メインコンテンツへスキップ
DMARCの導入:2026年FIFAワールドカップ 

DMARCの導入:2026年FIFAワールドカップ 

2026年5月28日
エコシステムニュース

今回のDMARC導入に関する調査では、FIFAワールドカップのエコシステムに着目し、6月に世界のスポーツ界の注目の的となる中、各国代表チーム、リーグ所属クラブ、スポンサー、そして開催地のサポーターが、ドメインセキュリティの面でどのような状況にあるかを検証します。

3カ国が共同開催し、16都市で48チームが参加する史上最大規模となる2026 FIFAワールドカップのデジタル環境では、セキュアなインターネットドメインやメール認証に関して、イエローカードやレッドカードが相次いでいる。

調査対象となったワールドカップ関連のドメインは、セキュリティ対策が不十分なドメインから、DMARCの適用ポリシーとして「p=quarantineまたはp=rejectを設定しているドメインまで、フィッシングやなりすましに対するセキュリティ対策のレベルに大きなばらつきが見られました。平均して45%のドメインが、フィッシング、なりすまし、メール詐欺のリスクにさらされています。500万人以上が現地で試合を観戦し、さらに数十億人が遠隔地から視聴することを考えると、その影響は甚大です。

米国が2026年FIFAワールドカップに向けて数百万人の来場者を迎える準備を進める中、CISAは開催都市や全国のパートナーと連携し、地域社会が安全に大会を祝えるよう支援しています。 当庁のチームは、物理的およびサイバーセキュリティの評価、複数機関による合同演習、脅威の監視、レジリエンス計画の策定を行っています。CISAは、スタジアム、交通システム、通信ネットワーク、および重要インフラと連携し、セキュリティの強化とレジリエンスの構築に取り組んでいます。CISAは、ワールドカップの会場および関連インフラ全体にわたる評価を完了し、約200の連邦パートナー機関と2,000人の参加者を巻き込んだ6回の準備演習を実施しました。

—サイバーセキュリティ・インフラセキュリティ庁(CISA)

DMARCの導入:サッカーリーグ

海外のリーグの例として、世界で最も人気のあるプロスポーツリーグの2つであるラ・リーガとイングランド・プレミアリーグ(EPL)について調査を行った。 

DMARCの導入状況:2026年FIFAワールドカップ・ラ・リーガの推移
DMARCの導入状況:2026年FIFAワールドカップ プレミアリーグの推移

我々は、スペインとイングランドにおけるそれぞれの異なるプライバシー規制が、電子メールのセキュリティやドメイン保護の水準に影響を与えているかどうかを調査した。

例えば、ラ・リーガのクラブの30%はDMARCレコードを持っていませんが、EPLのクラブはすべてDMARCレコードを持っています。ただし、その25%は p=none というモニタリングポリシーを採用しているにもかかわらず、全クラブがDMARCレコードを保有しています。「none」というモニタリングポリシーは、メールトラフィックや送信元の可視性は提供しますが、悪意のあるメールが受信箱に届くのを防ぐことはできません。

ラ・リーガのクラブの45%が p=reject または p=quarantine のDMARCポリシーによって保護されているのに対し、EPLのチームではDMARCの適用率が65%であることがわかりました。隔離ポリシーは、SPFおよびDKIM認証に失敗したメールをスパムフォルダに送りますが、拒否ポリシーはレッドカードのようなもので、メールが詐欺のゲームに参入するのを阻止します。

英国の情報コミッショナー事務所(ICO)は、英国版GDPRに基づき厳格な執行姿勢をとっており、電子メールのセキュリティ対策の不備などの違反行為に対して、多額の罰金(全世界の売上高の最大4%)、是正勧告、および監査を実施しています。

スペインの独立した国家監督機関であり、データ保護法の執行を担当するスペインデータ保護庁(AEPD)は、罰則の適用を控えめにし、積極的な監査よりも、ユーザー教育、同意取得ツール、および専門家による支援に重点を置いています。AEPDのこうしたアプローチが、スペインのクラブ間において、監視および隔離を重視したDMARCポリシーが広く採用されている理由の一つであると考えられます。

ベストプラクティス:
の活用によるDMARCポリシーの強化

自信を持って最適なDMARCポリシー p=rejectに自信を持って到達する方法を学びましょう。

DMARCの導入:ワールドカップ出場チーム

今回の採用調査では、リーグ所属クラブや代表チーム全体を対象に、DMARCレコードの導入状況や適用レベルについて現状を検証します。 

代表チーム:DMARCの適用率は29%

DMARCの導入:2026年FIFAワールドカップ出場チーム

ワールドカップ出場国の代表チームは、ドメインの健全性に関してやや課題を抱えています。37%はDMARCレコードを保有しておらず、34%は p=none ポリシーを採用しているか、レコードにエラーがあります。残りの29%は、関係者を保護するための強制ポリシーを公開しています。    

