フィッシングメールとDMARCの統計：2026年のメールセキュリティ動向

フィッシング攻撃は、インターネットを利用するすべての人に影響を与える、最も一般的でコストのかかるサイバー脅威のひとつです。これらの攻撃は、多くの場合、正規の電子メールを装い、人々を騙して機密情報を共有させたり、無意識のうちに有害なソフトウェアをダウンロードさせたりするもので、年間数十億ドルもの被害が発生している。

この問題に対処するため、組織はDMARCを採用している。 DMARC （ドメインベースのメッセージ認証、報告、準拠）を採用しています。DMARCは電子メールのなりすまし防止を目的とした認証プロトコルであり、ほとんどのフィッシング詐欺の核心となる手口です。しかし、その有効性にもかかわらず、多くの企業がDMARCを導入しておらず、 その結果、毎年数十億ドルの損失が発生しています。DMARC統計は一貫して、電子メールのなりすましがフィッシングキャンペーンの主要な侵入経路の一つであり続けていることを示しています。

このリスクに対処するため、最も一般的なフィッシングの手口、その危険性、および電子メールの脆弱性を悪用する方法を明らかにしました。さらに、フィッシング攻撃の主要な要因である電子メールのなりすましから組織を効果的に保護するDMARCの仕組みについても説明します。

PowerDMARCでセキュリティを簡素化！

主要なサイバー犯罪統計

近年における世界的なサイバー攻撃の件数は、明確な傾向を示している：サイバー脅威は規模と高度化の両面で拡大を続けている。 2016年には世界中で約430万件の攻撃が報告されたが、わずか5年後の2021年にはその数は1900万件以上に急増した（この急増は主にパンデミック下でのオンライン活動への大規模な移行が要因）。そしてこの傾向は鈍化していない。2025年前半だけで、 8,000件以上のデータ侵害が発生し、約3億4,500万件の記録が流出、サイバー脅威がいかに深刻かつ持続的であるかを浮き彫りにしている。

エクスペリアンの「2026年データ侵害業界予測」は、サイバー犯罪における人工知能（AI）の活用に対する懸念の高まりを指摘している。同報告書は、AIが攻撃をより高度化し検知を困難にさせていると述べ、犯罪者が従来の防御策が対応できる速度を上回る速さで、説得力のある偽の身元を作成し攻撃を自動化することを可能にしているとしている。

主要な犯罪類型

投資詐欺： サイバー犯罪の中で最も被害額が大きいカテゴリーであり、 被害総額65億ドル。主にソーシャルエンジニアリングとデジタル金融を組み合わせた仮想通貨「ピッグブッチャー」詐欺などが原因となっている。

ビジネスメール詐欺（BEC）： 組織の財務プロセスを標的とする持続的な脅威であり、 報告された損失額は29億ドル 。攻撃者が信頼された通信経路を悪用する手法を浮き彫りにしている。

ランサムウェア：報告されている金銭的損失は近年増加しているものの、真のコストは往々にして業務への影響に起因する。2025年には、これらの攻撃を受けた組織の平均ダウンタイムは24日に達し、生産性の低下、業務の停滞、復旧費用が身代金自体をはるかに上回るケースが多かった。

これらの傾向は、技術が変化するにつれてサイバー攻撃も変化し、こうした脅威の仕組みを理解している組織ほど、自らを守る態勢が整っていることを示している。

フィッシング詐欺

すべてのサイバー攻撃が同じように作られているわけではなく、データを種類別に見ると、いくつかの興味深いパターンが浮かび上がってくる。

パンデミック期間中、フィッシング攻撃は劇的に増加し、2016年の約44万件から2023年には約900万件に達した。 2016年の44万件から2023年には約900万件に急増した。デジタル通信に依存する人々が増えたためである。2025年においても、フィッシングは依然として最大のサイバー脅威の一つだ。攻撃件数は年間約500万件で推移すると予測されている。これは戦術が新しいからではなく、効果的だからである。これらの攻撃は有害であるだけでなく、高額な損害をもたらす。平均的に、 フィッシング関連の単一侵害事例で組織が被る損害は約488万ドル。これは攻撃がもたらす損害の大きさを示している。

