オーストラリア DMARC および MTA-STS 採用状況レポート 2025

2024年、オーストラリア信号局(ASD)は1,200件を超える 1,200件を超える高優先度のサイバーインシデントに対応したに対応し、11%の急増はデジタル包囲網下の国家を浮き彫りにした。2025年末時点で、この攻撃の経済的被害は驚異的な規模に達している:オーストラリアの大企業におけるサイバー犯罪報告の平均コストは219%急騰し、現在では1件あたり20万ドルを超えている。6分ごとに新たなサイバー犯罪報告が提出される状況を受け、オーストラリア政府は勧告から規制へと移行した。

重要インフラセキュリティ(SOCI)規則が2025年4月に施行されることは、決定的な分水嶺となる。サイバーセキュリティはもはや任意の「ITチェック項目」ではなく、 2023-2030年オーストラリアサイバーセキュリティ戦略に基づく法的義務となった。しかし、この規制強化にもかかわらず、根本的な矛盾が残っている。オーストラリアのほとんどの分野では基本的なセキュリティ対策が確立されているにもかかわらず、その約半数が実際にそれらを実施しておらず、国家経済の「デジタル動脈」である電子メールシステムが恣意的な悪用に対して無防備な状態に置かれているのである。

本報告書は、オーストラリアの電子メールおよびドメインセキュリティ態勢について、セクター別に技術分析を行い、DMARC施行とトランジット暗号化における構造的な欠陥を明らかにする。これらの欠陥は、年間20億ドル規模の詐欺被害を助長し続けている。 年間20億ドル規模の詐欺被害を助長し続けている構造的な欠陥を明らかにします。

レポート依頼 - オーストラリアにおけるDMARC導入状況

「は必須項目

このフィールドは、検証のためのものであり、変更しないでおく必要があります。
名称*

全体的な国家姿勢:執行のギャップ

オーストラリアでは「入門レベル」の導入が強く、ほぼ全てのドメインが何らかのSPFおよびDMARCレコードを有している。しかし「結論」では、ほとんどの組織が 受動的な状態であり、脅威をブロックするのではなく監視しているに過ぎない。

SPF

オーストラリア SPF

DMARC

オーストラリア-DMARC

MTA-STS

オーストラリア MTA-STS

DNSSEC

オーストラリア DNSSEC

全国養子縁組指標

プロトコルコンポーネントレートリスクの影響
SPFの正しさ92.3%正当なメールがスパムとしてマークされるリスクが低い。
DMARCエンフォースメント (p=reject)46.7%重大: ドメインの53.3%がなりすましを防止できていません。
MTA-STSの採用5.8%「中間者攻撃」による傍受のリスクが高い。
DNSSECの採用6.8%DNSハイジャックやキャッシュポイズニングに対して脆弱である。

分析: 10ドメイン中9ドメインがDMARCを導入している一方で、 半数のみ のみが不正メールを実際にブロックするために使用している。これにより、ITチームはDMARCの「チェックボックス」を確認するだけで安心感を抱くが、高度ななりすまし攻撃に対して脆弱な状態が続くという偽りの安全感が生じている。

15日間のトライアル開始

セクター固有の脆弱性とパフォーマンス

オーストラリアはメール認証の基盤水準が高いと自負しているが、個別業界を詳しく見ると巨大な「施行格差」が明らかになる。患者の記録から政府発行の身分証明書まで、国家の最も機密性の高いデータを保護する分野では、積極的な遮断ではなく受動的な監視に依存するケースが多く、高度なフィッシングや傍受の機会を生み出している。

1. 医療:患者のプライバシー保護

2024年のメディバンク情報漏洩事件は、偽装されたベンダー通信が壊滅的なデータ漏洩を引き起こし得ることを今なお痛烈に示している。一方で 医療分野は 業界ではSPFベースが広く採用されているものの、転送時の暗号化とDNSセキュリティの欠如が、患者記録にとって重大な盲点を生み出している。

医療セキュリティ指標

メートル 採用率 ステータス
SPFの正しさ 93.3%
DMARCエンフォースメント (p=reject) 46.7% 中程度
DMARCレコードなし 6.7% 脆弱な
MTA-STSの採用 2.2% 無視できる
DNSSECの採用 0% 存在しない
医療用SPF

脅威

医療ドメインの97.8%がMTA-STSを実装していないため、電子メールで送信される患者データは「中間者攻撃(MiTM)」の危険に晒されています。攻撃者は送信中の医療記録を傍受または改ざんでき、個人情報の盗難や誤った医療請求を引き起こす可能性があります。

