DMARCの仕組みとnone・quarantine・rejectが分けるなりすまし防御の差

目次

DMARCの仕組みとnone・quarantine・rejectが分けるなりすまし防御の差

DMARCは送信ドメイン認証技術の一つで、正規ドメインを装ったなりすましメールを受信側で判定し処理するための仕組みです。今回のTwoFive調査を読み解く前提として、まずDMARCがどのように動作するのか、そしてnone・quarantine・rejectという3つのポリシーが防御力にどれほどの差を生むのかを整理しておきます。

DMARCがSPF・DKIMの認証結果を束ねてなりすましを判定する流れ

DMARCはDomain-based Message Authentication, Reporting and Conformanceの略で、SPFとDKIMという既存の2技術の認証結果を組み合わせて判定する仕組みになっています。SPFは送信元IPアドレスが正規のものかを確認し、DKIMは電子署名によってメール本文やヘッダーの改ざんを検知する技術です。DMARCはこれらの認証で確認された送信ドメインと、受信者の画面に表示される差出人ドメイン(ヘッダーFrom)が一致しているかどうかを検証する点に特徴があります。両者が一致しない場合、そのメールはなりすましの疑いが強いと判断されました。

ドメイン所有者は、判定後の扱いを定めたポリシーをDNSのTXTレコードとして公開します。具体的な記述例は次の通りです。

_dmarc.example.jp IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]"

このレコードのうちpタグが受信側に求める処理ポリシー、ruaタグが集約レポートの送信先を表します。受信側はこの公開情報を参照し、正規ドメインを騙る詐欺メールを機械的に振り分けられるようになるわけです。

none・quarantine・rejectの3段階で異なる受信側の処理動作

DMARCのポリシーには3つの段階があり、なりすましと判定されたメールに対する受信側の動作がそれぞれ異なります。同じDMARC導入済みであっても、どのポリシーを選んでいるかによって実際の防御力は大きく変わってくるのです。3段階の違いを整理すると以下のようになります。

ポリシー 判定後の動作 防御力 正規メール誤判定時の影響
none 通常通り受信し記録のみ なし(監視段階) 影響なし
quarantine 迷惑メールフォルダへ隔離 中程度 受信者が後から発見可能
reject 受信そのものを拒否 最も高い 正規メールも届かない

noneは監視のみで実質的な遮断効果を持たず、quarantineは隔離、rejectは受信拒否という強い処置を行います。防御力が高いほど誤判定時のリスクも増すため、段階的な移行が前提となる設計です。実際の運用では、まずnoneで現状を観察し、quarantineを経てrejectへ近づける順序が一般的になっています。防御力と誤判定リスクのバランスを見極める判断が、ポリシー選定の要点といえます。

隔離フォルダ行きのquarantineと完全拒否するrejectの保護力の差

quarantineとrejectはいずれも「強制力のあるポリシー」と呼ばれ、TwoFive調査でも保護対象として一括りに扱われています。ただし両者の保護力には明確な差があるのです。quarantineではなりすましメールが受信者の迷惑メールフォルダに届くため、誤って開封されるリスクが残ります。一方でrejectは受信サーバーの段階でメールを拒否するため、なりすましメールが受信者の目に触れる可能性そのものを断ち切れる点が強みです。

このため日本証券業協会のガイドラインでも、最終的に目指すべき到達点としてrejectが明記されました。とはいえ、いきなりrejectに設定すると正規メールまで拒否してしまう恐れがあります。まずquarantineで運用実態を確認し、安全を確かめてからrejectへ引き上げるという順序が実務上は現実的でしょう。保護力の差を理解したうえで、自社の送信実態に応じて到達点を見定めることが重要になります。

DMARC未設定でも組織ドメインのポリシーを継承するサブドメインの扱い

DMARCを語るうえで見落とされがちなのがサブドメインの扱いです。あるサブドメインにDMARCが個別設定されていなくても、その上位にあたる組織ドメインにDMARCが設定されていれば、サブドメインは原則として組織ドメインのポリシーを継承します。つまり代表ドメインへの設定が、配下の多数のサブドメインへ自動的に波及する構造になっているのです。

TwoFive調査もこの継承を前提に集計しています。日経225企業のサブドメイン7,236のうち、DMARC未設定ながら組織ドメインの設定が適用されるドメインは4,656確認されました。これにDMARCを直接設定した組織ドメイン1,135とサブドメイン2,492を合わせた8,283ドメインが、実質的なDMARC適用範囲とされています。継承の仕組みを理解しないまま個別ドメインだけを見ると、適用状況を読み違える原因になりかねません。代表ドメインへの設定が配下へ波及する一方、個別に異なるポリシーを持つサブドメインは継承の対象外となる点にも留意が必要です。

DMARCレポートで送信実態を把握してから移行を決める判断基準

noneからquarantineやrejectへ移行する際に欠かせないのが、DMARC集約レポート(ruaレポート)の活用です。レポートには、自社ドメインを差出人とするメールがどの送信元から、どれだけ送られ、認証に成功または失敗したかという情報が集約されます。これを継続的に確認することで、認証を通過できていない正規の送信経路を洗い出せます。

移行を判断する基準は明快です。社内システムや外部の配信サービスなど、正規の送信元がすべてSPF・DKIMの認証を通過していることをレポートで確認できた段階が、強制力のあるポリシーへ進む合図になります。逆に、認証失敗の正規メールが残ったままrejectへ移すと、重要な通知が顧客に届かなくなる事故につながります。レポートを読まずに移行を急ぐことが、最も避けるべき判断だといえるでしょう。蓄積したレポートを定期的に読み解く運用体制を整えることが、移行判断の精度を支えます。担当者を決めて継続的に確認する仕組みづくりも欠かせません。

2026年5月TwoFive調査が示す日経225企業213社のDMARC到達点

TwoFiveが2026年5月21日に発表した調査は、日経225企業が管理・運用する9,301ドメインを対象にDMARCの導入実態を分析したものです。調査対象ドメインとサブドメインのDNSレコードを直接確認する方法で行われており、企業数ベースとドメイン数ベースの双方から到達点を捉えています。まずは導入率の全体像を確認します。