フィッシングは、攻撃者が侵入し、ログイン情報を盗み、より大規模な攻撃を引き起こす最も容易な手段の一つとなっている。そのため、悪意のあるメールを阻止することは、サイバーセキュリティの最優先課題であり続けている。

個人データの漏洩

個人データ侵害は世界で2番目に多く、 166万件のインシデントが が報告された。個人情報漏洩とは、不正な第三者が氏名、メールアドレス、ログイン認証情報、財務情報、医療記録などの機密情報にアクセスする事態を指す。これらは主に、ハッキングされたデータベース、顧客記録の流出、従業員情報の漏洩、あるいは開放されたまままたは不適切に保護されたクラウドストレージとして顕在化する。

その他の主要なサイバー犯罪カテゴリーは以下の通りであった：

• 恐喝 – 139万
• 投資詐欺 – 118万ドル
• 技術サポート詐欺 – 110万件
• 個人情報盗難 – 59万件
• クレジットカード詐欺 – 41万件

これらの数字は、サイバー犯罪が依然として主に二つの点に集約されていることを明らかにしている：データの暴露と、金銭的利益を得るためのその悪用である。

米国におけるサイバー犯罪

米連邦捜査局（FBI）のインターネット犯罪苦情センター（IC3）によると、2024年に米国で最も多く報告されたサイバー犯罪はフィッシングとスプーフィングであった。これは世界的な傾向を反映しており、参入障壁が低く人間の信頼に依存する性質から、フィッシングが最も広範かつ持続的なサイバー脅威であることを裏付けている。

他の種類のサイバー犯罪は、全体的には出現頻度が低下したものの、依然として一般的であった：

個人データ侵害： 引き続き数万人に影響を与え、機密性の高い個人情報や財務情報への不正アクセスが発生した。

テクニカルサポート詐欺： 攻撃者が正規のテクニカルサポートを装い、被害者から金銭の支払いやリモートアクセス権を搾取する一般的な詐欺手口。

未払い・未納品詐欺： 依然として広く報告されており、特にオンラインマーケットプレイスにおいて、被害者が商品やサービスに対して支払いを行うものの、それらが決して届かないケースが後を絶たない。

恐喝: データ漏洩、アカウント侵害、既知のランサムウェア戦術に関連する脅威を含む報告は安定して続いている。

世界的なサイバー犯罪

世界的に、サイバー犯罪は 成人のかなりの割合に影響を与えており、特定の種類の犯罪がより一般的である。例えば、オンライン利用者の41％が自身のデバイスでウイルスやマルウェアを経験したと報告している。フィッシング詐欺も一般的で、ユーザーの約30％が影響を受けており、モバイル/SMS詐欺は35％に影響を与えている。

ほぼ10年間にわたり、こうした脅威の発生頻度は著しく加速し、犯罪手法がより洗練され頻発するにつれ、世界規模のサイバー攻撃事例はほぼ倍増した。

サイバー犯罪のコスト

サイバー攻撃はますます高度化し、それに伴い被害額も増加している。2018年、世界のサイバー犯罪による被害額は8600億ドルと推定された。 2024年までに、この数字は推定 9.22兆ドルまで上昇し、 2025年には年間約10.5兆ドルと予測されており、わずか数年でほぼ10倍に増加したことを反映している。 

最近の重大な事件

2025年第1四半期には、世界中の数百万の個人や組織に影響を及ぼす、注目を集めるサイバー攻撃とデータ侵害の新たな波が発生した。攻撃者はソフトウェアの脆弱性からサードパーティの脆弱なセキュリティに至るまであらゆる手段を悪用し、依然として多くの侵入経路が露呈したままである実態を浮き彫りにした。

• クーパン個人情報流出事件： 韓国最大のオンライン小売業者が、3300万人以上の顧客の個人情報が流出した大規模な情報漏洩を確認。これを受け、経営陣の辞任と政府の調査が行われている。
• 700件の信用情報漏洩： ハッカーがサードパーティのAPIにアクセスし、信用調査および身元確認サービスプロバイダーの580万人以上の個人から機密データが流出。
• オラクルE-ビジネス・スイート攻撃キャンペーン： 攻撃者はオラクルのEBSプラットフォームにおけるゼロデイ脆弱性を悪用し、教育機関や金融機関での侵害事件に関連して、大規模なデータ窃取と恐喝要求を引き起こした。
• セールスフォース／ゲインサイト サプライチェーン侵害： ゲインサイトの顧客サポートプラットフォームへの不正アクセスにより、セールスフォースのサービスを利用する200社以上の企業からデータが盗まれた。
• カンタス航空データ流出事件： 身代金要求期限が過ぎた後、ハッカーがダークウェブ上でカンタス航空の顧客約500万人の個人記録を流出させた。これは多くの主要企業に影響を与えた大規模な攻撃キャンペーンの一環である。

