「DMARCは導入済み」では危ない? 〜p=noneのままでは守れない、今こそ“p=reject”を〜

執筆者 Hornetsecurity / 23.07.2025 /
Home » Blog » 「DMARCは導入済み」では危ない? 〜p=noneのままでは守れない、今こそ“p=reject”を〜

2024年以降、GmailやOutlook、Microsoftなど主要メールサービスが、なりすまし対策をより厳格にする方針を打ち出しています。背景には、企業や自治体をかたるフィッシング詐欺の急増と、それにともなう被害の深刻化があります。

こうした中、多くの企業が「DMARCはすでに導入している」と安心しているようですが、その運用状況をよく見ると「本当に機能しているのか?」と疑問に感じるケースが少なくありません。

2025年6月にフィッシング対策協議会が発表した月次レポートには、企業が攻撃者の標的になっている実態と、対策のあり方が明確に示されています。

本記事では、同レポートの内容をもとに、DMARCの正しい理解と“p=reject”運用の必要性について、実データを交えて解説します。


なりすまし攻撃に使われてしまう「よく知られている企業」

2025年6月に報告されたフィッシング攻撃の総件数は192,870件。このうち、実在する企業やサービスのドメインを騙って送られた「なりすましメール」が約38.7%を占めています。

中でも攻撃対象として特に多かったのは、Apple、Amazon、SBI証券、ANA、NTTドコモなど。これら上位5ブランドだけで全体の約50%を占めており、攻撃者が「受信者からよく知られている企業」を意図的になりすましていることがわかります。

なぜよく知られている企業がなりすまされるのでしょう?答えは明快です。受信者を騙しやすいからです。受信者が「よく知っている企業名」だからこそ、メールを開き、リンクをクリックし、被害が発生する。その裏には、送信元アドレスのドメイン名がもたらす“安心感”があります。

しかしそのドメインが、DMARCを適切に運用していないとしたら?それは、攻撃者にとってまさに「使い放題」のブランドです。

DMARCを「導入しただけ」では意味がない

多くの企業が、メールのなりすまし対策として自社のドメインにDMARCを導入しているものの、そのポリシーが“p=none”のままになっているケースは非常に多く見受けられます。

“p=none”とは、「DMARCの認証においてなりすましたメールであることが明白であっても、受信側に何も処理を指示しない」という設定です。つまり、SPFやDKIMの認証に失敗しても、メールはそのまま受信トレイに届いてしまう、ということです。

今回のレポートでも、調査用メール受信環境で観測されたフィッシングメールのうち、送信元(From)を実在サービスのドメインに偽装した「なりすましフィッシングメール」は約38.7%に上り、その約29.0%が“p=none”の状態、あるいはDMARC未導入のドメインだったとされています。攻撃者は、こうした“無防備”なドメインを的確に発見し、攻撃に悪用しているのです。

さらに言えば、DMARCを導入していても、ポリシーが“p=none”のままでは、受信側のセキュリティに寄与することはほぼありません。つまり、「DMARCは導入済み」という安心感の下で、実際には防御が機能していないという、非常に危険な状態なのです。

“p=none”のままにしてしまう理由と、その誤解

なぜ企業は“p=none”のままDMARCを運用してしまうのでしょうか。その背景には、大きく分けて2つの不安があります。

1つ目は、「正規のメールまでブロックされてしまうのではないか」という懸念。メールが届かなくなれば、顧客対応や社内外の業務に支障が出るのではないかという不安が、ポリシー強化の足かせになっているのです。

2つ目は、「自社の送信元が複雑すぎて、何が正規で何がなりすましか把握できない」という現実。外注先のメール配信サービス、グループ会社のシステム、クラウドサービスなど、多様な送信元が存在する中で、強制的にブロックするようにするのは危険だと判断される場合もあります。

これらの懸念は理解できます。しかし、それでもなお“p=none”を続けることは、攻撃者に対して「このドメインをなりすましても構わない」と宣言しているようなものです。

幸いにも、DMARCにはレポートという仕組みがあり、自社ドメインからどの送信元がどれだけのメールを出しているか、どれが認証に成功し、どれが失敗しているかを知ることができます。この仕組みを活用すれば、いきなり“p=reject”にせずとも、段階的に運用状況を把握しながら、適切なポリシーに移行することが可能です。

なりすましを本気で防ぐには“p=reject”しかない

では、どのようなポリシーが有効なのでしょうか?

レポートによると、“p=reject”や“p=quarantine”を導入していたドメインがなりすましに使われたのは、全体のわずか9.7%にとどまりました。これは、DMARCを適切に運用しているドメインは、攻撃者にとって“効率が悪い”ターゲットであり、意図的に避けられている可能性を示唆しています。

特に“p=reject”は受信側に対し、送信者になりすましたメールを廃棄せよと明確に示しています。つまり、受信箱に届く前に、なりすましメールを止められるのです。

一方、“p=quarantine”はどう違うのでしょうか?“p=quarantine”では送信者になりすましたメールを迷惑メールフォルダに隔離するだけなので、受信者が開封してしまうリスクが残ります。したがって、受信者を守り、自社ブランドを守るためには、 “p=reject”への移行を目指すべきです。

国も“p=reject”を推進

DMARCの“p=reject”を目指すという流れは、すでに国レベルでも進んでいます。政府は2024年6月の犯罪対策閣僚会議で、民間企業へのDMARC導入要請を正式に表明。2025年4月には、各省庁が“p=reject”での運用を推進していくことが確認されました。

このように、DMARCの導入、運用は単なる企業努力ではなく、「行って然るべき、当然の責任」としての位置づけに変わりつつあります。

最後に:「なりすまされないドメイン」になることが最大の防御

攻撃者は、簡単に偽装できるドメインを昼夜を問わず探しています。DMARC未導入はもちろんのこと、DMARCを導入していても“p=none”のままであれば、それは「このドメインは自由に使って構いません」と世界に向けて宣言しているのと同じです。

逆に、DMARCを導入し、“p=reject”まで到達していれば、「このドメインをなりすましても、受信者にメールが届くことはない」と判断され、なりすまし対象の候補から外される可能性が高まります。

今こそ、“メールが届くか”よりも、“なりすまされないか”を重視すべきときです。DMARCは、その第一歩となるツールなのです。

Hornetsecurity株式会社
Regional Marketing Manager
新井原 慶一郎



DMARC、DKIM、SPFを適切かつ簡単に導入、管理

フィッシングやなりすましなどからドメインを保護し
企業のブランド価値を保護します