全225社中213社94.7%が最低1ドメインでDMARC導入済みの現状

調査によると、日経225の全225社のうち213社、割合にして94.7%が少なくとも1つのドメインでDMARCを導入していました。これは1年前の2025年5月時点の92.4%から2.3ポイント増えた数字です。大手企業の大半はすでにDMARCの必要性を認識し、何らかの形で導入を済ませている状況だと読み取れます。

逆に言えば、DMARCを1ドメインも導入していない企業は12社にとどまります。導入そのものは日本を代表する大企業群においてほぼ標準的な取り組みになったといってよいでしょう。ただし、ここでいう94.7%はあくまで「最低1ドメインでも導入していれば該当」とする企業数ベースの集計です。後述するように、企業が管理する全ドメインが保護されているかどうかは、まったく別の数字で示されます。導入率の高さだけを見て対策が完了したと考えるのは早計です。残る12社の動向や、各社が全ドメインを保護できているかどうかが、今後の調査で問われる論点になります。導入の有無を超えた中身の評価が重要性を増しています。

ドメインベース89.1%という実質的なDMARC適用率の内訳

ドメイン数を基準に見ると、全9,301ドメインのうち8,283ドメイン、89.1%がDMARCの適用を受けています。1年前からは3.4ポイントの増加となりました。企業数ベースの94.7%と比べるとやや低いものの、ドメイン単位でも高い適用率に達していることがわかります。

この89.1%は、DMARCを直接設定したドメインだけの数字ではありません。前述のサブドメイン継承を含めた実質的な適用率である点に注意が必要です。組織ドメインにDMARCを設定すれば、その配下のサブドメインへ自動的にポリシーが及ぶため、設定作業を集中させることで広範囲を効率的にカバーできます。導入の進んだ企業ほど、この継承構造を意識したドメイン設計を行っている傾向がうかがえました。組織ドメインへ一度設定すれば配下のサブドメインまで保護が及ぶため、限られた工数を集約ドメインへ振り向ける運用が効率的です。適用率89.1%という数字は、こうした継承を活かした設計の成果でもあります。サブドメインを個別に設定する手間を省ける点が、大規模なドメイン群を抱える企業にとって大きな利点になります。

2023年5月比32.5ポイント増を生んだGoogle送信ガイドライン

日経225企業の導入率がここまで伸びた背景には、Googleとヤフーが打ち出したメール送信者ガイドラインの存在があります。導入率は、ガイドライン改定が発表される前の2023年5月時点と比較すると32.5ポイントも増加しました。わずか数年でこれほど急伸した要因は、外部からの実務的な要請にあったと考えられます。

このガイドラインは、一定量以上のメールを送信する事業者に対してDMARCの設定などを実質的に求める内容でした。大手企業にとって、GmailやYahoo!メールの利用者へ確実にメールを届けることは事業上不可欠です。そのため、規制ではなく主要メールプロバイダーの要件という形であっても、対応が一気に進む強い動機になりました。技術の重要性が以前から指摘されていたにもかかわらず普及が鈍かったDMARCが、送信側の現実的な必要性によって短期間で広がった点は示唆に富みます。主要メールプロバイダーの要件が、結果として国内全体のなりすまし対策を底上げした形になりました。市場の力が技術普及を促した好例だといえます。

組織ドメイン1135とサブドメイン継承4656が積み上げた8283ドメイン

89.1%という適用率がどのように構成されているかを分解すると、DMARC適用の実態がより鮮明になります。8,283ドメインの内訳を整理したものが次の表です。

区分 ドメイン数 状態
DMARC設定の組織ドメイン 1,135 直接設定済み
DMARC設定のサブドメイン 2,492 直接設定済み
継承適用のサブドメイン 4,656 組織ドメインのポリシーを継承
合計(実質適用) 8,283 適用率89.1%

注目すべきは、直接設定されたドメインよりも継承によって適用されているサブドメインのほうが多い点です。全サブドメイン7,236のうち4,656が継承で適用を受けています。組織ドメインへの一括設定が広範囲の保護に効いていることを示す数字といえるでしょう。直接設定済みのドメインが計3,627にとどまる一方、継承による適用が4,656に達している点は見逃せません。設定作業を組織ドメインへ集約する運用が、結果として広い保護範囲を生み出しています。逆に言えば、組織ドメインの設定一つが配下の多数のドメインの運命を左右するため、その設計には慎重さが求められます。

前年92.4%から2.3ポイント増にとどまった導入率の鈍化傾向

企業数ベースの導入率は94.7%まで達しましたが、伸び率に目を向けると様相が変わります。前年の92.4%からの増加は2.3ポイントにとどまりました。2023年からの3年間で32.5ポイント伸びた勢いと比べると、直近1年の伸びは明らかに緩やかになっています。

これは、導入余地そのものが小さくなったことの表れでもあります。すでに9割を超える企業が導入を終えており、残る未導入企業は12社のみです。導入率という指標は天井に近づき、これ以上の大きな改善は見込みにくい段階に入りました。だからこそ調査の焦点は、導入したかどうかから、導入した内容に防御の実効性があるかどうかへと移っています。次章以降で見る強制力のあるポリシーの設定状況こそが、今後の論点になるのです。導入率が飽和した今、評価の物差しは量から質へと完全に移りました。どれだけのドメインが実際に強制ポリシーで守られているかこそが、次の調査で問われる本質的な指標です。導入済みという事実だけでは、なりすまし被害を防ぐ保証にはならないという認識が広がっています。

強制力あるポリシー157社69.8%という企業ベースの前進と限界

調査の見出しにもなった「157社69.8%」は、強制力のあるポリシーを設定した企業の割合を示す数字です。前年から大きく前進した一方で、この企業ベースの数字をどう受け止めるかには注意が必要になります。前進と限界の両面を丁寧に見ていきます。

