メインコンテンツへスキップ
スイスにおけるDMARCの現状

スイスにおけるDMARCの現状

エコシステムニュースセキュリティ・インサイト

電子メールを介したサイバー脅威は進化を続け、より巧妙かつ検知困難なものとなっています。特に、犯罪者がAIを活用してフィッシングやブランドなりすまし攻撃を開発・展開する場合、その傾向は顕著です。スイスにおいても状況は同様です。

スイスの住民から、スイス国家サイバーセキュリティセンター(NCSC)のフィッシング対策報告プラットフォーム「antiphishing.ch」に対し、97万5,309件のフィッシング被害が報告された。これは2023年比で79%の増加となる。また、NCSCはフィッシングサイトの数も108%増加したことを確認した。 

フィッシングサイトをできるだけ本物らしく見せるため、犯罪者はよく有名なブランドや企業、公的機関になりすまします。フィッシング攻撃のために犯罪者によって悪用されたブランド名は338件に上り、そのうち64%がスイスのブランドで、残りはスイス以外のブランドでした。

スイスにおける主なフィッシング標的のグラフ。DMARC。dmarcian。

金融業界、郵便事業、公共交通機関、通信業界、およびIT業界は、フィッシング攻撃の標的となる最も一般的な分野です。これらの割合は、月ごとに比較的安定していました。

スイスにおけるデータ漏洩 

本調査の背景として、スイスのドメインを標的としたデータ侵害事例を分析したところ、スイス連邦サイバーセキュリティ局(FSCOS)報告によれば、フィッシングやスパムメールが依然として最も頻繁に報告されているインシデントの2つであることが判明しました。 

スイスで最近発生したデータ侵害事件の一つにおいて、犯罪者たちはフィッシングとサプライチェーンの脆弱性悪用を駆使し、チューリッヒに拠点を置く非営利の健康教育団体「Radix Swiss Health Foundation」に対してランサムウェア攻撃を仕掛けた。 ランサムウェアグループ「Sarcoma」は、ネットワークへの侵入経路を確保するために一般的なフィッシングの手口を用い、その後サードパーティの脆弱性を悪用して、最終的に1テラバイトを超える連邦政府の文書や個人識別情報(PII)を盗み出した。これらのスキャンデータ、契約書、財務データ、および通信記録はその後ダークウェブ上に公開され、無料で入手可能となった。


dmarcianは、EMEA地域の組織に対し、DMARCを効果的に導入・監視するために必要なツール、専門知識、およびガイダンスを提供しています。


スイスの銀行におけるDMARCの導入状況

売上高順にランク付けされたスイスの銀行上位100行の親会社について調査を行いました。その結果は以下の通りです:

  • 17%にはDMARCレコードがない
  • 29%が p=none 監視・非執行段階において前科がある。
  • 15%はベストプラクティスに従っておらず、ドメインが危険にさらされたり、可視性が確保されていない状態になっています。
  • 19%が次のようなDMARCポリシーを採用しています p=quarantineであり、これは p=rejectに先立つ、最後から2番目のポリシー段階である。
  • 20%が p=rejectにあり、DMARCが提供する保護機能を最大限に活用しています。

これらのデータを検討すると、スイスの上位100行のうち61%が、電子メールによる攻撃に悪用されるリスクから保護されていないことがわかります。これらの銀行は、DMARCレコードを保有していないか、レコードに誤りがあるか、あるいは p=none というDMARCポリシーを採用しています。これは、認証に失敗したメールに対して強制措置を講じない「監視フェーズ」に相当します。銀行の20%は p=reject を達成しており、DMARCの強制措置によって完全に保護されています。19%は p=quarantine ポリシーを採用しており、認証に失敗したメールはスパムフォルダに送信されます。

スイス企業におけるDMARCの導入状況

大手銀行と同様に、売上高上位100社のスイス企業の親ドメインを調査した結果、以下の結果が得られました:

  • 12%がDMARCレコードを設定していない
  • 17%が p=none DMARCポリシー
  • 17%が記録に問題を抱えている
  • 10%が p=quarantine DMARCポリシー
  • 44%が p=reject

ご覧の通り、スイスの上位100社においては、銀行と比較してDMARCの導入と適用状況が改善されています。それでもなお、46%の企業ではドメインを保護するために必要な管理体制が整っておらず、54%の企業では p=quarantine または p=rejectというDMARC適用ポリシーを達成しています。   

SPFおよびRUAに関する懸念 

どちらのデータセットでも、ドメイン運営者がSPFの照会制限や有効なSPF構文の遵守に苦労していることが確認されました。また、RUAレポートアドレスの未設定も、よく見られるDMARCのミスです。このアドレスはDMARCレポートの送信先を決定するものであり、設定されていないと、メールやその認証結果を確認することができません。  

スイスのコンプライアンス環境とDMARC

スイスでは、企業や政府機関に対してDMARCの導入が義務付けられてはいませんが、送信者はGoogle、Yahoo、Microsoft、Appleなどの主要なメールサービスプロバイダーが公表している要件を遵守する必要があります。

DMARCに関連する義務には、重要インフラに対するサイバー攻撃に関するNCSCの報告要件や、サイバー攻撃の報告義務を含むスイス金融市場監督庁(FINMA)のサイバーリスクに関するガイダンスなどが含まれます。 

いずれの場合も、DMARCは、広範な電子メールの脅威から機密性の高い金融データを保護するだけでなく、RUAおよびRUFレポートを受信・処理することで、電子メールの攻撃対象領域を可視化する役割も果たします。これらのレポートによって得られる可視性は、電子メールの脅威の検知と対応を向上させるとともに、両規制で定められた厳しい24時間以内の報告期限を満たすための証拠を提供します。   

DMARCは、組織が一般的なデータ保護およびサイバーセキュリティのベストプラクティスに準拠するのを支援します。これは、GDPRに関連してEU域内でも事業を展開している組織にとって特に重要です。 

DMARCがスイスの組織にとってなぜ重要なのか

DMARCのような強力なセキュリティ対策が詐欺メールに対して導入されると、メールの配信率が向上し、ブランドの信頼が維持され、ドメイン所有者には状況の可視性が提供されます。DMARCレコードが p=quarantine または p=reject のDMARCレコードを設定し、サードパーティベンダーに対してもDMARC要件を課している組織は、より安全なメールプログラムとサプライチェーン運営の実現に貢献しています。

100カ国に17,000人の従業員を擁する当社の顧客の1社が、DMARCを導入した結果、大幅な改善が見られたと報告しています:

不正なメールトラフィックの割合は75%以上から5%未満にまで減少しました。当社のIT管理部門は、DMARCとdmarcianのメリットを認識しています。dmarcianのダッシュボードを活用することで、ドメイン保護の進捗状況を容易に可視化することができました。

—スイスを拠点とする世界的な農産物商社および加工業者

dmarcianがお手伝いできること

適切なDMARCの導入が重要であることは周知の事実ですが、当社は、導入を最初から確実に成功させるために必要な優れたツールと専門知識を提供しています。当社は、あらゆる規模の組織を支援しています:

  • 推測や業務の混乱を排除し、正しい方法でDMARCを導入。
  • 御社に代わって送信しているすべてのソースを把握し、メールエコシステム全体の完全な可視化を実現。
  • 進化し続けるメールセキュリティポリシーの一歩先を行く。

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。