欧州の小売業者におけるDMARCの導入状況
2025年5月9日更新:欧州の小売業界を標的とした新たなフィッシング詐欺について
今年実施されたGoogleとYahoo!によるDMARC義務化は、小売業界を含む多くの企業に影響を与えました。デジタルトランスフォーメーションの進展に伴い、小売業者はオンライン売上への依存度を高めています。パンデミックの間、世界的に小売売上高の20%から30%が、実店舗での取引からオンラインへと移行しました。
消費者が買い物をしている場所で彼らにリーチするためには、小売業者は受信トレイの目立つ位置にメールを表示させ、確実な配信を実現する必要があります。小売業者に影響を与える2025年のPCI DMARC要件を控え、小売業者が自社と顧客をどのように保護しているのかを詳しく検証する良い機会だと考えました。
小売業界は、いくつかの主な理由から、フィッシング詐欺などの悪用に対して特に脆弱です:
- サプライチェーンやサードパーティのサービス(請求書発行、ウェブサイトのホスティング、オンラインショッピングカートモジュール、広告サービスなど)への依存は、ビジネスメールやサプライチェーンの侵害リスクを高める要因となります。
- 小売店のギフトカードは、利便性、携帯性、そして匿名性を兼ね備えているため、犯罪者にとって魅力的な標的となっています。
- 季節的な繁忙期における人材確保の課題(臨時従業員への依存や平均を上回る離職率など)が重なり、サイバーセキュリティ関連の詐欺を見抜くための適切な訓練を受けていない、経験の浅い従業員が増加している。
- ロイヤリティ・プログラムやポイントプログラムの普及に伴い、小売業者は個人を特定できる情報(PII)をますます大量に保有するようになっており、悪意のある者たちもこれに目を付けている。
フィッシングや認証情報の収集は、ほとんどのサイバー犯罪活動において主要な侵入経路として、年間を通じて依然として最優先の脅威となっています。会員からの報告によると、個人識別情報(PII)の収集を目的として消費者を標的とした、人気商品のプロモーションを餌にしたフィッシング攻撃が、依然として絶え間なく発生しています。
RH-ISAC 2024年ホリデーシーズンのサイバー脅威動向レポート
欧州における小売業を標的としたフィッシング詐欺
フィッシング攻撃は、特に顧客を騙して支払い情報を漏洩させることを目的として、大手小売企業を標的とすることがよくあります。DMARCを強制ポリシーと共に導入することで、攻撃者がその企業のドメインから送信されたように見せかけたメールを送信することを防ぎ、小売ブランドを保護するとともに、顧客をなりすまし攻撃から守ることができます。
小売業界でよく見られるサイバー攻撃には、偽の注文確認メール、アカウント認証情報のフィッシング、ギフトカード詐欺、偽のプロモーション、請求書詐欺などがありますが、これらはすべてDMARCによって防止することができます。
過去2年間、マークス&スペンサー(M&S)やコープなど、欧州の小売業者は相次ぐサイバー攻撃に見舞われてきた。M&Sはランサムウェア攻撃に対処するため、英国とアイルランドでのオンライン注文を数日間停止せざるを得ず、一部の店舗では商品が品切れになる事態となった。
Co-opは、システムへの侵入試みを検知したため、ITシステムの一部を停止せざるを得なくなり、その結果、バックオフィス業務やコールセンターの運営に支障が生じた。こうした相次ぐインシデントは、ECであれ実店舗であれ、いかなる小売業者も攻撃から免れることはできないことを浮き彫りにしている。
DMARCが、貴社のPCI DSS要件への準拠にどのように役立つかをご覧ください。
欧州の小売企業トップ500社のDMARCステータス
欧州の小売業者上位500社(推定売上高順)のメールドメインを対象に調査を行い、DMARCの導入状況の推移を把握しました。
まず、良いニュースから:最も高い割合を占めているのが p=rejectが最も高い割合を占めているのは素晴らしいことです。これは、不正なメールが受信トレイに届く前に排除されるという、DMARC導入の究極の目標です。 p=quarantine ポリシー(不正なメールをスパムフォルダに送るもの)が適用されているドメインを加えると、これらの小売業者の41%が、DMARCポリシーを強制レベルで運用しています。