導入済み213社のうち157社69.8%がquarantineまたはreject採用

DMARCを導入済みの213社のうち、少なくとも1つのドメインでquarantineまたはrejectという強制力のあるポリシーを設定していたのは157社でした。全体に占める割合は69.8%にのぼります。noneによる監視段階にとどまらず、なりすましメールを実際に隔離または拒否する構えを持つ企業が、約7割まで広がったことになります。

quarantineとrejectは、なりすましメールを受信者に届けないための実効的な処置です。導入率が頭打ちに近づくなかで、企業の関心が「設定したかどうか」から「どこまで強い処置を選ぶか」へ移りつつある様子がこの数字から読み取れます。なりすまし対策を監視から防御の段階へ進める意識が、大手企業のあいだで着実に根づいてきたといえるでしょう。監視から防御へという意識の転換は、被害報道の増加や取引先からの要請も背景にあると考えられます。約7割という到達点は、大手企業のあいだで強制ポリシーが標準になりつつあることを示すものです。ただし1ドメインでも該当すれば数えられる集計である点には、引き続き注意が要ります。

前年53.8%から16ポイント増という企業の防御意識の着実な前進

強制力のあるポリシーを採用した企業の割合は、前年の53.8%から69.8%へと16.0ポイント上昇しました。導入率全体の伸びが2.3ポイントにとどまったことと比べると、この16ポイントという伸びは際立っています。導入のフェーズはほぼ完了し、企業の取り組みの重心が防御の強化へと移ったことを明確に物語る数字です。

背景には、なりすましメールによる被害事例の増加と、それを受けた経営層の危機感の高まりがあると考えられます。単にDMARCを置いておくだけでは詐欺メールを止められないという認識が広がり、quarantineやrejectへ踏み込む企業が増えました。防御意識そのものは確実に前進しています。ただし、この企業ベースの前進が、実際に保護されているメールの量と必ずしも比例しない点は見過ごせません。企業としての姿勢が前進していること自体は前向きに評価できます。問題は、その意識が一部のドメインへの設定にとどまり、全社的な保護へ広がりきっていない点にあります。意識と行動のあいだに生じたこの差を、どう埋めるかが次の課題です。

1社でも強制ポリシーがあれば該当となる企業ベース集計の落とし穴

69.8%という数字を読むうえで決定的に重要なのが、この集計が「企業が管理する1つのドメインでも強制ポリシーを設定していれば該当」とする基準で算出されている点です。つまり、ある企業が100のドメインを運用していて、そのうち1つだけにrejectを設定していても、その企業は157社のなかにカウントされます。

この基準は企業の取り組み姿勢を測るうえでは有効ですが、保護の実効性を表す指標としては慎重に扱う必要があります。代表的なドメインにだけ強制ポリシーを設定し、残る大多数のドメインをnoneのまま放置していても、企業ベースでは「対応済み」に見えてしまうからです。69.8%という高い数字の裏で、実際に保護されているドメインの割合はまったく異なる水準にとどまっています。この乖離こそが調査の核心的な論点だといえます。保護の実効性を測るには、企業単位ではなくドメイン単位で状況を把握する視点が欠かせません。69.8%という数字を額面どおりに受け取らず、その内訳まで踏み込んで読むことが、現状を正しく理解する出発点になります。

企業数ベースの前進とドメイン保護率18.5%が示す数字の乖離

企業数ベースで69.8%という前進の一方、サブドメインを含めた実質のドメイン数で見ると、強制力のあるポリシーで保護されているのはわずか18.5%にすぎません。約70%と約18%という2つの数字の隔たりは、対策の現状を理解するうえで最も重要なポイントです。

この乖離が生じる理由は明快です。多くの企業が一部のドメインにだけ強制ポリシーを設定し、企業ベースの該当条件を満たす一方で、残る大量のドメインはnoneのまま残しているためです。企業として「やっている」ことと、実際に「守られている」ことのあいだには大きな開きがあります。69.8%だけを見て安心するのではなく、自社のどのドメインがどのポリシーで運用されているかを個別に点検する姿勢が求められるでしょう。この乖離は、対策を企業単位で語ることの危うさを示しています。たとえ会社として対応済みに見えても、実際に守られているメールはごく一部にすぎない場合があるからです。自社の全ドメインを一覧化し、それぞれのポリシーを確認する作業こそが、見かけと実態のずれを埋める第一歩になります。

代表ドメインだけ設定して安心する企業に潜む見かけ上の安全という罠

企業数ベースの高い数字には、見かけ上の安全という落とし穴が潜んでいます。広く知られた代表ドメインにrejectを設定すれば、対外的にも社内的にも「なりすまし対策は済んだ」という認識が生まれがちです。しかし攻撃者は、保護の手薄なサブドメインや、あまり使われていない別ドメインを悪用してなりすましを試みます。

守られているのは目立つ一部のドメインだけで、攻撃者が狙うのはむしろ放置された脇のドメインだという構図は、対策の盲点になりやすい部分です。見かけ上の安全に安住すると、保護されていないドメインを起点としたフィッシング被害を見逃すことになりかねません。重要なのは、代表ドメインを守ったかどうかではなく、メールを送信しうるすべてのドメインを把握し、それぞれの保護状態を確認することにあります。企業ベースの数字は出発点にすぎないと捉えるべきでしょう。攻撃者は守りの厚い表玄関ではなく、施錠を忘れた裏口を狙います。なりすまし対策の強度は、最も弱いドメインの状態によって決まるという前提に立つことが肝心です。

ドメインベース18.5%が露呈する8割超の未保護という構造的課題

企業ベースの69.8%と対をなすのが、ドメインベースで見た18.5%という保護率です。この数字は、日経225企業のなりすまし対策が抱える構造的な課題を浮き彫りにします。なぜ8割超のドメインが未保護のまま残るのか、その実態を掘り下げます。

3627ドメイン中1007ドメイン27.8%にとどまる強制ポリシー設定

213社が運用するDMARC設定済みの3,627ドメインのうち、強制力のあるポリシーを設定しているのは1,007ドメインでした。割合にして27.8%です。1年前の19.8%からは増加しているものの、DMARCを設定したドメインの中で見ても、強制ポリシーまで踏み込めているのは3割に届きません。

