2025年前半だけで、日本の警察庁は驚異的な 120万件ものフィッシング被害を報告しておりを報告し、過去最高記録を塗り替える勢いだ。このデジタル攻撃は壊滅的な代償を伴っている:2024年には詐欺やサイバー犯罪による金銭的損失が推定 32兆2000億円 (220億米ドル)に達し、国民の約3人に1人が被害に遭った。この急増は当局の注目を逃れていない。
この危機に対応し、経済産業省(METI)は厳格な 企業向けサイバーセキュリティ評価制度 を導入すると発表した。この動きは重大な転換を示す:日本のサイバーセキュリティはもはや単なるITのチェック項目ではなく、国家経済の最優先課題となったのである。
本報告書は、 日本主要セクターにおける電子メールおよびドメインセキュリティ態勢 に関する技術的分析を提供します。高いコンプライアンス水準にもかかわらず実施が不十分なという矛盾を検証し、組織を現在注目を集めている侵害の標的に晒す構造的な欠陥を明らかにします。
「は必須項目
以下の表は 422の主要な日本のドメインをまとめ、プロトコル採用とアクティブな保護の間の不一致を強調しています。
SPF
DMARC
MTA-STS
DNSSEC
| セキュリティ指標 | パーセント | 解釈 |
| SPF値 | 95.0% | 優れた基盤導入。 |
| DMARCの採用 | 74.6% | 認知度は高いが、設定ミスが多い。 |
| DMARC 強制適用 (拒否) | 9.2% | 重大なギャップ:偽装ドメインをブロックしているのは、約10ドメインに1つだけである。 |
| DMARC監視のみ(なし) | 55.0% | 大半のドメインは可視化されているが脆弱である。 |
| MTA-STSの妥当性 | 0.5% | トランスポート層の暗号化がほぼ完全に欠如している。 |
| DNSSEC有効化済み | 16.4% | DNSハイジャックに対する高い脆弱性。 |
集計数値は、日本の重要産業における特定の脆弱性を隠している。以下に、セクター別の脅威状況の詳細な内訳を示す。
データ
| メートル | 価値 |
| SPF値 | 93.9% |
| DMARCレコードが存在します | 97.0% |
| DMARC p=reject (保護済み) | 33.3% |
| DMARC p=none (脆弱) | 39.4% |
| MTA-STS 有効 | 1.5% |
リスク分析
日本の銀行セクターは他国より保護されているものの、依然として重大な脆弱性のギャップが残っている。銀行ドメインの3分の2近く(66.7%)が p=reject。これにより高度な攻撃者はフィルタを迂回し、偽装された「緊急送金」や「セキュリティ警告」メールを高資産顧客や内部スタッフの受信箱に直接届けることが可能となる。
さらに、わずか わずか1.5% のみがMTA-STSを利用しているため、取引確認や機密性の高い顧客データを含む金融通信の大部分は、強制的な暗号化なしに送信されており、中間者攻撃(MitM)やダウングレード攻撃の危険に晒されています。
PowerDMARCソリューション
大学は研究スパイ活動や個人情報窃盗の主要な標的となっているにもかかわらず、取り締まりはほとんど行われていない。
データ
| メートル | 価値 |
| SPF値 | 96.0% |
| DMARCレコードなし | 32.0% |
| DMARC p=none | 57.3% |
| DMARC p=reject | 6.7% |
| MTA-STS 有効 | 0.0% |
リスク分析
教育セクターは危険なほど脆弱な状態にある。3分の1のドメインがDMARCレコードを全く設定しておらず、半数以上が監視モードのまま放置されている。これにより、「ITパスワードリセット」「助成金申請」「試験結果」を装ったフィッシング攻撃が横行する状況が生まれている。
影響は深刻である:学生または教職員のアカウントが1つ侵害されるだけで、独自の研究データの大規模な流出や、暗号通貨マイニング目的での大学コンピューティングリソースの乗っ取りにつながる可能性がある。 0.0% のMTA-STS採用率の低さにより、メール経由で共有される知的財産は平文のままウェブ上を移動していることが多々ある。
PowerDMARCソリューション
行政機関は、市民向けサービスをデジタル化する速度が、それらを届ける通信経路のセキュリティ確保の速度を上回っている。
データ
| メートル | 価値 |
| SPF値 | 95.8% |
| DMARCレコードなし | 26.3% |
| DMARC p=none | 61.1% |
| DMARC p=reject | 4.2% |
| MTA-STS 有効 | 0.0% |
リスク分析
PowerDMARCソリューション
医療 医療分野においてにおいて、偽装メールは財務面だけでなく、患者の安全やプライバシーにも影響を及ぼす可能性があります。
データ
| メートル | 価値 |
| SPF値 | 95.2% |
| DMARCレコードなし | 42.8% |
| DMARC p=none | 52.4% |
| DMARC p=reject | 0.0% |
| DNSSEC有効化済み | 4.8% |
