2026年のフォーチュン100企業におけるDMARCの導入状況

2022年第1四半期、私たちはフォーチュン100社（米国の売上高上位企業をランク付けした年次リスト）におけるDMARCの導入状況について調査を行いました。 

当時、GoogleとYahoo!は、 業界の構造を一変させるような送信者要件をまだ発表していませんでした。そこで、Google、Yahoo!、MicrosoftによるDMARCの義務化以降、フォーチュン100企業がどのような進展を遂げたのかを確認するため、2026年の状況を調査してみることにしました。

調査の結果、次のようなことがわかりました：

2022年から2026年にかけて、フォーチュン100企業におけるDMARCの導入状況には、次のような傾向が見られました：

• 「 p=reject
• 「quarantine」に設定されたDMARCポリシーの数が30%増加しました p=quarantine
• 「p=none」に設定されたDMARCポリシーの数が68%減少した p=none
• DMARCポリシーを策定していない企業の割合が87％減少した

ドメインなりすましの脅威がますます高まる中、ここ数年のこれらの変化率は、DMARCの導入状況とポリシーの進展が全体的に改善していることを示しています。

---

---

フォーチュン100企業は主要な標的となっている

フォーチュン100企業は、依然としてサイバー犯罪者にとって格好の標的となっています。広範なデジタルフットプリント、信頼されたブランド認知度、そして膨大な顧客基盤を持つこれらの企業では、たった1回の攻撃が成功しただけで、多大な金銭的・評判的な影響を及ぼす可能性があります。

2026年1月、あるフォーチュン100にランクインする金融サービス企業が、PDFSiderと呼ばれる新しいマルウェア亜種を使用するランサムウェアグループの標的となりました。攻撃者は、スピアフィッシングメールやソーシャルエンジニアリングの手法を用いて初期アクセスを獲得し、Windowsシステムに悪意のあるペイロードを配信しました。

いくつかの事例では、攻撃者は標的に合わせて作成されたように見えるおとり文書を使用し、メールの受信者を騙して悪意のあるファイルを実行させようと試みました。

厳格なDMARCの適用が行われていない場合、犯罪者は銀行や投資会社を装い、顧客や社内の従業員に対してフィッシングメールを送信し、アカウントへのアクセス権の取得、個人情報の窃取、支払いの転送、さらにはランサムウェアのインストールなどを図ることが可能です。

攻撃者の手口が明らかになった今、次のステップは、管理しやすくかつ効率的な方法でDMARCを導入する方法を把握することです。

DMARCの導入を進める

多くの組織にとって、DMARC導入の第一段階は、DMARCポリシーを p=noneに設定されたDMARCポリシーです。この監視ポリシーは、ドメインのメールフローに制約を課すことなく、インターネット上でそのドメインがどのように使用されているかを明らかにします。この可視化には、IT部門によって適切に審査された企業のマーケティング用メールサービスプロバイダーなど、既知のドメイン利用状況も含まれます。

この初期の監視ポリシーに基づき、ドメイン管理者は組織全体のドメインカタログの構築、正当なメール送信元の特定、およびSPFまたはDKIMの検証に合格したドメインと 「From」ヘッダーのドメインを一致させる作業を行います。その後、組織はDMARCポリシーを次のように強化します。 p=quarantine へと進め、正当なメール送信元の特定に対する信頼性が高まるにつれて、 p=rejectへと移行します。

---

---

dmarcianが提供できるサポート

電子メールセキュリティの専門家チームを擁し、「電子メールとインターネットをより信頼できるものにする」という使命のもと、dmarcianはお客様のドメインカタログの評価、DMARCの導入、そして長期的なドメインセキュリティの管理を支援いたします。「DMARC for All」という理念と専門知識を活かし、私たちはお客様をサポートいたします。 

• 専門的なガイダンスにより、「監視（none）」から「強制適用（quarantine / reject）」への安全な移行を推進します。
• SPF、DKIM、DMARCの仕組みと、それらがなぜ不可欠なのかを分かりやすく解説します。
• これらのプロトコルを正しく構成し、メールがスムーズに届く環境（到達率の確保）を整えます。
• 認証レポートを継続的に監視し、問題を迅速に特定して解決します。