つまり、DMARCを設定したドメインの約7割が、いまだnone段階にとどまっています。設定という最初の一歩は踏み出したものの、その内容を防御として機能させるところまでは到達していない状況です。none設定はなりすましメールを記録するだけで遮断はしないため、この段階のドメインは実質的に無防備に近い状態だといえます。設定の有無と防御の有無は別物であることを、この27.8%という数字が端的に示しています。DMARCレコードを記述しただけでは、なりすましメールは一通も止まりません。noneのままのドメインは、攻撃の発生を記録する観測装置として働くにすぎないのです。設定という入口を抜けたあと、強制ポリシーという出口まで歩を進めて初めて、保護は実効性を帯びます。

継承サブドメインを含めた実質18.5%という保護対象ドメイン率

強制ポリシーの設定割合を、サブドメインの継承まで含めた実質のドメイン数で計算し直すと、保護率は18.5%まで下がります。前年からは7.5ポイントの増加ですが、依然として2割に満たない水準です。DMARC設定済みドメインの中での27.8%が、全体の母数で見ると18.5%になるという落差に、課題の深さが表れています。

この18.5%こそが、日経225企業のメールがなりすましから実際に守られている割合を最もよく表す数字です。継承によってDMARCの適用範囲は89.1%まで広がっているのに、そのうち強制ポリシーで守られているのは2割弱にすぎません。適用と保護は同じではないという事実が、ここで改めて確認できます。導入の量的な広がりと、防御の質的な深まりのあいだに横たわるギャップが、この数字の正体です。適用率が9割近くに達しているという事実は、裏返せば保護されていない大量のドメインが同じ範囲に含まれていることを意味します。導入の広がりという明るい数字と、保護の浅さという課題が、同じ89.1%のなかに同居しているのです。両者を切り分けて読む姿勢が欠かせません。

8割超がnone設定でモニタリングのみという未保護ドメインの実態

裏を返せば、日経225企業のドメインの8割以上がnone設定のまま、モニタリングされているだけの状態にあるということです。noneはなりすましメールの発生状況をレポートとして記録しますが、メールそのものを隔離も拒否もしません。記録が残っても、受信者の手元にはなりすましメールが届いてしまいます。

この実態は、DMARCを「設定して終わり」にしている運用の多さを物語ります。レポートを蓄積する段階は移行の準備として正しい手順ですが、そこから先へ進まずに止まっているドメインが大半を占めているのです。なりすまし対策として実際に機能しているかという観点では、8割超のドメインは未保護と評価せざるを得ません。導入率の高さが対策の充実を意味しないという、この調査が突きつける現実がここに集約されています。none設定のドメインは、なりすましの発生を観測できても遮断はできません。レポートを蓄積する準備段階としては正しい一方、そこで足踏みしているドメインが大半を占めている現状が問題です。観測から防御へと一歩を踏み出すことが、これらのドメインに共通して求められる課題になります。

代表ドメインのみ保護し放置されるサブドメインへのなりすまし懸念

未保護ドメインが大量に残る状況は、攻撃者にとって格好の入り口になります。広く認知された代表ドメインだけにrejectを設定し、業務用や一時的に使うサブドメインをnoneのまま放置するケースは少なくありません。攻撃者はこうした保護の手薄なドメインを選んでなりすましメールを送り出します。

受信者の側から見れば、正規企業のドメインを名乗るメールである以上、それが守られた代表ドメインか放置されたサブドメインかを見分けるのは困難です。結果として、企業が「守ったつもり」のドメイン群の隙間を突かれ、フィッシング被害が発生する懸念が残ります。なりすまし対策は最も弱い部分の強度で決まるという考え方に立てば、放置されたサブドメインの存在は看過できないリスクです。全ドメインの棚卸しと一貫したポリシー適用が、この懸念への現実的な答えになります。守るべきは目立つドメインだけではなく、めったに使われない脇のドメインも例外ではありません。攻撃者にとっては、保護の手が回っていないドメインこそ格好の標的です。送信に関わる全ドメインへ一貫したポリシーを行き渡らせることが、唯一の確実な防ぎ方になります。

企業ベース69.8%とドメインベース18.5%が同居する評価の難しさ

この調査が難しいのは、69.8%と18.5%という、印象のまったく異なる2つの数字が同じ実態を指している点にあります。前者だけを見れば対策は順調に進んでいるように映り、後者だけを見れば深刻な未保護状態に見えます。どちらも正しい数字であり、見る角度によって評価が大きく変わるのです。

適切な理解は、両者を組み合わせて読むことから生まれます。すなわち「強制ポリシーへ移行しようとする企業の意識は確実に高まっている。しかし、その意識が全ドメインの保護という行動にまで及んでいない」という二層構造です。意識の前進を素直に評価しつつ、行動の遅れに警鐘を鳴らすという複眼的な視点が欠かせません。単一の数字で「進んでいる」「遅れている」と断じるのではなく、前進と限界が同居している現状をそのまま捉えることが、正確な評価につながります。数字を一つだけ切り出して語ると、現状を過大にも過小にも評価しかねません。前進と限界が同居しているという二層構造を、そのまま受け止める冷静さが求められます。意識の高まりを認めつつ、行動の遅れに目を向ける視点が、調査を正しく活かす鍵になるでしょう。

日経225と証券会社のDMARC適用率・保護率を分ける対応姿勢

今回の調査は日経225企業に加え、日本証券業協会の協会員企業200社、421ドメインも対象としています。両者を比較すると、対応姿勢の違いが数字となって明確に浮かび上がるのです。なぜ証券会社が日経225を上回る保護水準に達したのか、その構造を読み解きます。

証券会社のDMARC適用率90.7%が日経225の89.1%を上回る逆転

証券会社のドメインにおけるDMARC適用率は90.7%に達し、日経225企業の89.1%をわずかに上回りました。前年の72.4%から18.3ポイントもの増加です。企業規模では日経225のほうが圧倒的に大きいにもかかわらず、ドメインの適用率では証券業界が逆転した点は注目に値します。