同様の侵害は、大規模なグローバル企業と重要なサードパーティシステムの両方を標的とし続けており、プライバシー、信頼、業務継続性に広範な影響をもたらしている。

フィッシング統計

APWGのデータによると、2025年もフィッシング活動は急増を続け、第1四半期だけで100万件以上のフィッシング攻撃が報告された。これは、信頼関係や日常的なオンライン習慣を容易に悪用できるため、フィッシングが依然として好まれる攻撃手法であることを示している。
詐欺師は「緊急」「署名」「パスワード」「書類」「配送」といった注目を集める言葉に加え、「支払い」「電信送金」「BACS」「クレジット」「購入」といった金融用語を多用し、人々を誘い込んだ。

フィッシングの手口がいかに巧妙になり、個人情報や金融情報を狙うようになったかを思い知らされる。

電子メールフィッシング統計

APWGフィッシング活動動向レポートのデータ APWGフィッシング活動動向レポート によると、過去数年間でフィッシング攻撃は着実に増加し、その勢いは加速している。主な攻撃手段は依然として電子メールである。

• 2022年： フィッシング活動は年間を通じて急速に増加し、初期の数百万件/月から2022年中盤～後半には400万件/月を大幅に超える水準に達した。これにより、大規模なフィッシングが例外ではなく常態化したことが明らかとなった。
• 2023年： フィッシング攻撃は月間500万件を常時超え、年末にかけて急増。攻撃の頻度と規模がともに拡大した結果、2023年12月には過去最高を記録した。
• 2024年： APWGの報告書によると、フィッシング攻撃の件数は年間を通じて一貫して高い水準を維持した。これは、ブランドなりすましの増加、認証情報の収集、メールベースのソーシャルエンジニアリングの活用が主な要因である。攻撃レベルは2022年以前の水準に戻ることはなく、歴史的に高い範囲で安定化した。
• 2025年： APWGの初期データによると、フィッシング攻撃は大規模に継続しており、第1四半期だけで100万件以上の攻撃が報告された。これはフィッシングが依然として最も持続的で効果的なサイバー犯罪手法の一つであることを裏付けている。自動化とAIを活用した戦術により、攻撃者の到達範囲と効率はさらに向上している。
• 2026年（見通し）： APWGの予測によれば、2026年にはフィッシング攻撃が拡大を続ける見込みである。AI技術により詐欺の手口作成が容易化され、なりすましの信憑性が高まり、攻撃対象が電子メールからクラウドサービスやコラボレーションツールへと拡大するためである。

フィッシングはもはや周期的なものでも一時的なものでもない。組織が年々積極的に管理しなければならない恒常的で大量発生する脅威となった。

フィッシングサイトの動向

フィッシングサイトの動向は、フィッシングページをホストするために特別に作成されたユニークなウェブサイトの数を追跡し、攻撃者が詐欺を支援するインフラをどれほど積極的に構築しているかを明らかにします。これらのサイトは短命で、頻繁に削除され置き換えられるため、その数は時間の経過に伴うフィッシング活動の有用な指標となります。

フィッシングサイトの数（ユニークサイト数）は年々変動しており、2022年から2023年初頭にかけて顕著なピークを迎え、四半期ごとに100万件以上のサイトが検出されました。この急増後、活動は2024年にかけて着実に減少し、約877,536件のユニークサイトまで低下しました。これは新規サイト作成が一時的に鈍化したことを示唆しています。

しかし、この減少は長くは続かなかった。APWGの2025年第2四半期報告書によると、 2025年第2四半期に再び100万以上のユニークなフィッシングサイトが検出されたフィッシングインフラの再拡大を示している。この増加は攻撃者が防御策の強化に合わせて迅速に適応し、新たなサイトを作成し続けるため、フィッシングが継続的な脅威であり続けることを示している。

