なりすましメール対策 証券会社が大手企業に先行して強化

TwoFiveは、日経225企業と証券会社のドメインを対象にDMARC導入状況を調査した。日経225企業では導入自体はほぼ完了した一方、隔離・拒否を伴う保護ポリシーの適用は限定的で、証券業界の方が対応が進んでいる実態が明らかになった。

[キーマンズネット]

　TwoFiveは2026年5月21日、なりすましメール対策の実態調査の結果を公表した。調査対象は、日経225企業が管理・運用する9301ドメインと、日本証券業協会の協会員企業が管理・運用する421ドメインだ。調査では、各ドメインのDMARC（送信ドメインの認証技術）導入状況、ポリシー設定、BIMI（DMARC認証済みのメールに企業ロゴを表示させる認証技術）対応状況などを、DNSレコードから確認したとしている。

対応進む証券会社の保護ポリシー　日経225企業に先行

　日経225企業では、225社中213社が少なくとも1つのドメインでDMARCを導入しており、企業数ベースの導入率は94.7％だった。サブドメインへの継承を含めた実質的なドメイン適用率は89.1％で、TwoFiveは大手企業でDMARC導入がおおむね進んだとみている。

　一方で、導入済みドメインのうち、隔離や拒否を行う強制力のあるポリシーを設定したドメインは限定的だった。日経225企業では、少なくとも1つのドメインで強制力のあるポリシーを設定した企業は69.8％に増加したが、サブドメイン継承分を含めた実質ドメインベースの保護率は18.5％にとどまり、80％超のドメインは監視中心の「none」設定段階にあるという。

　これに対し、証券会社では対応がより進んでいる。日本証券業協会の協会員企業では、少なくとも1つのドメインでDMARCを導入している企業が約81.0％、実質的なドメイン適用率が90.7％、強制力のあるポリシーで保護されるドメイン率が48.7％となり、日経225企業の18.5％を大きく上回った。

　金融庁によると、証券会社の口座乗っ取りによる不正取引が2025年上期以降増加し、2025年度を通じた被害額は約8000億円規模に上る。また、日本証券業協会が2025年10月にガイドラインを改正し、顧客向けメールのドメインにDMARCを計画的に導入した上で、最終的に「reject」ポリシーにする内容を盛り込んだことも、対応を後押しした要因と、TwoFiveは分析する。

　なお、証券会社のBIMI対応では、VMCまたはCMCをDNS上に公開しているドメイン数が同期間で5ドメインから21ドメインに増えた。DMARC導入は広がっているものの、実際になりすましメールを隔離・拒否する段階まで進められているかが、今後の運用上の焦点になりそうだ。