欧州の高等教育分野におけるDMARCの導入状況
このDMARC導入に関する調査シリーズでは、教職員数に基づいて欧州の大学を分析しています。在籍者数は年ごとに変動するため、すべての大学が公表しているわけではありませんが、教職員数こそが、各教育機関のメールインフラの規模と複雑さを如実に表していると考えています。
大学はサイバー犯罪者にとって格好の標的であり、特にフィッシングやソーシャルエンジニアリング攻撃に対して脆弱である。
- 学校は、個人を特定できる情報(PII)やその他のデータを大量に保有しており、その中には知的財産、学生・教職員・卒業生の記録、財務データ、研究記録、資金調達記録などが含まれます。
- 分散型インフラ、学内・学外のネットワークアクセス、シャドーIT、そして大規模な学習管理システムは、数多くの侵入経路を持つ、より広範で防御が困難な攻撃対象領域を生み出しています。
- IT部門はサイバーリスクに関する情報をますます積極的に発信しているものの、その規模や構成が絶えず変化しているため、キャンパスコミュニティに対してセキュリティ上の問題について一貫して最新情報を提供し、教育を行うことは困難です。その結果、フィッシング攻撃に引っかかる教職員や学生が増えています。
- 欧州の学生を対象とした主要なプライバシー枠組みであるGDPRへの準拠は、学校側にはDMARCのようなサイバーセキュリティのベストプラクティスを確立・維持するために必要なリソースや専門知識が不足しているため、困難を伴います。
「DMARCの導入は、単なるコンプライアンス対応にとどまりません。これは、貴機関の評判を守り、学生を保護し、安全な通信を確保するための極めて重要な投資です。メール詐欺やセキュリティリスクから身を守るためには、この取り組みを優先することが不可欠です。dmarcianでは、ダブリンシティ大学をはじめとする各大学に対し、DMARCの導入を支援し、ヨーロッパ全域でデータセキュリティとコンプライアンスを確保することに成功しています。」
—dmarcianヨーロッパ本部ディレクター、ダーモット・ハーネット
欧州における教育機関を装ったフィッシング詐欺
4万人以上の学生、1万2千人の職員、そして1,000以上の学位プログラムを有するマンチェスター大学は、英国最大級の大学の一つです。2023年、同大学が新たなCISO(最高情報セキュリティ責任者)を迎えて間もなく、サイバー犯罪者たちがフィッシングメールを介して大学のネットワークに侵入しました。
ネットワークへの初期アクセス権を獲得した後、このデジタル侵入者はシステムリソースに侵入し、データを持ち出すことに成功しました。本記事執筆時点で、同大学による本件に関する最新の更新情報は2025年2月25日付のものとなっています。詳細はこちらをご覧ください。
幸いなことに、マンチェスターは社内チームと外部パートナーの協力により、学校にとって特に多忙な時期である学年末においても、ほとんどのサービスをオンラインで維持することができた。
欧州の高等教育機関トップ500のDMARCステータス
残念ながら、教職員数に基づいて集計した欧州の高等教育機関トップ500のドメインを見ると、保護されているのはわずか4分の1に過ぎず、その保護率は p=quarantine(疑わしいメールをスパムフォルダに振り分ける)といった保護措置が講じられているに過ぎないことがわかります。あるいは、 p=reject(DKIMまたはSPF認証を通過しなかったメールを一切配信しない)という保護レベルで保護されているに過ぎないことがわかります。
残りの75%は、以下のドメインの組み合わせです p=none(DMARCの監視のみを行い、強制は行わないポリシー)、ベストプラクティスに従っていないDMARCレコード、およびDMARCレコードが全く存在しないドメインが混在しています。
SPFに関する問題
SPF認証はドメイン所有者を困惑させがちですが、欧州の高等教育分野も例外ではありません。当社の調査によると、ドメインの26%にSPFに関する問題が見られました。具体的には、ルックアップ数が多すぎる、SPFレコードが存在しない、複数のSPFレコードが存在する、あるいは通常は構文エラーに起因する無効なレコードなどが挙げられます。
有効かつ正確で、正しく設定されたSPFレコードは、認証の適用範囲、配信率、およびセキュリティの向上につながります。
RUAレポートの宛先が指定されていない
