当社もドメインが不正利用された！小規模事業者でもDMARC対策は不可欠な時代到来

明けましておめでとうございます。当社は新年早々、自社ドメインが不正利用され、ドコモのユーザーに対してなりすましメールが送信される事態が発生したことを確認いたしました。「まさか、当社のような小規模事業者が.. 🙁 」

中国で取得されたドメインが当社を装ってドコモのユーザーにメール配信を行っていたことが確認できました。

自社ドメインが使われる事象は、企業規模に関係なく発生し得ることを改めて実感させられる出来事です。小規模な事業者であっても、自社ドメインが悪用されるリスクは確実に存在することを証明します。

2025年は改めてメールセキュリティの強化の必要性を感じ、年始の記事を書くことにいたしました。

日本は”びっくり”するほど遅れをとっているDMARCの設定

日本の企業や機関におけるDMARC（Domain-based Message Authentication, Reporting & Conformance）導入状況は、近年ようやく進展を見せていますが、DMARC設定のゴールである「隔離（Quarantine）」や「拒否（Reject）」ポリシーを適用しているケースはまだまだ世界と比較して低いです。

2024年9月に発表されたProofpointの調査によると、日経225企業の83%がDMARC認証を導入していますが、そのうち「Reject」ポリシーを適用している企業はわずか13%に過ぎません。

https://www.proofpoint.com/jp/newsroom/press-releases/Nikkei225-Firms-and-Japanese-Gov-Accelerating-Measures2Combat-Email-Spoofing-Fraud

多くの事業者では導入をゴールと誤認し、「None（監視のみ）」ポリシーに留まっております。DMARCの技術が開発された目的を理解していないのです。

これでは、攻撃者による迷惑メールをブロックする効果を十分に発揮できていないのが現状です。この大幅な認識の遅れが、日本全体でのメールセキュリティ向上の妨げになっています。

従業員10人以下の小規模事業者でもリスクがある！なりすまし攻撃の現実

当社の事例からも分かるように、小規模事業者であってもドメインが不正利用されるリスクはすぐそこにあります。今やられているかもしれません。特に、保有リストに基づいたターゲティング攻撃が行われる場合、その被害は甚大なものになります。

なりすましメールの被害の可能性

(1)ターゲティング攻撃のリスク

攻撃者が不正取得したお客さまリストを利用してメールを送信すると、受信者はそれを正式なメールだと思い込み、詐欺サイトへの誘導、個人情報の入力、あるいはマルウェアのダウンロードをしてしまう可能性があります。

(2)お客さまからの信頼の喪失

なりすましメールが原因で被害を受けたお客さまは、送信元の事業者に対して強い不信感を抱くことも考えられます。信頼を失った結果、取引停止に至るリスクは極めて高いです。特に小規模事業者にとっては致命的です。

(3)リスク放置の危険性

対策を怠ると、迷惑メールが継続的に送信され、被害が広がります。お客さまが経済的なダメージを受けたり個人情報漏洩に遭遇する事態は、事業者にとって避けなければならない最悪のシナリオです。

また、受信者から迷惑メールとして通報されるリスクが高まり、送信ドメイン評価を一気に落とす可能性もあります。こうなるとドメイン評価の回復に1か月、半年、１年単位で取組必要性が発生する可能性もあります。

自社ドメインを使って、お客さまに有り得ないメールが送りつけられることも発生するのです。当社もまだまだ関係ないと思っていましたが、まさかの1通が発生していました。

2025年は正しい知識でDMARCを進めよう！

なりすましメール対策として、正しくSPFとDKIM、DMARCを設定しましょう。これは、ESPが対応するものではなくご自身で対応が必要です。DMARCを設定すると、指定したメールアドレスに対して、日々XMLによるレポート送信を設定することができます。

1. SPF・DKIM・ DMARCの基本設定を行う

• SPF（送信元IPの認証）、DKIM（改ざん防止の電子署名）、DMARCを組み合わせることで、攻撃者による迷惑メールを大幅に減らすことができます。
• DMARCポリシーは、初めは「None」からスタートしSPFとDKIM設定に不足がないか確認のうえ、段階的に「Quarantine」そして「Reject」に移行します。

2. 定期的なレポート確認

• メールで配信されるDMARCレポートを活用し、自社のドメインが不正利用されていないかをモニタリングすることで、早期発見と対応が可能になります。

3. 保有リストの管理を徹底

• お客さまデータを安全に管理し、不正アクセスや情報漏洩を防ぎます。
• 必要以上の情報を収集せず、最小限のデータ保持を心がけることが大切です。

当社はレポート送信されるXMLファイルを分析のうえ、DMARCレポートのモニタリングを実施しております。サービスをご希望されるお客さまはお問い合わせからご依頼ください。

2025年、当社は1,000万件を目指して取組を強化いたします

メールクリーニングサービスを展開しているプリモポストは、2025年も引き続きお客様のメール到達率を向上させるための支援を行います。

2024年のプレリリース期間では、約70事業者・150万件以上のクリーニングを達成いたしました。

日本では唯一「害虫のようなメールアドレスを取り除く唯一のサービス」を展開し、送信ドメインの評価を落とすことがないお客さまリストの作成サポートをいたします。

メールクリーニングサービス│メールクリーニングの窓口

最後に

2025年は、メールセキュリティ向上に向けて行動を起こす年です。企業規模を問わず、すべての事業者がSPF、DKIM、DMARCを正しく設定し、攻撃者による迷惑メール対策を徹底することで、お客さまの信頼を守ることができます。

当社も、日本全体のメール環境改善に貢献するための取り組みを進めてまいります。皆さまのご支援のほどお願いいたします。