欧州委員会の「インターネット標準導入状況モニタリング」ウェブサイトによると、EU域内のドメインにおけるDMARC Strictポリシーの対応率は、現在累積平均で35%となっており、国によって差が見られます。一方、小売業界(少なくとも大手小売業者)では41%と、他より先行しているようです。
しかし、残念なことに、残りの59%以上は、DMARCレコードが存在しなかったか、DMARCレコードに不備があった(構文エラーがあるか、推奨されるベストプラクティスに従っていなかった)、あるいは p=none ポリシーを公開していたことです。これらはすべて、DMARCおよびその認証基盤であるSPFやDKIMを通じたフィッシングやドメインなりすましに対する保護が機能していないことを意味します。
SPFに関する問題
SPFというセキュリティ支援技術の導入状況を詳しく調査したところ、SPFレコードの13%が不正な形式であったり、推奨されるベストプラクティスに従っていなかったりすることが判明しました。これは、それらのドメインが十分に保護されていないことを意味します。最も一般的な問題はSPF構文の誤用であり、次いで10件というルックアップ制限を超過したレコードによる「Too Many Lookups」エラーが挙げられます。 セキュリティ体制を損なう恐れのあるSPFフラットニングのような回避策を用いることなく、これらの問題を修正するためのガイダンスを提供しています。
さらに、ドメイン所有者の11%はSPFを導入せず、DKIMのみに依存することで、SPFを完全に回避していました。このリストに掲載されている企業の4分の1近くが、SPFを使用していないか、あるいは誤った方法で導入しているという点に注目すべきです。
フランスの小売業者トップ100社のDMARCステータス
そこで、さらに掘り下げ、結果を詳細に分析することにしました。欧州トップ500社の中で、ドイツと並んでEU域内での存在感が最も大きいフランス上位100社の小売業者(これも推定売上高に基づく)を対象としました。
フランスの国家情報システムセキュリティ庁(Agence nationale de la sécurité des systèmes d’information、略称ANSSI)は、DMARC、SPF、DKIMなど、電子メールの真正性と完全性を検証する役割を果たす特定のプロトコルの導入を推奨しています。
しかし、フランスの小売業界では、トップ100ドメインのうち、ポリシーが実際に適用されているのはわずか32%にとどまり、68%はDMARCレコードが存在しないか、現在のレコードに問題があるため、セキュリティ上のリスクにさらされています。これは、欧州のトップ500企業(それぞれ41%と59%)と比較して9ポイント低い数値です。
ドイツの小売業者トップ100社のDMARCステータス
欧州トップ500社の中で、ドイツ(EU内で大きな存在感を示すもう一つの国)の上位100社を選定しました。
SPFをDKIMおよびDMARCと組み合わせて使用することで、送信者認証は最大の効果を発揮します。DKIMは、メッセージが改ざんされておらず、記載された送信者から実際に送信されたものであることを保証します。DMARCと組み合わせることで、受信側のサーバーには、認証されていないメールをどのように処理すべきかについて明確な指示が与えられます。これらのプロトコルは新しいものではありませんが、電子メール通信のセキュリティを大幅に向上させるためには、より広く採用される必要があります。
ドイツ連邦情報セキュリティ局(BSI)の局長、クラウディア・プラットナー
フランスの小売業者よりは若干良い状況にあるが、ドイツの小売業者上位100社のうち、DMARCレコードが適切に設定されていることで恩恵を受けているのは40%であるのに対し、60%はそうではないことが分かった。
英国の小売業者トップ100社のDMARCステータス
また、英国にも注目しており、同国を欧州トップ500に含めました。サイバー犯罪の被害に遭った英国企業の約90%がフィッシング被害を報告しており、これは英国企業にとって最も一般的なサイバー攻撃となっています。