PowerDMARCソリューション

  • ホスト型DMARC:
    病院が移行することを可能にします p=reject に移行することを可能にします。これにより、重要な自動患者通知の配信リスクを回避できます。
  • MTA-STS および TLS-RPT:
    転送中のメールの暗号化を自動化し、プライバシー法の遵守を確保するとともに、PHI(個人健康情報)を傍受から保護します。

2. 銀行・金融:年間10億ドルの損失対策

金融セクターはサイト乗っ取り防止のためDNSSEC導入を主導しているが、依然として「受動的」な DMARCポリシー に苦戦している。これは詐欺メールを積極的にブロックしないためである。

銀行・金融指標

メートル 採用率 ステータス
SPFの正しさ 95.3%
DMARCエンフォースメント (p=reject) 51.6% 中程度
DMARCレコードなし 4.7% 脆弱な
MTA-STSの採用 3.1%
DNSSECの採用 14.1% 先行(相対)

脅威

この分野のほぼ半数が p=rejectを適用していないため、詐欺師は銀行のドメインを完璧に模倣したメールを送信できます。こうした「資金洗浄口座」を標的としたフィッシング詐欺は、顧客を騙して犯罪者が管理する口座へ資金を振り込ませます。

PowerDMARCソリューション

  • SPFの平坦化:
    金融機関は複数のサードパーティベンダー(マーケティング、CRM)を利用することが多い。PowerDMARCはSPFの「DNSルックアップが多すぎる」エラーを防止し、メールが常に認証されることを保証します。
  • AI脅威インテリジェンス:
    銀行を装ってメールを送信する世界中の送信元を可視化し、不正なIPアドレスをリアルタイムで特定・遮断します。

3. 政府:厳格な執行のベンチマーク

行政機関は、市民向けサービスをデジタル化する速度が、それらを届ける通信経路のセキュリティ確保の速度を上回っている。

政府指標

メートル 採用率 ステータス
SPFの正しさ 97.7% 素晴らしい
DMARCエンフォースメント (p=reject) 70.5% 強い
DMARCレコードなし 1.5% 安全な
MTA-STSの採用 18.2% 中程度
DNSSECの採用 6.1%

脅威

DMARCの厳格な適用にもかかわらず、MTA-STSにおける81.8%のギャップにより、攻撃者は電子メールの暗号化を平文にダウングレードできる。これにより、市民とオーストラリア税務局(ATO)やセントリンク(Centrelink)などの機関との間の機密通信が危険に晒される。

PowerDMARCソリューション

  • ホスト型MTA-STS & DNSSEC:
    政府各部門におけるこれらのプロトコルの複雑な導入を簡素化し、     ASD Essential Eight 成熟度レベルに準拠します。
  • コンプライアンス報告:
    監査担当者が電子メールチャネルが連邦基準に従って保護されていることを証明するための自動生成レポートを提供します。
デモを予約する

4. 電気通信:加入者データの高リスク性

通信事業者は身元の管理責任者であるにもかかわらず、現在、重要分野の中で最も低いDMARC施行率を示しており、SIMスワッピングや認証情報の窃取を招いている。

電気通信指標

メートル 採用率 ステータス
SPFの正しさ 84.3%
DMARCエンフォースメント (p=reject) 24.1% 重大リスク
DMARCレコードなし 12.0% 高露出
MTA-STSの採用 1.2% 無視できる
DNSSECの採用 10.8% 中程度

脅威

通信事業者の8社に1社はDMARCレコードを保持しておらず、ハッカーによる偽の請求書通知送信を容易にしている。ユーザーが悪意のあるリンクをクリックすると、認証情報が盗まれ、銀行口座の多要素認証(MFA)を迂回するSIMスワップ被害につながることが多い。

PowerDMARCソリューション

  • マネージドDMARCサービス:
    通信事業者が     p=none から p=rejectへ移行するための段階的なロードマップを提供し、数百万件のなりすましメールを発生源でブロックします。
  • DMARCフォレンジックRUFレポート:
    通信事業者に、自社の加入者を標的とした特定のフィッシングキャンペーンに関する可視性を提供します。

5. 運輸・物流:請求書詐欺の温床を断つ

国際的な請求業務が大量に行われる運輸業界は、ビジネスメール詐欺(BEC)の主要な標的となっています。 ビジネスメール詐欺(BEC)の標的となるが、メール認証においては著しく遅れている。 (BEC)の主要な標的となっているにもかかわらず、メール認証の取り組みは著しく遅れている。

輸送・物流指標

メートル 採用率 ステータス
SPFの正しさ 90.2%
DMARCエンフォースメント (p=reject) 22.0% 重大リスク
DMARCレコードなし 17.1% 高露出
MTA-STSの採用 1.2% 無視できる
DNSSECの採用 4.9%