PowerDMARCソリューション
日本のメディア企業は民主主義と世論を守っているが、攻撃者は依然として容易にその社名を偽装できる。
データ
| メートル | 価値 |
| SPF値 | 89.7% |
| DMARCレコードなし | 24.1% |
| DMARC p=none (脆弱) | 69.0% |
| DMARC p=reject (保護済み) | 5.2% |
| MTA-STS 有効 | 0.0% |
リスク分析
メディア業界は分析対象全業種中で最も低いSPF正答率(89.7%)を示しており、複雑な送信者インフラ(ニュースレター、マーケティング、サードパーティツール)の管理に苦戦していることを示唆している。
より深刻なことに、ドメインの約70%が p=noneの状態にある。これにより悪意ある主体は信頼できるニュース媒体を装い、「フェイクニュース」を拡散したり、選挙期間中に偽情報を流布したり、偽の定期購読更新通知を送信してクレジットカード情報を収集したりすることが可能となる。
MTA-STSの採用率が0.0%であるため、ジャーナリストと機密情報源間の通信は暗号化されておらず、情報源保護と報道の自由に深刻なリスクをもたらしている。
PowerDMARCソリューション
通信事業者は国家レベルの接続性を確保しているが、自社のメールインフラでは玄関のドアを開けっ放しにしている。
データ
| メートル | 価値 |
| SPF値 | 95.5% |
| DMARCレコードなし | 17.9% |
| DMARC p=none (脆弱) | 49.3% |
| DMARC p=reject (保護済み) | 9.0% |
| DNSSEC有効化済み | 9.0% |
リスク分析
通信事業者は「SIMスワップ」攻撃やアカウント乗っ取りの標的として高い価値を持つ。 p=none 、約20%がDMARCを全く設定していないため、攻撃者は「請求情報の更新」「データ使用量制限の警告」「SIMアップグレード」といったメールを容易に偽装し、顧客を騙して認証情報を引き出せる。
低いDNSSEC採用率(9.0%)は接続プロバイダーにとって皮肉な状況であり、自社のインフラがDNSスプーフィングの脅威に晒され、顧客トラフィックを転送されるリスクを抱えている。
PowerDMARCソリューション
航空会社から物流まで、運輸組織はメールで運営されており、依然として認証されていないメッセージを信頼しすぎている組織が多すぎる。
データ
| メートル | 価値 |
| SPF値 | 98.4% |
| DMARCレコードなし | 39.7% |
| DMARC p=none (脆弱) | 55.6% |
| DMARC p=reject (保護済み) | 0.0% |
| MTA-STS 有効 | 0.0% |
リスク分析
運輸部門はSPFの正確性が最も高い(98.4%)が、施行が最も弱い。運輸ドメインの施行率はゼロパーセントである p=rejectを全く実施していません。
この脆弱性は、攻撃者が偽の「フライトキャンセル」「通関インボイス」「配送再スケジュール」メールを送信する機会を提供します。物流分野では、貨物の盗難やサプライチェーンの改ざんにつながる可能性があります。消費者向け旅行分野では、大規模な認証情報収集やクレジットカード詐欺への扉を開くことになります。
他の分野と同様に、MTA-STSスコアが0.0%であることは、機密性の高い貨物積荷目録、旅客旅程、パスポートデータが、検証済みの暗号化なしに送信されることが多いことを意味する。
PowerDMARCソリューション
業界固有のリスクに加え、日本のメールエコシステムには四つの体系的な弱点が存在する。
日本のドメインの55.0%はDMARCを導入しているが、強制は行っていない。この「監視のみ」モードは可視性を提供するが、保護効果はゼロである。これは偽りの安心感であり、組織がログで発生をただ見ている間に、攻撃者が信頼できるブランドを偽装し続けることを許してしまう。
「 p=none は防犯カメラを設置しながら玄関の鍵をかけ忘れるようなものだ。泥棒が侵入する様子は見ていられるが、止めることはできない。日本の高い導入率は有望だが、 p=rejectに移行しなければ、仕事は半分しか終わっていない。」
マイサム・アル・ラワティ、PowerDMARC CEO
大企業では常にこんな光景が見られます:新しいマーケティングツールを導入すると、突然請求メールがバウンスし始めるのです。DNSにおける10ルックアップ制限は絶対的な上限です。 『SPFフラット化』 技術でこれらのレコードを圧縮しなければ、デジタルスタックの拡張は必然的にメール配信率を損なうことになる。」
ユネス・タラダ, サービスデリバリーマネージャー, PowerDMARC
95.0%のドメインが正しい SPF設定されている一方、残りの5.0%は重大な設定ミスに直面しています。複雑な組織では、これはしばしばDNSクエリの「10ルックアップ制限」に抵触することが原因で発生し、サードパーティベンダー(CRM、HRシステム)からの正当なメールが認証に失敗し消失する事態を招いています。
