メインコンテンツへスキップ
日本企業におけるDMARCの導入状況

日本企業におけるDMARCの導入状況

2025年10月2日
エコシステムニュースセキュリティ・インサイト

主なポイント

  • 多くの日本企業ではDMARCの適用が不十分
  • 日本の規制環境と最近のフィッシング攻撃の実態
  • 日本のドメインにおいて、SPFレコード不備が目立つ  
  • DMARCは不正なメールを阻止するだけでなく、配信率も向上させる

日本には、サイバーセキュリティ体制の強化に向けて舵を切り、インフラの安定化を推し進める先進的な技術系企業が数多く存在します。しかし、DMARCの導入率およびポリシーの強制(Enforcement)の適用率は、依然として低い水準に留まっています。 

フィッシングやメールのなりすましは、あらゆる組織を標的とする最も一般的な攻撃手段の一つであり続けているため、DMARC対策の導入はもはや任意の選択肢ではなく、ブランドの信頼性とメールの到達率を確保するために不可欠なものとなっています。 

Googleと米Yahooが主導した大量送信者向けのDMARC義務化の発表に続き、LINEヤフーも同様の義務化方針を打ち出しました。

「Yahoo!メールを安心・安全にご利用いただくため、メール送信者の皆様には送信ドメイン認証の導入を推奨しています。SPF、DKIM、DMARC認証が導入されていない、または認証を通過しないメールは、迷惑メールと判定されたり、受信拒否されたりする可能性があります。
当社では、Yahoo!オークションやYahoo!ウォレット利用時にYahoo! JAPANから送信されるメールへの送信者認証の導入をはじめ、なりすましやフィッシング対策を強化していきます。また、銀行やクレジットカード会社などへの送信ドメイン認証技術の導入働きかけも予定しており、メールによる個人情報窃盗の未未然防止の最大化に努めてまいります」 

— LINEヤフー株式会社

日本の規制環境とDMARC

  • 経済産業省(METI)と金融セクター: 経済産業省はクレジットカード会社に対し、DMARCの導入を要請しました。このガイドラインは、PCI DSSに類似したクレジットカード決済の包括的なセキュリティプログラム「3Dセキュア」に関連しています。
  • 経済産業省(METI)と半導体産業: さらに同省は、メールのなりすまし対策とサプライチェーン全体のセキュリティ強化を目的に、半導体製造業者に対しても取引条件にDMARCを追加するよう求めています。
  • 政府統一基準: 日本の政府機関等においてDMARCの導入は必須(義務化)となっており、政府全体の統一IT基準とも整合しています。
  • 主要プロバイダーの要件: Google、Yahoo、Yahoo Japan、Apple、Microsoftは、大量送信者に対してDMARCの遵守を義務付けています
  • 警察庁: 警察庁は、偽のメールによる詐欺被害を阻止する有効な手段としてDMARCに注目しています。他省庁と連携し、未認証のメールを受信サーバー側で完全にブロックする最も強力なポリシーである p=reject (拒否) での導入・啓発を積極的に進めています。 

能動的サイバー防御法(ACD)とDMARC

2025年5月に批准された日本の「能動的サイバー防御法(ACD)」は、政府機関や企業のネットワークに新たな義務を課しています。DMARCは、同法の核心的な要件と自然に合致しています。

通信(トラフィック)の監視: 同法は脅威に対するネットワークトラフィックの継続的な監視を義務付けています。DMARCのレポート機能はメールにおいてまさにこの可視性を提供し、セキュリティチームに対して、自社ドメインにおける正規の送信活動と不審な挙動の両方を構造的かつ継続的に可視化します。

24時間以内のインシデント報告: 同法は重要インフラ事業者に対し、サイバーインシデントを検知してから24時間以内に報告することを求めています。DMARCのレポートインフラは、フィッシングやなりすまし事案を迅速に再構築(タイムラインの把握など)するために必要な、詳細なドメインレベルのデータを提供します。

日本で急増するフィッシング攻撃

2025年前半、日本企業はサイバー犯罪者による激しいフィッシング攻撃の嵐にさらされました。犯罪者たちはフィッシングキットを駆使し、日本国内の個人や組織を標的とした悪質なメールキャンペーンを大量に配信しました。

多くの場合、攻撃者はAmazon、PayPay、三井住友カードといった日本国内の著名なブランドを騙りました。これらの偽メールはソーシャルエンジニアリングの手法を用いて人々を偽のログインページへと誘導し、ログイン資格情報(ID・パスワード)やクレジットカード情報を盗み出そうとしました。警察庁の発表によると、2025年上半期のフィッシング被害件数は過去最高の120万件に達し、インターネットバンキングにおける不正送金被害額は42.2億円を超えました。 