この逆転は、対応のスピードの差によって生まれました。日経225の導入率がすでに天井近くで伸び悩むなか、証券会社は短期間で急速に適用範囲を拡大しています。後発でありながら高い適用率に到達できたのは、業界全体で危機感が共有され、対応が一斉に進んだためだと考えられます。導入の早さだけでなく、適用範囲を一気に広げたという点に、証券業界の本気度がうかがえました。規模で勝る日経225を後発の証券会社が適用率で上回った事実は、対応の本気度が企業規模ではなく姿勢に左右されることを物語ります。短期間で72.4%から90.7%へ押し上げた背景には、業界全体で危機感を共有し一斉に動いたという事情がありました。規模の大小よりも、課題を自分ごととして捉えられるかどうかが分かれ目になったといえます。

証券会社の保護率48.7%が日経225の18.5%を大きく超える差

適用率以上に差が開いたのが、強制力のあるポリシーで保護されたドメインの割合です。両者の主要指標を並べると違いが一目でわかります。

指標 日経225企業 証券会社
DMARC適用率(ドメインベース) 89.1% 90.7%
強制ポリシー保護率 18.5% 48.7%
DMARC導入企業の割合 94.7% 81.0%

証券会社の保護率48.7%は、日経225の18.5%のおよそ2.6倍にあたります。導入率では日経225が上回るものの、実際の防御の深さでは証券会社が大きく先行しました。導入の量と保護の質が必ずしも一致しないことを、この対比が雄弁に語っています。DMARCの導入率という入口の数字では日経225が94.7%で上回るものの、保護率という出口の数字では証券会社が48.7%と大きく先行しました。この逆転は、対策をどこまで本気で実装したかの差を映し出しています。証券業界は被害の当事者として、監視段階で止めずに防御段階まで踏み込みました。導入したという形式よりも、実際に守るという実質を重んじた結果が、この保護率の差に表れているといえるでしょう。

口座乗っ取り被害を当事者として受け止めた証券業界の危機感の差

証券会社が突出した保護率に達した最大の要因は、当事者として深刻な被害を経験したことにあります。2025年上期以降、証券口座を乗っ取られて不正に取引される被害が相次ぎ、業界全体が直接的な脅威にさらされました。なりすましメールが被害の入り口の一つとされたことで、対策は経営課題として一気に優先順位を上げたのです。

日経225の多くの企業にとって、なりすまし対策は重要ではあっても切迫した課題とは限りません。一方で証券会社は、対策の遅れが顧客資産の流出に直結する立場に置かれました。この当事者意識の差が、強制ポリシーへ踏み込むかどうかの判断を分けたといえます。被害を自分ごととして受け止めた業界ほど、防御を監視段階で止めず実効段階へ進めるという傾向が、ここに表れています。被害を自社の問題として捉えられたかどうかが、防御の深さを分ける決定的な要因でした。証券会社の高い保護率は、危機感が行動の徹底度を左右することを示す好例です。同じ技術を使っていても、当事者意識の有無が最終的な防御力を分けるという教訓がここにあります。

DMARC導入企業81.0%まで半年ごとに積み上がる証券会社の推移

証券会社の対応の速さは、導入企業の割合の推移にも表れています。少なくとも1つのドメインでDMARCを導入した企業は、2025年5月時点で約71.6%でした。それが半年後の2025年11月には12社増えて約77.6%となり、さらに2026年5月には6社増えて約81.0%に達しています。

半年という短い間隔で着実に企業数を積み増している点が特徴です。日経225が9割超で頭打ちになっているのとは対照的に、証券会社はまだ伸びしろを残しながら継続的に増加を続けています。被害の発生を受けて意識が急速に高まり、業界として遅れを取り戻そうとする動きが数字に刻まれているのです。導入の波がまだ進行中である以上、今後さらに割合が高まる余地も大きいでしょう。半年ごとに着実に企業数を積み増す動きは、日経225の頭打ちとは対照的です。被害を受けてから対応を始めた後発でありながら、業界として遅れを取り戻そうとする勢いが数字に刻まれています。導入の波がなお進行中である以上、次回以降の調査で割合がさらに高まる展開も十分に見込まれます。今後の推移を継続して追う価値のある分野だといえるでしょう。

規制主導で進む証券会社と自主判断に委ねる日経225の構造の差

両者の差を生んだもう一つの本質的な要因は、対応を促す力の性質の違いです。証券会社の取り組みは、業界団体によるガイドラインという明確な規範に主導されています。reject設定を求める具体的な指針が示されたことで、各社は到達点を共有しながら足並みをそろえて対応を進められました。

これに対し日経225企業のDMARC対応は、業界横断的な統一ルールがなく、各社の自主的な判断に委ねられています。Googleの送信ガイドラインが導入を後押ししたものの、それは導入までを促すもので、強制ポリシーへの移行までは求めていません。明確な到達点が共有されている業界と、各社の裁量に任されている企業群とでは、保護率に差が出るのも当然といえます。規範の有無が行動の徹底度を左右するという構図が、この比較から浮かび上がります。明確な到達点が業界全体で共有されているか否かは、対応の徹底度を大きく左右する要素です。reject設定という具体的なゴールを掲げた証券会社と、各社の裁量に委ねられた日経225とでは、足並みのそろい方が異なるのも自然です。規範の有無が結果を分けるという構図は、他業界の対策を考える際にも示唆を与えます。

証券口座乗っ取り7393億円の不正取引とrejectへ向かう業界ガイドライン

証券会社の急速な対応の引き金となったのが、深刻な不正取引の急増と、それを受けた業界ガイドラインの改正です。金融庁が公表した不正取引の規模と、改正されたガイドラインの中身を押さえることで、なぜrejectが業界の到達点として掲げられたのかが見えてきます。

