p=none;」のみで構成されているDMARCレコードがあまりにも多いことが挙げられます。 これでは、DMARCレコードを設置するという最低限の要件は満たせるかもしれませんが、意思決定や次のステップの指針となるデータについては、まったく可視性が得られません。ポリシーを実際に適用する段階へと進めるためには、そのデータが不可欠であり、それが目標であるべきです。
RUA報告アドレスとSPFレコードが欠落しています
欧州 およびAPAC地域におけるDMARC導入に関する調査の結果と同様に、カナダと米国では、認証に関する問題の大部分がDMARCおよびSPFレコードのエラーによるものでした。
DMARCレコードに関して言えば、米国およびカナダのドメインの平均12%でRUAタグが欠落していました。これは重大な問題です。なぜなら、RUAタグがないと、DMARCレポートを送信するためのメールアドレスが特定できず、その結果、当社のDMARC管理プラットフォームがドメインの状態を可視化し、管理するための情報を得られなくなるからです。この場合、貴重なXMLレポートは行方不明となり、ドメインで何が起きているのかを確認することができなくなります。
以下に示すように、RUAアドレスは、次のDMARCレコードの3番目の要素です:

SPFに関しては、カナダおよび米国の主要小売ドメインのSPFレコードのうち、平均で26%が欠落していたり、形式が不正であったり、業界のベストプラクティスに準拠していなかったりしました。これは好ましくない状況です。なぜなら、SPFレコードの欠落や形式の不備は、ドメインの4分の1以上においてメール認証の失敗や、それに伴う配信障害につながる可能性があるからです。
「もうひとつよく見られる問題は、ドメイン所有者が、必要のないエントリは追加しないといった一般的なベストプラクティスに従うのではなく、SPFのルックアップ制限を『回避』しようとしている場合です」とフレッドは続ける。「実際には必要のない送信者をSPFで認証するのは、決して良い考えではありません。 しかし、私たちがこれを指摘しても、ドメイン所有者が10件のルックアップ制限を超える方法を強硬に求めてくるケースがあまりにも多いのです。」
最も多く見られた問題はSPFレコードの欠落で、次いでSPFの構文エラー、そしてDNSルックアップの組み込み上限である10回を超過するケースが続きました。ここでは、SPFのフラット化や、ドメインをさらなる悪用リスクにさらす可能性のあるその他の回避策を使用せずに、この10回の上限問題を解決するための指針をご紹介します。
SPFレコードの構文に誤りがないか確認してください。また、これにより、ドメインを代表して送信することを許可されたサードパーティの送信者やIPアドレスを特定することもできます。
カナダの小売業者トップ100社のDMARCステータス
カナダの小売業界における上位100のドメインを調査したところ、43%がベストプラクティスに沿ったDMARCレコードを公開していることが判明しました。これは、自社のメインドメインから送信される不正なメールを阻止する手段として、この対策が広く認知されていることを示しています。

有効なDMARCレコードを持つこれらのドメインのうち、25%は強制レベルでDMARCポリシーによる保護を受けており、14%は p=quarantine 、11%が p=rejectとなっています。
残りの75%はDMARCによる保護措置が整っておらず、DMARCレコードが存在しない、DMARCレコードに問題がある、あるいは p=none というDMARCポリシーを採用しているため、ドメインから送信されるメールの可視性は確保されるものの、フィッシング攻撃に対する保護機能は一切提供されず、攻撃を受けやすい状態にあります。
「2023年、企業のサイバーインシデントによる復旧コストは、2021年の6億ドルから12億ドルへと倍増しましたが、予防策への支出は97億ドルから110億ドルへとわずかに増加したに留まりました。電子メールが主要な攻撃経路となっていることを踏まえると、DMARCのようなソリューションへの投資は、不正行為を未然に防ぐことで高いROIをもたらします。 GoogleやYahoo!のDMARC要件のような、また別の強制的な措置を待つことなく、今すぐブランドと顧客を守りましょう。今すぐDMARCを積極的に導入することは、費用対効果が高く、極めて重要です。」
—アッシャー・モリン(トロント拠点のdmarcian、プロフェッショナルサービス部門ディレクター)
フィッシングや電子メール詐欺との闘いにおけるDMARCの重要性を踏まえ、カナダ・サイバーセキュリティセンターの「実装ガイダンス:電子メールドメイン保護」では、DMARCを導入することで「攻撃者が悪意のある電子メールキャンペーンを成功させる可能性を低減できる」と指摘しています。これらの対策は、以下の点において組織を保護します:
- 自社ドメインを装った悪意のあるメッセージの配信を防ぐ;
- 攻撃者が保護されたドメインをなりすまそうとするのを阻止すること;
- メール受信者のセキュリティを強化すること;および
- 「ドメインがなりすましの標的となっている組織の評判を守る。」
DMARCポリシーの適用状況の比較

このDMARCポリシーの比較を見ると、カナダの小売業者は、米国小売業者に比べて21ポイント低い割合で p=quarantine または p=reject というDMARCポリシーを採用している割合において、カナダの小売業者は米国小売業者に21ポイント遅れをとっています。カナダと米国ではDMARCの導入が進んでいますが、各地域の小売業者の半数以上が、顧客、従業員、およびベンダーの安全を守るために必要なDMARCポリシーの適用レベルを満たしていません。
冒頭でも触れたように、GoogleとYahoo!によるDMARC要件の導入は、DMARCの普及に大きく寄与したことは間違いありません。インターネット全体にDMARCを広めることを使命とする組織として、私たちはこれを高く評価しています。しかし、多くの組織が、DMARCポリシーを用いてドメインのセキュリティを強化するという次のステップに進んでいません。 p=quarantine および p=rejectといった、不正なメールを受信トレイに入れないようにするDMARCポリシーを用いて、ドメインのセキュリティを強化するという次のステップを踏み出していません。
では、皆様をサポートいたします。メールセキュリティの専門家チームを擁し、ドメインセキュリティを通じてメールとインターネットの信頼性を高めることを使命とするdmarcianとパートナー各社は、小売業者がDMARCポリシーの適用を実現し、顧客とブランドを保護できるよう支援してきました。私たちは、フィッシングからドメインを守り、長期的な視点でメールセキュリティを管理できるよう、皆様を支援するチームです。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。