メインコンテンツへスキップ
アジア太平洋地域の高等教育分野におけるDMARCの導入状況

アジア太平洋地域の高等教育分野におけるDMARCの導入状況

2025年4月2日
エコシステムニュースセキュリティ・インサイト

欧州の高等教育機関におけるDMARC導入に関する調査に続き、今回はアジア太平洋(APAC)地域の教育機関におけるメールセキュリティの現状について見ていきます。

本調査では、教職員数に基づき、オーストラリア、ニュージーランド、およびアジア太平洋地域(APAC)の主要な大学を対象に調査を行いました。調査の実施にあたっては、各教育機関のトップレベルドメインを取得し、当社のツールを通じてDNSに公開されているDMARCSPFDKIMレコードを分析しました。

大学は、個人を特定できる情報(PII)、財務データ、研究記録、知的財産を大量に保有しているため、主要な標的となっています。分散型のインフラ、広範なネットワークアクセス、シャドーIT、学習管理システムなどが相まって、電子メールを共通のインターフェースとする巨大な攻撃対象領域を形成しています。

こうした環境では、フィッシングやソーシャルエンジニアリングが頻発しています。特に、キャンパスコミュニティは常に変化しており、サイバーセキュリティに関するトレーニングが一貫して行われていない場合があるためです。IT部門は意識向上に努めていますが、専門知識や予算の不足により、強固なセキュリティ体制を維持することは困難となっています。

アジア太平洋地域における高等教育機関を標的としたフィッシング詐欺

学生数6万人を擁する高評価の公立大学であるディーキン大学は、2022年に2度にわたるフィッシング・スミッシング攻撃の被害を受けた。当初、大学の外部SMSサービスプロバイダーへの従業員のログイン認証情報がフィッシング攻撃によって盗まれ、その結果、数千件の学生情報が流出。悪意のある攻撃者は、流出した学生の電話番号を利用してスミッシング攻撃を開始した。 フィッシングは、ネットワークやシステムへの初期アクセス権を取得するために頻繁に利用され、その後、さらなる攻撃が実行される。

アジア太平洋地域の上位500校の高等教育機関におけるDMARCステータス

アジア太平洋地域における高等教育機関のDMARC導入状況

他の地域と同様、APAC地域もメール悪用による脅威に直面しています。調査の結果、高等教育機関のドメイン上位500件のうち77%で、レコードの形式に不備があるか、フィッシングの餌となるドメインとして悪用されるのを防ぐ対策が講じられていないことが判明しました。一方、ドメインの4分の1近くでは、次のようなDMARCポリシーが適用されています。 p=quarantine または p=rejectが適用されていることが判明しました。

内訳は以下の通りです:

  • 38%はDMARCレコードを一切設定しておらず、フィッシング攻撃の標的になりやすい状態にある。
  • 23%が p=none 監視フェーズでは、配信に失敗したメールに対しては措置を講じないものの、メールの送信元に関する可視性が提供されます。これらは悪用される危険性が極めて高い状態です。
  • 16%の組織では、DNSレコードに誤りがあり、ドメインが不正アクセスにさらされたり、管理対象外になったりしています。
  • 13%が次のようなDMARCポリシーを採用している p=quarantineです。このポリシーでは、メールはスパムフォルダに配信され、最適な p=reject ポリシーに設定する前の段階となります。
  • 10%は p=reject、不正なメールが受信箱にすら届かないドメインの「安全な避難場所」です。

DMARC、SPF、およびDKIMレコードに関する問題

本調査の発表時点で、アジア太平洋地域(APAC)の高等教育機関ドメイン上位500件において、問題のあるDNSレコードの大部分はSPFに関連していることが判明しました。10件というDNSルックアップの制限を超えているものもあれば、構文エラーや複数のSPFレコード、あるいはレコードが存在しないものもありました。私たちはDKIM優先の認証を推奨していますが、SPFレコードがないと配信の問題を引き起こしたり、なりすましのリスクを高めたり、IPアドレス認証がないことでドメインのセキュリティを低下させたりする可能性があります。

SPFレコードの謎を解き明かす:構文ガイドで
を理解する

正確で整合性のあるSPFレコードを作成し、認証、セキュリティ、配信率の向上につなげるための構文ガイドをご覧ください。

DMARCステータス:オーストラリアの高等教育機関トップ50

オーストラリアにおける高等教育機関のDMARC導入状況トップ

オーストラリアには、学生のデータプライバシーを保護する規定を含む、包括的なデータ保護法が存在する。一般に「プライバシー法」として知られる『1988年プライバシー法』は、「個人の個人情報の取り扱いを保護するオーストラリアの主要な法律である。これには、連邦公共部門および民間部門における個人情報の収集、利用、保管、および開示が含まれる。」

オーストラリアの「プライバシー法」のようなあらゆる法規制において、DMARCは機密情報を保護し、ドメインのなりすましや直接ドメイン型フィッシングを防止し、可視性を確保し、規制遵守を実現する、業界の基盤となる標準規格です。