ブレグジットにより、運用効率の低下、EUの意思決定プロセスからの排除、そして潜在的な人材不足によって、英国のサイバーセキュリティ環境が悪影響を受けるのではないかと懸念する声も上がっている。
こうした懸念の多くは現実のものとはならなかった。なぜなら、各国の情報機関間の協力関係に直接的な影響は及んでおらず、英国は依然として広範な国際的なパートナーシップのネットワークを通じて大きな影響力を維持しているからである。
英国の国家サイバーセキュリティセンター(NCSC)は、電子メールのセキュリティコンプライアンスを評価するための無料プラットフォーム「Mail Check」も開発しました。Mail Checkは、公共部門の組織がSPF、DKIM、DMARC、およびTLSを導入するのを支援します。
この傾向は調査結果にも表れており、英国の小売業者トップ100社のうち58%がDMARCポリシーを適用しており、欧州の小売業者トップ500社の平均(41%)および欧州委員会のインターネット標準導入モニタリングの平均(35%)を上回っています。
アイルランドの小売業者トップ100社のDMARCステータス
dmarcianの欧州事業本部がアイルランドに拠点を置いていることから、今回は同国に焦点を当ててご紹介します。当社は、アウトリーチ活動、連携、啓発活動を通じて、現地のサイバーセキュリティコミュニティを積極的に支援しています。
アイルランドは世界で最もフィッシング被害の多い国としてランク付けされており、アイルランドの成人の3分の2近くがフィッシングの被害に遭った経験がある。
数字が示す通り、少なくともアイルランドの小売業界においては、我々に課せられた課題は山積みです。DMARCを適用している割合は19%にとどまり(81%はDMARCの恩恵を受けていない)、これは我々が調査した他の地域に比べてはるかに低い数値です。
とはいえ、今年初めに調査したDMARCの導入状況において、アイルランドが他国に遅れをとっているというわけではない。実際、欧州委員会の「インターネット標準導入状況モニタリング」によると、アイルランドのドメインの36%が適用ポリシーを策定しており、これはEU平均をわずかに上回る数値となっている。
DMARCポリシーの適用状況の比較
この比較から、調査対象となったカテゴリーのうち、5つのうち3つが欧州(全体)の平均値から6パーセントポイント以内の差に収まっていることがわかります。一方、両極端を見ると、アイルランドの小売業者上位100ドメインのうち保護されているのはわずか19%であるのに対し、英国の小売業者上位100ドメインのうち58%は、完全一致ドメインによるフィッシング攻撃から安全であることがわかります。
すべてのカテゴリーにおいて明らかなのは、DMARCの導入はまだ発展途上にあるものの、確実に進展しているという点です。GoogleやYahoo!の事例からもわかるように、メール送信者への要件は、政府主導の取り組みや規制団体と同様に、DMARCの普及拡大において大きな役割を果たしています。DMARCが「あれば便利なもの」から「必須のもの」へと変化し続ける中、dmarcianは、小売業者が顧客を保護し、進化し続けるEコマース市場においてブランドの評判を強化できるよう、啓発活動と提言に尽力してまいります。
「欧州の小売業者は、支払い情報から個人情報に至るまで、膨大な量の機密性の高い顧客データを管理しているため、依然としてメールによるフィッシング攻撃の主要な標的となっています。DMARCのような強固な対策を講じることで、消費者の信頼を守れるだけでなく、多額の金銭的損失を軽減することも可能です。」
ダーモット・ハーネット、dmarcianヨーロッパ本部ディレクター
では、皆様をサポートいたします。メールセキュリティの専門家チームを擁し、ドメインセキュリティを通じてメールとインターネットの信頼性を高めることを使命とするdmarcianとパートナー各社は、小売業者がDMARCを確実に適用し、顧客とブランドを保護できるよう支援してきました。私たちは、フィッシングからドメインを守り、長期的な視点でメールセキュリティを管理できるよう、皆様を全力でサポートいたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