業界別のフィッシング攻撃

フィッシングは、システムではなく人を標的とするため、業界を問わず最も広く利用される攻撃手法の一つであり続けている。2025年には、攻撃者はAI駆動型のフィッシング戦術にますます依存するようになる。これには、高度にパーソナライズされたメール、現実的なブランドなりすまし、内部コミュニケーションのスタイルを忠実に模倣した大規模生成メッセージなどが含まれる。これらの技術により、フィッシングは発見が困難になり、より広範な攻撃への入り口として効果を高めている。

フィッシングはほぼすべての分野に影響を与え続けていますが、その役割と頻度は業界によって異なります：

• メディア制作： 最も標的とされる分野の一つであり、フィッシング攻撃が運用システムやサプライチェーンのワークフローへの初期アクセスを得るために頻繁に利用される。
• 政府および公共部門： フィッシングは、機密データの価値の高さと、一般向けメールインフラの広範な利用を背景に、主要な攻撃手法であり続けている。
• 製造業: 複雑なサプライチェーンとメールベースの調整への依存から標的となりやすく、フィッシングが効果的な侵入経路となっている。
• 金融・保険: 直接的な金銭的インセンティブがあるため頻繁に標的となり、フィッシングが認証情報の窃取、詐欺の開始、または支払いのリダイレクトに利用されることが多い。
• エネルギー・公益事業: 他の攻撃ベクトルも一般的ではあるものの、フィッシングは依然として認証情報の窃取や初期段階のアクセス試行において役割を果たし続けている。
• エンターテインメント: アカウント乗っ取り、知的財産窃盗、生産・流通システムへのアクセスを目的としたフィッシングキャンペーンを通じて標的とされる。
• 輸送と物流： 攻撃者が相互接続されたシステム、サードパーティベンダー、時間制約のある業務を悪用するにつれ、標的とされるケースが増加している。
• 医療・製薬業界： 機密性の高い患者データと時間的制約のあるスタッフのため、常に標的となりやすく、フィッシングメールの見分けが難しくなる可能性があります。
• 旅行・観光業界： 取引量が多く、メールによる顧客とのやり取りが頻繁であるため、標的とされることが多い。
• 小売・消費者向けサービス： フィッシングは、従業員の認証情報を不正取得し、顧客データや決済システムへのアクセス権を得るために一般的に利用される手法です。

フィッシングリスクを低減するため、あらゆる業界の組織は多層的な対策の恩恵を受けます。これには、実際の攻撃パターンに合わせた従業員向け意識向上トレーニング、強力なメール認証とフィルタリング、模擬フィッシングによる定期的なテスト、明確な内部報告プロセスが含まれます。AIによってフィッシングの手口が進化し続ける中、予防策は技術的対策と同様に、情報に基づいたユーザーの対応に依存しています。

対象とするオンライン産業分野

2025年第2四半期において、フィッシング攻撃が最も頻繁に標的としたのは金融機関（18.3％）であり、SaaS／Webメールプラットフォーム（18.2％）がそれに続いた。 EC・小売業界への攻撃は14.8%、決済サービスは12.1%、ソーシャルメディアプラットフォームは11.3%を占めた。これらの分野は、大量のデジタル取引を支え、貴重な認証情報を保管し、金融詐欺やアカウント乗っ取りへの直接的な経路を提供するため、攻撃者の標的となり続けている。

最も標的とされる国々

2025年、サイバー攻撃の標的となる頻度が最も高い国々は、米国が首位で、次いでウクライナ、イスラエル、日本、英国が続く。その他、標的となる頻度が高い国々には、サウジアラビア、ブラジル、インド、ドイツ、ポーランドが常に名を連ねている。 

このランキングは、フィッシング被害に遭った個々のユーザーの割合ではなく、攻撃の総量とリスクの集中度を反映したものであり、大規模なデジタル経済、高価値産業、紛争に起因する悪意ある活動の急増といった要因と関連しています。