日本における輸送保安の有効性は全体でわずか0.5%に留まり、ほぼ完全な盲点となっている。 MTA-STSがなければ、攻撃者は「ダウングレード攻撃」を実行でき、メールサーバーに暗号化を解除させて平文でメッセージを送信させることが可能となる。これにより、ネットワークを監視する者なら誰でもメッセージを読み取ることができてしまう。
標準的なメール暗号化(STARTTLS)は機会主義的であり、暗号化を要求するが強制はしない。MTA-STSこそが暗号化を強制する唯一の方法である。日本のドメインの99.5%がこれを欠いているため、攻撃者が暗号化を解除し、送信中の機密企業通信を容易に読み取ることは可能だ。
PowerDMARC、オペレーション&デリバリー・シフト・リーダー、アヤン・ブイヤ
組織はブランド信頼の構築に多額の投資を行うが、たった一つの DNSハイジャック で瞬時に打ち砕かれる。DNSSECはデジタルアイデンティティの守護者として機能し、顧客がアクセスした際に確実に あなた自身 あなたと接続することを保証します。もはや単なるITプロトコルではなく、ブランド評判管理の基盤となる層なのです。」
アホナ・ルドラ, マーケティングマネージャー, PowerDMARC
「日本のパラドックス」を真に理解するには、2025年のデータをPowerDMARCが欧州、アフリカ、南米、オセアニアで最近得た調査結果と併せて検討する必要がある。
データが明らかにした驚くべき現実: 日本は基礎的な順守率(SPF)が世界最高である一方、実際の 執行(p=拒否)において危険なほど低い順位にある。
スウェーデンなどの国々は スウェーデン や ノルウェー といった国々が採用を保護(攻撃の遮断)へと成功裏に転換している一方で、日本は依然として「監視モード」に留まっている。おそらく最も憂慮すべきは、 ペルー、 ナイジェリア、そして イタリア はすべて、日本よりもかなり高い割合で厳格なセキュリティポリシーを実施している。
PowerDMARC 2025年地域別導入状況レポートのデータ
| 国数 | SPF 修正(同一性) | DMARCの採用状況(可視性) | DMARCエンフォースメント (p=reject) | MTA-STS(暗号化) |
| スウェーデン🇸🇪 | 85.0% | 77.9% | 29.9% | 2.9% |
| ノルウェー 🇳🇴 | 85.2% | 83.1% | 29.0% | 2.8% |
| ベルギー 🇧🇪 | 90.1% | 79.1% | 24.7% | <1.0% |
| ペルー 🇵🇪 | 86.1% | 66.0% | 17.9% | 0.6% |
| イタリア 🇮🇹 | 91.0% | 74.0% | 16.7% | ~1.0% |
| ニュージーランド 🇳🇿 | 81.2% | 62.5% | 16.7% | 1.3% |
| ナイジェリア 🇳🇬 | 70.3% | 45.9% | 14.2% | 0.0% |
| 日本 🇯🇵 | 95.0% | 74.6% | 9.2% | 0.5% |
| モロッコ 🇲🇦 | 71.3% | 36.5% | 7.5% | 0.0% |
| チュニジア 🇹🇳 | 76.4% | 30.1% | 4.8% | 0.0% |
日本は世界的に異例の存在だ。ほとんどの国では、企業にDMARCレコードを公開させること自体が課題である。日本ではレコードは存在する。認知度は高いが、スイッチは「オフ」のままになっている。
スウェーデンを見ると スウェーデン や ベルギーを見ると、未来の姿が見える:高い普及率と高い執行力が両立している。日本は現在『ペーパータイガー』だ:コンプライアンスチェックリスト上では強固に見える(95%のSPF)が、実際には攻撃者に対してほとんど抵抗を示さない。」
PowerDMARC脅威インテリジェンスチーム
データは明確だ:日本は基礎(SPF)を築いたが、壁(DMARCの強制適用)や屋根(MTA-STS)はまだ構築していない。
日本の組織は、注目を集める情報漏洩という形で新たな警鐘を必要としていません。必要なのは、管理された指導的な実施プロセスです。PowerDMARCは、以下の方法でこの脆弱性を強靭性へと変革します:
暗号化の簡素化 with ホスト型MTA-STS と DNSSEC。
旅の自動化 from p=none から p=reject。
規制への準拠 業界別のコンプライアンス・プレイブックを通じて
日本は電子メール認証における世界的なリーダーとなる技術的基盤を有している。今や喫緊の課題は、受動的な可視化から能動的な防御へと進化し、卓越したSPF導入を厳格なDMARC施行へと転換することである。運輸や医療など現在保護が遅れている分野は、自らのメールドメインを脆弱な標的から信頼できる通信チャネルへと変え、セキュリティ態勢を急速に向上させる機会を得ている。
可視性を防御に変える今日こそ
日本の高い導入率は、組織がセキュリティ対策の準備を整えていることを証明しています。必要なのはスイッチを入れる適切なパートナーだけです。御社のドメインを「見せかけだけの虎」のままにしないでください。次の攻撃の波が襲う前に、受動的な監視から能動的な保護へ移行しましょう。
PowerDMARCにお問い合わせください 施行への第一歩を踏み出すために、今すぐお問い合わせください。