調査対象となった欧州の大学ドメインのうち、21%が、DMARCレポートの送信先を指定するRUAレポートアドレスを記載していなかったことが判明しました。RUAアドレスを記載することはベストプラクティスです。これを記載しないと、良い面も悪い面も含め、自ドメインがどのように利用されているかを把握することができません。
英国の高等教育機関トップ100のDMARCステータス
英国の高等教育分野において、DMARCポリシーの適用レベルが最も高いのは以下の設定であることが判明しました。 p=reject および p=quarantineにおいて、DMARCポリシーの適用率が最も高いことが判明しました(46%)。残りの54%のドメインは、DMARCが提供する安全性と保証の対象外となっています。
また、明るい材料としては、英国のドメインではSPFの問題(20%)やRUAタグの欠落(11%)の発生率が最も低かったため、これは確かに進歩と言えるでしょう。
一方、英国科学・イノベーション・技術省が実施した「2024年サイバーセキュリティ侵害調査」(企業、慈善団体、教育機関に対するサイバー攻撃の影響に関する年次調査)によると、2024年には高等教育機関の97%が侵害や攻撃を受けたことが報告されている。
「攻撃の種類を分析すると、高等教育機関は、フィッシング攻撃(100%)、なりすまし攻撃(90%)、ウイルス・スパイウェア・マルウェア(77%)、職員によるファイルやネットワークへの不正アクセス(27%)、外部者によるファイルやネットワークへの不正アクセス(20%)、その他の侵害や攻撃(47%)において、特に顕著な数値を示した。」
フランスの高等教育機関トップ100のDMARCステータス
19%が p=reject で19%、 p=quarantineであることから、調査対象となったフランスの大学ドメインの32%は、DMARCのおかげでフィッシング攻撃に悪用される危険から守られています。残りの68%のドメインは、DMARCレコードが設定されていないため保護されておらず、ドメインの悪用に対して脆弱な状態にあります。 p=none ポリシーを公開している、あるいはDMARC、SPF、DKIMのベストプラクティスに従っていないため、保護されておらず、ドメイン悪用に対して脆弱です。調査対象とした5つのドメイン群のうち、フランスの高等教育機関100ドメインでは、SPFレコードの問題や、RUAタグの欠落・無効化が最も高い割合で発生していることが確認されました。
ドイツの高等教育機関トップ100のDMARCステータス
ドイツの高等教育機関トップ100校のうち、DMARC実施ポリシーの適用レベルが最も低いのは p=reject または p=quarantine というDMARC適用ポリシーが最も低い水準(12%)となっています。これらのドメインの圧倒的多数(82%)は無防備な状態にあり、DMARCがないため、サイバー犯罪者はこれらのドメインをフィッシング攻撃に悪用するために自由にアクセスできてしまいます。
アイルランドの高等教育機関トップ30のDMARCステータス
もう少し西のアイルランドでは、DMARCの適用率が最も低く、上位の高等教育機関ドメインの7%が p=reject 、7%が p=quarantineでした。つまり、調査対象ドメインの86%は保護されていないことになります。この地域には教育機関が少ないため、サンプルサイズは30ドメインでした。
アイルランドはDMARCの導入において遅れをとっているわけではない。欧州委員会の「インターネット標準導入状況モニタリング」によると、アイルランドのドメインの36%がDMARCポリシーを適用レベルで導入しており、これはEU平均をわずかに上回っている。
また、欧州の小売業界におけるDMARC導入に関する調査で指摘したように、アイルランドは世界で最もフィッシング被害の多い国であり、アイルランドの成人の3分の2近くがフィッシング攻撃の標的となった経験があります。
DCUがメールセキュリティを強化し、サポート負担の軽減に取り組んだDMARC導入の取り組みについてご紹介します。
私たちは、ヨーロッパの学校を支援するためにここにいます
電子メールセキュリティの専門家チームを擁し、電子メールセキュリティを通じて電子メールとインターネットの信頼性を高めることを使命とするdmarcianとパートナー各社は、教育機関がDMARCの適用を実現できるよう支援しています。私たちは、フィッシングからドメインを守り、長期的な視点で電子メールセキュリティを管理できるよう、皆様をサポートするチームです。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