2025年に約7393億円へ達した証券口座の不正売買額の急拡大

金融庁の公表によれば、証券口座を乗っ取った不正取引の金額は、2025年の1年間で約7,393億円に達しました。ただしこの金額は、乗っ取られた口座内で行われた売却金額と買付金額を合計した不正売買の総額であり、金融庁も投資家が実際に被った損失額とは一致しない点に留意するよう明記しています。それでも、わずか1年で数千億円規模の不正取引が発生したという事実は、社会的に大きな注目を集めました。

この規模の不正取引が発生した以上、対策を監視段階で止めておく余地はありませんでした。実在する証券会社を装ったフィッシングが起点の一つとされたことで、メール認証の強化は業界の最優先課題に位置づけられました。約7,393億円という不正売買の総額は、なりすまし対策がもはや任意の取り組みではないことを業界に突きつけたといえます。たとえ顧客の損失額そのものとは異なるとしても、これほど大量の不正取引を許す環境を放置できないことは明らかです。被害の起点を断つという観点から、対策の優先順位は一気に最上位へ押し上げられました。数字の大きさそのものが、業界の覚悟を決めさせる契機になったといえるでしょう。

実在の証券会社を装うフィッシングサイトが起点となった被害の構造

被害の典型的な構造は、実在する証券会社のサイトやメールを精巧に装ったフィッシングが起点となるものです。攻撃者は本物そっくりのメールを送り、偽サイトへ誘導してログイン情報を盗み取ります。盗まれた認証情報を使って口座にアクセスし、保有株を勝手に売却して別の銘柄を買い付けるなど、資産価値を毀損する取引が繰り返されました。

この構造において、なりすましメールを入り口の段階で遮断できれば、被害の連鎖を断ち切れる可能性が高まります。DMARCのrejectは、まさにこの入り口を塞ぐための技術です。正規の証券会社ドメインを騙るメールが受信者に届く前に拒否されれば、偽サイトへの誘導そのものが成立しにくくなります。被害の構造を踏まえると、メール認証の強化が対策の要に位置づけられた理由は明確だといえるでしょう。なりすましメールを入口で止められれば、偽サイトへの誘導から不正取引へと至る被害の連鎖を断ち切れます。rejectは、まさにこの最初の一手を封じるための技術です。被害の構造をたどると、メール認証の強化が対策の出発点に据えられた理由がよくわかります。技術的な対策が、結果として顧客資産の保護に直結する関係がここにあります。

2025年10月15日のガイドライン改正でreject設定を求めた日証協

こうした被害を受け、日本証券業協会は2025年10月15日付で「インターネット取引における不正アクセス等防止に向けたガイドライン」を改正しました。改正では、顧客へ送信する電子メールのドメインを特定し、DMARCなどを計画的に導入したうえで、最終的にポリシーをrejectにするという方針が明確に盛り込まれています。

業界団体が到達点としてrejectを名指しした意義は小さくありません。これにより各社は、noneやquarantineにとどまらず、最も強い防御であるrejectまで進むことを共通の目標として認識するようになりました。曖昧な努力目標ではなく、目指すべきゴールが具体的に示されたことで、業界全体の対応に方向性と推進力が生まれたのです。規範が明確であるほど行動が徹底されるという原則が、ここでも働いています。業界団体が到達点を名指しした意義は大きく、各社は共通のゴールを意識して対応を進められるようになりました。曖昧な努力目標ではなく具体的なゴールが示されたことで、業界全体の動きに方向性が生まれています。明確な規範が行動を後押しするという原則が、ここでも確かに作用しているのです。

計画的なDMARC導入とレポート確認を経たrejectという推奨手順

ガイドラインが示したのは、単にrejectにせよという結論だけではありません。顧客向けメールのドメインを特定し、DMARCを計画的に導入し、DMARCレポートなどで送信実態を確認したうえでrejectに移行するという、手順を踏んだ進め方が示されています。いきなり強制ポリシーへ移すのではなく、段階を踏む慎重さが求められているのです。

この推奨手順は、正規メールの誤遮断を避けるための実務上の知恵を反映しています。レポートで認証状況を把握しないままrejectに設定すると、取引通知などの重要なメールが顧客に届かなくなる恐れがあります。だからこそ、確認の工程を経てから移行するという順序が明記されました。到達点としてのrejectと、そこへ至る安全な道筋の両方を示した点に、このガイドラインの実務的な完成度が表れています。結論としてのrejectと、そこへ安全に至る道筋の双方を示した点に、このガイドラインの実務的な完成度があります。手順を省いて強制ポリシーへ移れば、正規メールの不達という別の問題を招きかねません。段階を踏む慎重さを明文化したことが、現場で実際に機能する指針たり得ている理由だといえます。

金融庁が繰り返し注意喚起する不正アクセス被害の継続的な発生状況

被害は一過性のものではなく、継続的に発生している点も見過ごせません。金融庁はインターネット取引サービスへの不正アクセスや不正取引の発生状況について、繰り返し注意喚起を行っています。被害件数や手口の最新情報が定期的に公表され、利用者と事業者の双方に警戒を促し続けているのです。

こうした公的機関による継続的な情報発信は、対策を一度きりで終わらせないための歯止めとして機能します。被害が続いている事実が可視化されることで、事業者は対応を緩めにくくなります。証券会社が短期間で保護率を引き上げ、なお対応を続けているのは、こうした注意喚起による緊張感の維持とも無関係ではありません。被害の継続という現実が、業界の取り組みを後押しし続けているといえるでしょう。被害が継続している事実が公的機関によって可視化され続けることで、事業者は対策の手を緩めにくくなります。注意喚起は、対応を一度きりで終わらせないための歯止めとして働いているのです。証券会社が保護率を引き上げ、なお対応を続けている背景には、こうした緊張感の維持が影響していると考えられます。公的な情報発信と業界の取り組みが、互いに補い合う関係を築いているのです。

noneからrejectへ段階移行する実務手順とレポート確認の勘所

調査が示す18.5%という保護率を引き上げるには、noneにとどまるドメインをquarantineやrejectへ移行させる実務が欠かせません。誤遮断のリスクを抑えながら確実に移行を進めるための手順と、レポート確認の要点を具体的に整理します。

noneで開始しレポートを蓄積してから移行する3段階の進め方

DMARCの移行は、いきなりrejectを設定するのではなく、3つの段階を順に進めるのが定石です。各段階で送信実態を確認しながら強度を上げていくことで、正規メールを止めてしまう事故を避けられます。標準的な進め方は次の通りです。

