Partner Login

攻撃は量も質もエスカレート、 DMARC運用強化が経営課題に

執筆者 Hornetsecurity / 22.08.2025 /
Home » Blog » 攻撃は量も質もエスカレート、 DMARC運用強化が経営課題に

ここでいう「攻撃」とは、企業や利用者を狙ったフィッシング攻撃のことです。メールやSMSを通じて偽サイトへ誘導し、アカウント情報やクレジットカード番号を詐取する行為を指します。

フィッシング対策協議会が公表した「2025年7月 フィッシング報告状況」によれば、報告件数は226,433件と前月比17.4%増、重複を除いたフィッシングURLは85,272件に達しました。さらに悪用ブランドは97ブランドに拡大しています。

つまり、攻撃は件数でも手口でも拡大を続けており、単なるセキュリティの課題ではなく、企業の経営課題に直結しうる状況に入ったといえます。

本記事では、同レポートの内容をもとに、DMARCの正しい理解と“p=reject”運用の必要性について、実データを交えて解説します。

ランド・カテゴリ動向:集中と深化

7月のデータを俯瞰すると、攻撃の特徴は「集中」と「深化」です。

  • **SBI証券(約16.1%)NTTドコモ(約13.2%)**といった金融・モバイルサービスが狙われ、利用者の生活基盤を直撃しました。
  • VISA、松井証券、Amazonなど1万件超の報告を受けたブランドも複数存在し、これら上位ブランドだけで全体の**約58%**を占めています。
  • さらに、1,000件以上の報告があったブランドは35に達し、全体の94%以上を占めました。

これは、攻撃が無差別ではなく、「だましやすく、利益を得やすい標的」に絞って繰り返されていることを意味します。特に証券分野は顧客資産を直接狙うため攻撃者にとって高い収益性を持ち、モバイル分野はSMSとの連動(スミッシング)によって被害の裾野を広げやすいという特徴があります。

6月はECが最多カテゴリでしたが、7月は証券・モバイルが台頭し、攻撃の重点がシフトしました。これは「攻撃者が狙うべき分野を精緻に選び直し、効率的に資金を奪おうとしている」動きの表れといえるでしょう。

“ただ導入しただけ”のDMARCでは守れない

こうした攻撃に対抗する最も有効な仕組みの一つがDMARCです。しかし、導入してレコードを公開するだけでは十分ではありません。

7月の調査では、“なりすまし”メール全体のうちDMARCでフィルタ可能な割合は約15%に上昇した一方、p=noneや未導入ドメイン由来の攻撃は依然として17%以上を占めています。これは、強いポリシーを適用した企業は確実に防御できている一方で、p=noneにとどめている企業が攻撃者の温床になっていることを意味します。

DMARCの本質は「なりすましを見つける」ことではなく、「不正なメールを受信側に拒否させる」ことにあります。そのためには、ポリシーをrejectやquarantineへ移行する運用強化が不可欠です。形式的な導入のままでは、攻撃者に“抜け道”を提供し続けてしまいます。

DMARC運用強化へ:企業が踏むべきステップ

DMARCを実効性ある仕組みにするには、段階的かつ計画的な運用が欠かせません。以下のステップは、単なるセキュリティ対応ではなく、ブランド保護や顧客信頼を守る経営施策そのものです。

  • 送信経路の棚卸し
    自社・委託先・SaaSなどすべての送信元を洗い出し、SPF/DKIM整合性を確認する
  • 段階的ポリシー移行
    p=”none” → p=”quarantine” → p=”reject”へ段階的に強化。サブドメインからの先行導入も有効にする
  • レポート監視
    DMARCレポートを継続的に確認し、正規経路外の送信を排除する
  • アラインメントの厳格化
    SPF/DKIMの一致条件を relaxed から strict へ引き上げ、なりすまし余地を最小化する
  • BIMI導入の検討
    DMARC正式運用を基盤にブランドロゴを表示(BIMI対応)し、顧客に視覚的な安心を提供する
  • 受信側対策との連携
    DMARC失敗メールの警告表示・隔離を受信システムに実装する。(受信者の保護にも直結)
  • 体制整備
    新規サービスや業務委託時にSPFやDKIMの整備を必須化し、継続改善できる体制を構築する

これらを実行していくことでDMARCは、「導入済みの設定」から「経営を守る防御基盤」へと進化します。

まとめ:経営判断としてのDMARC

7月のレポートは二つの事実を突きつけました。

  • 攻撃は量的にも質的にもエスカレートしている
  • DMARCを強いポリシーで運用すれば防御効果が確実に表れる

情シス部門にとっては、p=”none”のまま放置せず、p=”reject”まで移行する計画を立てることが最優先課題です。経営層にとっても、フィッシング被害はブランド価値の毀損・顧客信頼の喪失・事業継続リスクに直結する問題であり、DMARCの運用強化は単なるセキュリティ施策ではなく経営判断そのものです。

形式的な導入では企業も顧客も守れません。実効性ある運用こそが、信頼と事業を守る唯一の道なのです。

Hornetsecurity株式会社
Regional Marketing Manager
新井原 慶一郎

DMARC、DKIM、SPFを適切かつ簡単に導入、管理

フィッシングやなりすましなどからドメインを保護し
企業のブランド価値を保護します

こちらもご覧ください

blogpost email security

攻撃は量も質もエスカレート、 DMARC運用強化が経営課題に

メールセキュリティ
2025/08/22

攻撃は件数でも手口でも拡大を続けており、単なるセキュリティの課題ではなく、企業の経営課題に直結しうる状況に入ったといえます。 本記事では、同レポートの内容をもとに、DMARCの正しい理解と“p=reject”運用の必要性について、実データを交えて解説します。

詳細はこちら