脅威

驚異的な17.1%のドメインがDMARCを導入していない。これにより攻撃者は物流大手(例:カンタス・フレートやトール)をなりすまし、サプライチェーンに不正な請求書を混入させ、数百万ドル規模の電信詐欺を引き起こすことが可能となる。

PowerDMARCソリューション

  • 自動化されたSPF管理:
    サードパーティの配送業者に依存する複雑な物流ネットワークを保護し、正当なメールは確実に配達され、なりすましはブロックされることを保証します。
  • BIMI(メッセージ識別用ブランド指標):
    認証済みメールを受信者の受信トレイに表示する際、企業ロゴを追加し、請求書支払い顧客の信頼性を高めます。

6. メディア:情報化時代における信頼の擁護

メディア業界は独特の脅威に直面している:偽情報の拡散を目的としたドメインの悪用である。DMARCの採用率はまずまずだが、暗号化の欠如は情報源保護の弱点となっている。

メディア指標

メートル 採用率 ステータス
SPFの正しさ 91.2%
DMARCエンフォースメント (p=reject) 63.2% 強い
DMARCレコードなし 5.9% 中程度
MTA-STSの採用 0% 存在しない
DNSSECの採用 4.4%
BIMIロゴ

脅威

MTA-STSの採用がゼロであることは、ジャーナリストと情報源の通信が国家主導の傍受に対して脆弱であることを意味する。さらに、強制力のないドメインは、株式市場の変動や社会的パニックを引き起こす偽のプレスリリースを送信するために悪用される可能性がある。

PowerDMARCソリューション

  • ホスト型MTA-STS:
    ジャーナリストの「デジタル足跡」を保護し、すべての通信を暗号化することで情報源を監視の目に晒されないようにします。
  • エンタープライズグレードのダッシュボード:
    メディアコングロマリットが数百のサブドメインと国際ニュースデスクを一元管理できる。
15日間のトライアル開始

7. 教育:知的財産と研究の保護

オーストラリアの大学は研究分野で世界をリードしており、高度な資格情報収集による知的財産(IP)窃盗の温床となっている。

教育指標

メートル 採用率 ステータス
SPFの正しさ 91.4%
DMARCエンフォースメント (p=reject) 38.3% 中程度
DMARCレコードなし 8.6% 中程度
MTA-STSの採用 3.7%
DNSSECの採用 6.2%

脅威

低い対策実施率(38.3%)により、攻撃者は「ITパスワードリセット」メールを偽装できる。研究者や学生がこれらの偽ポータルにログインすると、その認証情報が悪用され、大学の内部データベースにアクセスされ、企業秘密や研究データが盗まれる。

PowerDMARCソリューション

  • ドメイン検出:
    学生や教職員によって登録された、セキュリティ対策が不十分な可能性のある「シャドーIT」ドメインを自動的に検出します。
  • マネージドサービス:
    過負荷状態にある大学IT部門からDMARC運用管理の技術的負担を軽減します。

内部構造:四つの構造的弱点

特定のセクターに固有のリスクを超えて、オーストラリアの電子メール環境は、年間20億ドル規模の詐欺を助長する4つの体系的な脆弱性によって阻害されている。 年間20億ドル規模の詐欺被害

1. p=noneの「コンプライアンスの罠」

オーストラリアのドメインの92.3%がDMARCを導入している一方で、 46.7%のみが厳格なポリシーを適用している。これにより、組織が脅威を検知できても阻止できないという巨大な「監視のみ」のギャップが生じている。

「p=noneという方針は、防犯カメラを設置しながら玄関の鍵をかけ忘れるようなものだ。泥棒が侵入する様子は監視できるが、阻止する術はない。オーストラリアの導入率は高いが、方針を拒否に切り替えるまでは、仕事は半分しか終わっていない。」

マイサム・アル・ラワティ、PowerDMARC CEO

「大規模なオーストラリア企業は成長に伴い、自社のセキュリティを自ら破ることが多い。新たなマーケティングツールを追加すると、 10回のルックアップ制限を超過させ、を超え、重要な請求書がスパムフォルダに振り分けられる原因となります。SPFフラット化はもはや贅沢品ではなく、運用安定性の必須要件です。」

ユネス・タラダ, サービスデリバリーマネージャー, PowerDMARC

2. SPFの複雑性と10ルックアップ制限

オーストラリアのドメインの92.3%は正しいSPFを設定しているが、大規模企業ではサードパーティ技術スタック(CRM、決済ゲートウェイ)の複雑化により「DNSルックアップ制限」に頻繁に抵触する。これによりランダムな認証失敗が発生し、配信率が低下する。

3. MTA-STS:暗号化の盲点

わずか 国内導入率はわずか5.8%という状況下で、オーストラリアは輸送セキュリティに関してほぼ完全な盲点を持っている。これにより「ダウングレード攻撃」が可能となり、犯罪者がサーバーに暗号化を解除させ、機密メールを平文で送信させることを強要できる。