  1. noneで開始し、DMARCレポートを一定期間蓄積して全送信元を把握する
  2. 正規の送信元がすべて認証を通過していることを確認し、quarantineへ移行する
  3. quarantineで問題がないことを見届けたうえで、最終的にrejectへ引き上げる

この3段階を踏むことで、認証から漏れている正規の送信経路を移行前に発見できます。各段階に十分な観察期間を設けることが、安全な移行の鍵を握ります。急がば回れの考え方が、結果として確実な保護への近道になるのです。3段階を順に踏むことで、認証から漏れている正規の送信経路を移行前に発見できます。各段階に十分な観察期間を確保することが、安全な移行の生命線になります。短期間で一気に強度を上げると、思わぬメール不達を招くおそれがあるからです。手順そのものが保護の質を左右する点を、運用担当者は意識しておくべきでしょう。

正規送信元をSPF・DKIMで認証通過させる事前整備の必須項目

強制ポリシーへ移行する前提として、自社が利用するすべての正規送信元がSPFとDKIMの認証を通過する状態を整えておく必要があります。ここが不十分なままrejectに進むと、正規メールがなりすましと誤判定されて遮断されてしまいます。事前に確認すべき主な送信元は以下の通りです。

  • 自社のメールサーバーから直接送信される業務メール
  • メール配信サービスやマーケティングツールからの一斉配信
  • 請求書や通知などを送る基幹システムや外部委託先のシステム
  • 問い合わせフォームの自動返信など、見落とされがちな自動送信

これらの送信元それぞれについて、SPFレコードへの登録とDKIM署名の設定を漏れなく済ませることが出発点になります。社内で把握しきれていない送信経路が残っていると、移行後に思わぬメール不達を招きます。送信元の全量把握こそが事前整備の核心です。把握しきれていない送信経路が一つでも残れば、移行後に正規メールが届かなくなる事故を招きます。利用中のサービスや委託先を洗い出し、送信元の全体像を可視化することが整備の前提になります。地味な棚卸しの精度が、移行の成否を分けるといっても過言ではありません。

pct指定で適用割合を段階的に上げるリスク抑制の移行テクニック

移行のリスクをさらに抑える手段として、ポリシーの適用割合を指定するpctタグの活用があります。pctはポリシーを適用するメールの割合を百分率で指定するパラメータで、たとえば次のように記述します。

_dmarc.example.jp IN TXT "v=DMARC1; p=quarantine; pct=10; rua=mailto:[email protected]"

この例ではquarantineを全体の10%のメールにのみ適用し、残りはnone相当の扱いとします。まず小さな割合から始めて影響を観察し、問題がなければ25%、50%と段階的に引き上げ、最終的に100%へ到達させる進め方です。pctを使えば、万一の誤判定があっても影響範囲を一部に限定できます。いきなり全量へ強制ポリシーを適用するよりも、はるかに安全に移行を進められる実務的なテクニックといえるでしょう。小さな割合から始めて影響を観察し、問題がなければ段階的に引き上げていく進め方が安全です。万一の誤判定があっても影響範囲を一部に抑えられる点が、pctを使う最大の利点になります。

認証に失敗した正規メールを見落とさないレポート分析の判断基準

移行の可否を判断する決め手は、DMARCレポートの分析にあります。レポートには認証に成功・失敗したメールの送信元IPアドレスや件数が集約されており、ここから認証を通過できていない送信経路を読み取ります。判断基準は明快で、認証失敗のなかに正規の送信元が含まれていないかを徹底的に確認することです。

認証失敗のすべてがなりすましとは限りません。設定漏れのある正規システムが失敗として計上されているケースは珍しくないからです。これを見落としたまま強度を上げると、正規メールが遮断される事故につながります。逆に、認証失敗が攻撃者によるなりすましのみだと確認できれば、安心して次の段階へ進めます。失敗ログを一件ずつ精査し、正規か否かを切り分ける地道な作業が、安全な移行を支える基盤になるのです。認証失敗のすべてがなりすましとは限らず、設定漏れの正規システムが混じっている場合もあります。この切り分けを怠ると、重要な通知が顧客に届かない事態を招きかねません。判断を急がず証拠を積み上げる姿勢こそが、確実な保護を実現する近道になります。

サブドメインまでカバーするポリシー設計で起こりがちな設定漏れ

移行の際に陥りやすいのが、サブドメインに関する設定漏れです。組織ドメインのポリシーはサブドメインへ継承されますが、spタグを使えばサブドメイン専用のポリシーを別途指定することもできます。このspタグの扱いを誤ると、意図せず一部のサブドメインだけが弱い保護のまま取り残される事態が起こります。

また、組織ドメインにrejectを設定しても、サブドメインで個別にnoneを指定していれば、そのサブドメインは継承されずnoneのまま残ります。代表ドメインを守ったつもりが、配下のサブドメインに穴が空いているという状況は、まさにこの設定漏れから生じます。移行を完了させるには、組織ドメインとサブドメインのポリシーが整合しているかを最後に必ず点検することが欠かせません。継承の仕組みを正しく理解したうえでの設計が、抜け漏れのない保護を実現します。とりわけ、過去に作って忘れられたサブドメインは点検から漏れやすく、攻撃者に悪用されやすいのです。ポリシー設計を見直す際には、DNS上に存在する全ホスト名を機械的に洗い出してから着手することが、確実な抜け漏れ防止につながります。

自社のなりすまし対策を157社の水準へ引き上げる優先順位と注意点

ここまで見てきた調査結果を、自社の対策にどう活かすかが最後のテーマです。157社が到達した水準へ自社を引き上げるために、何から着手し、どこに注意すべきかを優先順位とともに具体的に示します。