イラクとコートジボワール:例外的な国々

2026年ワールドカップの出場国であるイラクとコートジボワールの2カ国は、FIFA独自のドメインインフラを通じてのみ大会のメール環境に登場しており、独自にDMARCによる保護が施された存在は確認されていない。 イラクサッカー協会は「ifa.iq」を運用しているが、これはccTLD(国別コードトップレベルドメイン)であり、2003年以降のイラクの国家通信インフラ崩壊後、事実上長年にわたり休眠状態にあったもので、一般利用が再開されたのはその10年以上も経ってからである。 コートジボワールサッカー連盟は「fifciv.com」を使用している。これは西アフリカのサッカー連盟に典型的な一般登録の.comドメインであり、エンタープライズレベルのメール認証を考慮せずに立ち上げられたものである。いずれの場合も、DMARCレコードは設定されていない。

DMARCの導入:ホスト企業とワールドカップのスポンサー

本比較分析では、FIFAワールドカップのスポンサーと開催都市のサポーターを対象に、リソースの異なるこれらのユニークなグループが、この世界的なスポーツの祭典期間中、フィッシングやその他の電子メール詐欺をどのように防ごうとしているかを調査した。

ホストサポーター:DMARCの適用率55% 

DMARCの導入:2026年FIFAワールドカップ開催国

ホストサポーター(特定の開催都市と提携し、大会の資金調達やプロモーションを支援する組織)について調査したところ、親ドメインのほぼ半数がフィッシングやなりすまし攻撃に対して無防備であることが判明しました。半数以上(52%)は、次のような最適なDMARCポリシーを採用しています。 p=reject という最適なDMARCポリシーを採用しており、3%は p=quarantine というポリシーを採用しており、ほぼ同等の水準に達していました。     

ワールドカップのスポンサー:71%がDMARCを適用

DMARCの導入:2026年FIFAワールドカップのスポンサー

FIFAワールドカップのスポンサー企業に関しては、ドメインのセキュリティ状況は比較的良好に見えます。ただし、DMARCレコードのエラー、レコードの欠如、あるいは p=none ポリシーが原因で、フィッシングやスプーフィング攻撃のリスクにさらされている。一方、71%は「拒否」または「隔離」の適用を受けており、これは当社のワールドカップ導入監査において最も保護されているグループである。 

SPFに関する問題

調査の結果、ワールドカップのエコシステムにおいては、SPFに関するミスが頻繁に発生していることが判明しました。具体的には、過剰な照会、SPFレコードの欠落、複数のSPFレコードの存在、あるいは構文エラーに起因する無効なレコードなどが挙げられます。

SPF構文を確認してください

SPFレコードは正確に設定され、認証範囲の拡大、メールの配信率向上、およびドメインのセキュリティ強化に向けて適切に調整されていますか?

RUAレポートの宛先が指定されていない

DMARCレコードの検証において、RUAレポート用メールアドレスが欠落しているという問題が繰り返し確認されました。RUAはDMARCの重要な要素であり、DMARCレポートの送信先を決定します。RUAアドレスがない場合、お客様のドメインを使用して送信されるメールが正当なものか否か、その状況を把握することができません。この可視性は、不正なドメイン使用を特定し、是正するために不可欠です。

オリンピックやワールドカップのような大規模イベントは、世界的な注目、膨大なデジタルインフラ、そして厳しい時間的制約が重なり合うため、悪意ある攻撃者にとって格好の標的となります。偽のチケット販売サイトやサイバー妨害行為が見られるということは、2つのことを示しています。第一に、攻撃者は注目と資金が集中する場所を狙うということです。第二に、こうしたイベントは攻撃対象領域を劇的に拡大させるということです。守るべきはスタジアムだけではありません。エコシステム全体を守らなければならないのです。 チケット販売プラットフォーム、放送システム、交通網、スポンサー、ベンダー、モバイルアプリ、そして何百万人もの観客のデバイスを守らなければならないのです。

—ジャスティン・ミラー、タルサ大学政府技術学サイバー研究 実務准教授

DMARCで防御策を講じる

企業は、DMARCおよびその基盤技術であるSPFやDKIMをドメインベースの制御手段として活用し、以下の課題に対処しています:

  • メール詐欺 – DMARCの本来の用途。DMARCは、ドメインがどのように使用されているかを可視化し、不正な送信者が組織を装ってメールを送信することを防ぎます。
  • サードパーティのセキュリティ:DMARCを利用すれば、ベンダーのセキュリティ態勢を迅速に評価・監視することができます。
  • コンプライアンス– 産業界、政府、および規制当局は、DMARCの導入をますます求めている。

dmarcianが提供できるサポート

電子メールセキュリティの専門家チームを擁し、「電子メールとインターネットをより信頼できるものにする」という使命を掲げるdmarcianは、お客様のドメインカタログの評価、DMARCの導入、そして長期的なドメインセキュリティの管理を支援いたします。当社の専門知識と「DMARC for All」という理念を活かし、お客様をサポートいたします。

  • 専門的なガイダンスにより、「監視(none)」から「強制適用(quarantine / reject)」への安全な移行を推進します。
  • SPFDKIMDMARCの仕組みと、それらが不可欠な理由を理解しましょう。
  • これらのプロトコルを正しく構成し、メールがスムーズに届く環境(到達率の確保)を整えます。
  • 認証レポートを継続的に監視し、問題を迅速に特定して解決します。
御社のメールを信頼している人々を守りましょう

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。

DMARCDMARCの導入DMARCのメリット調査

関連記事