従業員数に基づくオーストラリアの高等教育機関ドメイン上位50件においても、DMARCの導入状況は有望な見通しを示しています。42%のドメインで設定ミスやドメイン悪用に対する保護措置が講じられていないものの、半数以上が以下のDMARC強制ポリシーを導入しています。 p=quarantine または p=rejectといったDMARC強制ポリシーを導入しています。

オーストラリアの高等教育機関上位50ドメインに関して喜ばしい点は、そのすべてがDMARCレコードを公開していることです。つまり、ドメインの100%がDMARCによってフィッシング攻撃から保護されているか、あるいはその導入に向けて順調に進んでいるということです

要約は以下の通りです:

  • 34%が p=none モニタリング段階において既往歴がある。
  • 8%のDNSレコードに誤りがある。
  • 26%が次のようなDMARCポリシーを採用している p=quarantineとなっています。
  • 32%が p=rejectであり、これはDMARC適用におけるゴールドスタンダードです。

DMARCステータス:ニュージーランドの高等教育機関トップ50

ニュージーランドにおける高等教育機関におけるDMARC導入状況

オーストラリアと同様、ニュージーランドの高等教育機関上位50ドメインを調査した結果、DMARCの導入見通しは明るいことが示された。DMARCレコードを設定していないのはわずか8%であり、これはDMARCを用いてフィッシング攻撃からドメインを保護しようという意識と意欲の高さを示している。40%が適用ポリシーを公開しているが、60%については、フィッシング攻撃に悪用されるのを防ぐための対策の強化が求められる。

詳細:

  • 8%にはDMARCレコードがありません。
  • 32%が p=none モニタリング段階において前科がある。
  • 20%のDNSレコードに誤りがある。
  • 24%が次のようなDMARCポリシーを採用している p=quarantineとなっています。
  • 16%が次のようなDMARCポリシーを採用している p=rejectです。

電子メールはコミュニケーションに欠かせないツールですが、サイバー攻撃の標的となりやすいものです。電子メールはもともとセキュリティが脆弱であり、ソーシャルエンジニアリングの被害を受けやすいため、その保護は困難です。電子メール認証を導入することで、なりすましやフィッシングといったなりすまし攻撃からメールを保護できます。フィッシングやマルウェアの拡散攻撃は、インターネットセキュリティにおける一般的な脅威です。機関のドメインが不正に使用される(スパムやスピアフィッシングなどに悪用される)のを防ぐため、以下の対策を実施する必要があります:

  • Sender Policy Framework (SPF)
  • ドメインキー認証メール(DKIM)
  • ドメインベースのメッセージ認証、報告、および準拠(DMARC)レコード

ニュージーランド情報セキュリティマニュアル

DMARCポリシーの適用状況の比較

アジア太平洋地域における高等教育の執行状況に関する図表

学生数が数千人に上り、職員数もそれに匹敵することが多いため、高等教育機関はDMARCの導入において、他にはない複雑な課題に直面しています。通常、これらの機関は多数のドメインやメール送信サービスを管理しており、その複雑さは一般的な企業をはるかに上回っています。

IT部門は、どの部署が特定のメールサービスを利用しているか把握できていないことが多く、それがDMARC導入の障壁となっています。このような場合、効果的なDMARC管理ソリューションが不可欠です。dmarcianの専門家チームは、確かな専門知識と、数多くの教育機関へのプロフェッショナルサービス提供における豊富な実績を活かし、こうした複雑な業務を効率化します。

ただし、 p=reject ポリシーを採用している機関の数は依然として比較的少ないものの、オーストラリアやニュージーランド全土の多くの機関が、少なくとも基本的なDMARCレコードを導入していることは心強い。たとえ p=none ポリシーであっても、DMARCレポートを通じて得られる知見は貴重な可視性を提供し、正しい方向への重要な一歩となります。

しかし、一歩引いてアジア太平洋地域全体を見渡すと、残念ながら同じことは言えません。この地域の多くの国々では、依然として理解や認識が不足しているのが現状です。

—タス・カルフォグルー、dmarcian APAC事業部門 ディレクター

DMARCとdmarcianが、高等教育機関のメールドメインのセキュリティ確保とフィッシング対策にどのように役立つか

dmarcianは、オーストラリア、ニュージーランド、およびその他のアジア太平洋地域の学校を支援するために存在しています

教育分野における信頼できるパートナーとして、dmarcianは教育機関がDMARC導入の複雑なプロセスを円滑に進められるよう支援することを専門としています。学校やその関連機関の独自のニーズに応えるため、学校が発展するために不可欠なエンタープライズレベルの保護機能を損なうことなく、予算の制約にも対応できる特別な価格設定とサポートパッケージを用意しています。

あなたのメールを頼りにしている人々を守るために

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。

APACDMARCDMARCの導入DMARCのメリット調査

関連記事