自社が157社側か未対応側かを切り分けるDNSレコードの確認手順

対策の第一歩は、自社の現状を正確に把握することです。自社ドメインがどのDMARCポリシーで運用されているかは、DNSのTXTレコードを確認すればすぐにわかります。コマンドラインからは次のように照会できます。

dig TXT _dmarc.example.jp +short

このコマンドを実行し、返ってきたレコードのpタグを確認します。p=noneであれば監視段階にとどまっており、強制力のあるポリシーで保護された157社の側にはまだ立てていません。p=quarantineまたはp=rejectであれば、少なくともそのドメインは保護されている状態です。レコードが何も返らなければDMARC未設定であり、最優先で導入に着手すべき状況だと判断できます。まずは管理する全ドメインについてこの確認を行い、自社がどの位置にいるかを切り分けることから始めましょう。p=noneやレコードなしのドメインが見つかれば、そこが優先的な対策対象です。確認は数分で終わる作業ですから、まずは全ドメインのポリシーを一覧に書き出し、現在地を客観的に把握することから着手しましょう。現状把握なくして、的確な対策の順序は立てられません。

顧客とのメール接点が多いドメインから優先保護する投資判断の考え方

すべてのドメインを一度に保護するのが理想ですが、現実にはリソースに限りがあります。そこで重要になるのが、保護する順序の判断です。優先すべきは、顧客や取引先とのメール接点が多く、なりすまされた際の被害が大きいドメインです。請求や決済、重要な通知に使うドメインは、攻撃者にとっても狙う価値が高いため、真っ先に保護すべき対象になります。

逆に、対外的なメール送信にほとんど使われていないドメインは、優先度を下げても差し支えありません。ただし放置はせず、なりすまし送信を防ぐためにrejectを設定しておくという考え方も有効です。被害の大きさと攻撃の受けやすさという2つの軸でドメインを評価し、限られた投資を効果の高い順に振り向ける。この優先順位づけが、現実的な対策の進め方になります。限られた人員と予算を、被害の大きさと攻撃の受けやすさという二つの軸で評価して配分するのが現実的です。請求や決済に使うドメインを真っ先に固め、利用頻度の低いドメインも放置せずrejectで封じておく方針が有効になります。優先順位を明確にすることで、対策は着実に前へ進みます。費用対効果を意識した投資判断が、無理のない継続につながるのです。

移行を急ぎ正規メールを止める失敗を避けるための十分な検証期間

対策を進めるうえで最も避けたい失敗は、移行を急ぐあまり正規メールを止めてしまうことです。なりすまし対策の強化は重要ですが、その過程で顧客への重要な通知が届かなくなれば、本末転倒の事態を招きます。だからこそ、各移行段階には十分な検証期間を確保することが鉄則になります。

具体的には、noneでレポートを蓄積する期間、quarantineで影響を観察する期間のそれぞれに、季節的な業務の繁閑も考慮した余裕を持たせます。月末や決算期など、特定の時期にだけ動く送信システムが認証から漏れている可能性もあるためです。焦らず腰を据えて検証を重ねることが、結果として確実な保護への最短経路になります。証券業界のガイドラインが計画的な導入を求めているのも、この検証の重要性を踏まえてのことです。noneでレポートを蓄積する期間と、quarantineで影響を見る期間のそれぞれに、業務の繁閑を考慮した余裕を持たせることが欠かせません。月末や決算期にだけ動く送信システムが認証から漏れている場合もあるからです。焦って強度を上げるより、季節をまたいで検証を重ねるほうが、結果的に確実な保護への近道になります。慎重さこそが、なりすまし対策を成功させる土台です。

BIMI対応も視野に入れたreject到達後のブランド表示の活用

rejectへの到達は、なりすまし対策のゴールであると同時に、新たな施策の出発点にもなります。その代表がBIMIです。BIMIは、メールアプリ上に自社のロゴアイコンを表示することで、受信者に安全で信頼できるメールであることを視覚的に示す仕組みです。今回の調査でも、専用証明書を公開するドメインが5から21へ増加したと報告されています。

BIMIを利用するには、DMARCを強制力のあるポリシーで運用していることが前提条件となります。つまりrejectまで到達した企業だけが、ブランド表示という付加価値を得られるのです。なりすまし対策を守りの取り組みで終わらせず、自社ブランドの信頼性を高める攻めの施策へつなげられる点に、reject到達の意義があります。保護の徹底が、結果的にブランド価値の向上にも資するという好循環を意識したいところです。BIMIを利用するにはrejectなど強制力のあるポリシーでの運用が前提となり、保護を徹底した企業だけがロゴ表示という付加価値を得られます。なりすまし対策を守りで終わらせず、ブランドの信頼性を高める攻めの施策へ接続できるのです。証明書を公開するドメインが5から21へ増えた事実も、その流れを裏づけています。

外部委託メールやマーケ配信まで含めた全ドメイン棚卸しの重要性

最後に強調したいのが、対策の土台となる全ドメインの棚卸しです。なりすまし対策の穴は、たいてい把握されていないドメインや送信経路から生じます。社内のメールサーバーだけでなく、外部に委託している配信業務やマーケティングツール、過去に取得したまま使われていないドメインまで含めて、すべてを洗い出すことが不可欠です。

棚卸しを怠ると、代表ドメインをrejectで固めても、管理外のドメインを起点としたなりすましを許してしまいます。これは企業ベース69.8%とドメインベース18.5%の乖離が示した、まさにその落とし穴です。自社が送信に関与しうるドメインの全体像を可視化し、一つひとつにポリシーを行き渡らせる。この地道な棚卸しと一貫した適用こそが、157社の水準を超えて真に保護された状態へ至る、最も確実な道筋になります。なりすまし対策は一度の設定で完結するものではなく、新たに取得したドメインや送信経路の追加に合わせて棚卸しを更新し続ける運用が欠かせません。調査が映し出した18.5%という現実を自社の数字に置き換え、保護率を着実に引き上げていく継続的な取り組みが、これからの企業に問われています。

資料請求

RELATED POSTS 関連記事