TwoFiveは、大学を対象に実施した、なりすましメール対策に関する実態調査の結果を5月21日に発表した。同調査は、5月に国立大学:84校/1432ドメイン、公立大学:100校/153ドメイン、私立大学:610校/1157ドメイン、短期大学:281校/416ドメインを対象に行われている。
同社は、送信ドメイン認証技術であるDMARCおよびBIMIの導入技術支援、DMARCレポート解析サービス、DMARCレポート作成サービスなどを提供している。
調査結果によれば、調査対象となった大学のうち、485校(45.1%)が少なくとも1つのドメインにおいて、DMARCを導入している。2024年に実施した調査の結果(429校/38.4%)からは増加したものの、まだまだ導入が進んでいないことが明らかになった。
DMARC導入済みの大学におけるDMARCポリシーの設定率をみると、84.2%がポリシーを「none」(なにもしない)に設定していることがわかった。強制力のあるポリシーとなる「quarantine」(隔離)を設定している大学は9.4%、「reject」(拒否)を設定している大学は9.6%となっている。
この結果は、Gmailなどのガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされていることが反映されていると考えられる。しかしながら、DMARCポリシーの設定が「none」(何もしない)である場合、メール送信状況の可視化には有効だがなりすましメールの制御はできないため、なりすましメールがメールボックスに届いてしまい、攻撃者に狙われるリスクがある。
そこで同社は、DMARC導入を推進するだけではなく、すでにモニタリングしているメールドメインのレポート分析や、メール送信環境の適正化および強制力のあるポリシー(quarantine、reject)への切り替えが今後の課題になるとしている。
この記事は参考になりましたか?
この記事をシェア