「機会主義的暗号化(STARTTLS)だけでは不十分です。MTA-STSがなければ、攻撃者がセキュリティを無効化し、通信中の企業通信を容易に傍受できます。これはSOCI規制の対象となるあらゆる組織にとって主要なリスクです。」

PowerDMARC、オペレーション&デリバリー・シフト・リーダー、アヤン・ブイヤ

DNSハイジャック は、何十年もかけて築いたブランドの信頼を瞬時に打ち砕く可能性があります。DNSSECはデジタルアイデンティティの守護者であり、顧客が犯罪者の偽装サイトではなく、本物の事業体と確実に接続することを保証します。これはブランド評判管理の基盤となる層なのです。」

アホナ・ルドラ, マーケティングマネージャー, PowerDMARC

4. DNSSEC:脆弱な基盤

DNSSECの導入率は わずか 6.8%に留まっている。これがなければ、インターネットのディレクトリシステムは無防備となり、攻撃者がドメインフロー全体を乗っ取り、不正なサーバーへリダイレクトすることが可能となる。

お問い合わせ

グローバル・ベンチマーキング:オーストラリアの文脈における位置づけ

オーストラリアは基礎的なコンプライアンス水準が高いものの、その執行率は世界の主要国と比較すると異なる実態を示している。オーストラリアは「受動的リーダー」に位置付けられ、可視性では高い評価を得ているが、積極的な防御面では遅れをとっている。

グローバルリーダーボード:2025年データ

国数SPF値DMARCの採用DMARCエンフォースメント (p=reject)MTA-STS(暗号化)
オーストラリア 🇦🇺92.3%92.3%46.7%5.8%
スウェーデン 🇸🇪85.0%77.9%29.9%2.9%
日本 🇯🇵95.0%74.6%9.2%0.5%
ノルウェー 🇳🇴85.2%83.1%29.0%2.8%
ペルー 🇵🇪86.1%66.0%17.9%0.6%
ナイジェリア 🇳🇬70.3%45.9%14.2%0.0%

オーストラリアからの重要な洞察

1. オーストラリアの優位性

オーストラリアは、日本や多くの欧州諸国に比べてDMARCの導入率と施行率が著しく高い。これはおそらく、 ASD Essential Eightの積極的な推進によるものと考えられる。

2.可視性のパラドックス

DMARCの採用率が92.3%であるにもかかわらず、ドメインの53%が p=reject p=reject 設定がないドメインの53%は、依然としてなりすましの危険に広く晒されている。

3.暗号化の危機

オーストラリアはMTA-STSにおいて日本を上回っているものの、5.8%という率は依然として傍受の「開かれた扉」であり、 現代のデジタル経済における に大きく後れを取っている。

PowerDMARCの視点

オーストラリアは世界の多くの国々を凌駕する技術基盤を構築してきたにもかかわらず、「施行のギャップ」は依然として数十億ドル規模の脆弱性として残っている。 2026年の喫緊の課題は、受動的な可視化から能動的な防御への移行である。DMARCの高い採用率を厳格な「p=reject」適用へ転換し、MTA-STS暗号化のギャップを解消することで、オーストラリアの組織は自社のメールドメインを脆弱な標的から、国家サイバーセキュリティ戦略に沿った堅牢で信頼性の高い通信チャネルへと変革できる。」

結論:指標から行動へ

2025年のデータは、オーストラリアが基礎(SPF)を構築したものの、壁(DMARC強制)や屋根(MTA-STS)はまだ完成していないことを裏付けています。「受動的リーダー」から「積極的防御者」へ移行するには、組織は以下のことを行う必要があります:

旅を自動化する: ホスト型DMARCを使用 ホステッドDMARC を使用して p=none から p=reject に変更する。

傍受の隙間を塞ぐ: ホスト型MTA-STSを導入し、市民やパートナーとの全通信を暗号化することを保証する。

SPFを平坦化: DNSルックアップエラーを防止し、100%のメール配信率を確保します。 ホステッドSPF サービスは、正しいSPF設定の確保に役立ちます。

デモのご予約 お問い合わせ

可視性を防御に変える今日こそ

オーストラリアの高い導入率は、組織がこの脅威を認識していることを証明しています。必要なのは適切なパートナーと決断するだけです。攻撃を阻止せずに傍観するだけの「見せかけだけの対策」に留めてはいけません。次の大規模な侵害が発生する前に、受動的な監視から能動的な防御へ移行してください。

お問い合わせ PowerDMARCまでご連絡いただき、対策の実現に向けた第一歩を踏み出しましょう。

15日間のトライアルデモを予約する