日本の売上高トップ250社におけるDMARC導入状況

dmarcianでは、日本の売上高トップ250社を対象にDMARCの設定状況を調査しました。結果は以下の通りです。 

  • 31%にはDMARCレコードがない
  • 31%が p=none 監視のみの段階。なりすましメールをブロックする強制力はありません。
  • 19%はベストプラクティスに従っておらず、レコードにエラーがあるか、可視性が確保されておらずドメインが危険に晒されている状態。
  • 9%はp=rejectに次ぐ段階のp=quarantineというDMARCポリシーを採用しています。
  • 10%は p=rejectとなり、DMARCが提供する保護機能を最大限に活用しています。

このデータから、日本のトップ企業の81%が、メール悪用(なりすまし)に対する防御ができていないことがわかります。これらの組織の親ドメインは、DMARCレコードがそもそも存在しないか、レコードに誤りがあるか、あるいは認証に失敗したメールを保護できない「監視フェーズ(p=none)」に留まっています。 

完全に保護されている p=reject に達している企業はわずか10%であり、迷惑メールフォルダに隔離される p=quarantine を適用している企業は9%に過ぎません。

GoogleやYahooが大量送信者に対してDMARCの導入を求めた後、世界中のドメイン所有者が最低限の要件を満たすために、急いで p=none のレコードを公開しました。しかし、今日に至るまで、多くの大量送信者ドメインが p=quarantinep=reject といった「強制ポリシー」がもたらす本来のメリットを理解せぬまま、 p=none の監視ポリシーに留まり続けています。 

日本における強制ポリシーの導入遅れを考えると、この「p=none で十分(設定しただけで満足)」という現象が、今回調査した企業にも当てはまっているのではないかと考えざるを得ません。メールエコシステムの動向を見据えると、今後は大手メールプロバイダーがメールをより安全にし、スパムを削減するために、「DMARCの強制ポリシー(隔離または拒否)の適用」を義務化していくことは間違いありません。     

日本におけるDMARC導入の課題  

日本のドメイン調査で発見されたエラーを分析したところ、33%のドメインでSPFレコードが完全に欠落しており、さらに43%でDMARCレコードに不備があることが判明しました。これにより、大多数のドメインがメール認証の失敗に見舞われるリスクにさらされています。SPFレコードの問題を詳細に見ると、12%にエラーがあり、7%がDNSルックアップの制限を超過しており、5%で構文が不正であることがわかりました。

  • 33% がSPFレコードをまったく持っていない。
  • 43% に不完全な(エラーのある)DMARCレコードが見られる。
  • 12% に一般的な記述エラーがある。
  • 7%は、SPFルックアップの制限を超えるSPFレコードを持っている
  • 5%に無効なSPFレコードがある
自社のSPFレコードを今すぐチェックしましょう

御社のSPFレコードの構文は正しいですか?エラーはありませんか? 記述に不備があると、メールの到達率(配信成功率)が低下したり、メール認証自体が失敗したりする原因になります。

なぜDMARCが不可欠なのか?

DMARCのような強力なセキュリティコントロールを導入して不正メールを阻止することで、メールの到達率が向上し、ブランドの信頼が維持され、ドメイン所有者は自社のメール環境を完全に可視化できるようになります。自社のDMARCを p=quarantine または p=reject の強制ポリシーに引き上げ、さらにサードパーティベンダー(外部委託先)にもDMARC要件を求める組織は、自社のメールプログラムだけでなく、サプライチェーン全体の運用をより安全にすることに貢献します。

「日本の顧客(ユーザー)は細部へのこだわりが非常に強く、また、新しい技術の採用に対して非常に慎重です。これはDMARCのようなセキュリティ対策において特に顕著で、設定を一つ間違えれば、顧客への重要な連絡(メール)が届かなくなってしまうという懸念があるからです。私たちは、日本国内にデータセンターを構え、地域のサポート体制と現地の専門パートナーとのネットワークを用意しています。日本企業が自信を持って安全にDMARCを導入できるよう、万全の体制で支援いたします」

— Tass Kalfoglou(dmarcian APACディレクター)

dmarcianが提供できるサポート

フィッシングやなりすまし攻撃と戦う上で、効果的なDMARCの導入と継続的なメンテナンスは極めて重要です。私たちは、最初から正しい設定をスムーズに行うためのリソースと専門知識を提供しています。 

私たちは、あらゆる規模の組織を以下のように支援します。

  • 推測や業務の混乱を排除し、正しい方法でDMARCを導入。
  • 御社に代わって送信しているすべてのソースを把握し、メールエコシステム全体の完全な可視化を実現。
  • 進化し続けるメールセキュリティポリシーの一歩先を行く。
御社のメールを信頼している人々を守りましょう

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。

APACDMARCDMARCの導入DMARCのメリット調査

関連記事