フィッシングでよく使われるトップレベルドメイン

フィッシングサイトは依然として信頼性を装うため馴染みのあるトップレベルドメインに依存しているが、悪用はレガシーTLDと新規TLDの混合形態に集中しつつある。2025年2月から4月にかけて「.com」は報告されたフィッシングドメイン数が14万2千件を超え、その膨大なグローバルな存在感を反映して、依然として悪用件数で最多のTLDであった。 しかし現在、代替TLDや新規TLDがフィッシング活動の過半数を占めており、特に「.top」は7万件超のフィッシングドメインを擁するほか、「.xyz」「.bond」「.vip」も規模に対して著しく高いフィッシング密度を示している。 

これは、攻撃者が一般的なドメインに対するユーザーの信頼と、新規またはニッチなTLDにしばしば伴う低コストかつ弱い監視体制を組み合わせて攻撃している実態を示している。

最も標的とされるブランド

フィッシング攻撃は、信頼性を高め成功率を上げるため、ブランドなりすましにますます依存している。幅広いブランドを標的とするのではなく、最近の活動は、ユーザーのデジタルライフの基盤となる、世界的に信頼されている少数のプラットフォームに集中している。

2025年第2四半期までに、攻撃者は圧倒的に技術、通信、および膨大な日次ユーザーベースを有する消費者プラットフォームに焦点を当てた。これは、標的とするブランドの数を拡大することよりも、電子メール、クラウドサービス、決済、個人データへのアクセスを許可するブランドの高影響力なりすましに重点を置くことを示唆している。

オンラインフィッシングで最もなりすまされたブランド（2025年第2四半期）

攻撃者は引き続き、グローバルな影響力と習慣的なユーザーインタラクションを持つブランドを標的とする傾向にある。2025年第2四半期において、最もなりすましの被害を受けたブランドは以下の通りである：

マイクロソフト – 25%

Google – 11%

Apple – 9%

Spotify – 6%

アドビ – 4%

LinkedIn – 3%

Amazon – 2%

Booking.com – 2%

WhatsApp – 2%

Facebook – 2%

これは、小売ブランドがフィッシング攻撃の主な標的だった過去数年間からの明らかな変化を示している。今日、攻撃者はアカウントベースのプラットフォームに焦点を当て、ログイン情報の窃取、アカウント乗っ取り、そしてさらなる詐欺行為への利用を目的としている。

2025年第2四半期における著名ブランドを標的としたフィッシングキャンペーン

Spotifyを装ったフィッシング詐欺が2019年以来初めてトップランキングに返り咲いた。攻撃者は公式ログインページを複製し、偽の決済フローを経由させることで、認証情報とカード情報の両方を収集している。この手口は、ユーザーが定期的な請求やアカウント通知を期待する際に、エンターテインメントブランドがいかに説得力を持って悪用されるかを示した。

ブッキング・ドットコムを装った詐欺が急増し、研究者らは予約確認ページを模倣する目的で新たに登録された700以上のドメインを特定した。これらの詐欺は、特に正当な確認メールを期待する旅行者に対して、緊急性と信憑性を高めるために個人化された被害者データを使用していた点が特徴的であった。

フィッシング攻撃の発信国

最新の統計によると、中国は世界最大のサイバー攻撃トラフィックの発生源であり、観測された活動の40％以上を占めている。ロシアが約15％で続き、米国は約10％を占める。これは主に、侵害された米国ベースのシステムがしばしば乗っ取られ、攻撃の発信に利用されるためである。

その他の顕著な発信源としては、インド（世界のフィッシングおよびマルウェア活動の約5％を占める）、ブラジル（ラテンアメリカ地域で最大の発信源であり、同地域における攻撃の約30％を占める）、そしてサイバー攻撃活動の急成長中の発信源とされるベトナムが挙げられる。

AIを利用したフィッシング攻撃

ある調査によると、ITリーダーの95％がサイバー攻撃はかつてないほど高度化していると回答し、AIを活用した攻撃は近年51％増加している。この変化により多くのITリーダーが脆弱さを感じており、35％がこれらの攻撃を効果的に阻止できる能力に懸念を抱いている。

この懸念は、最新のトレンドレポートが示す状況と一致している。ディープフェイクによるなりすましは過去1年間で15％増加し、こうした事件は高価値な個人、特に金融や人事部門の担当者を標的とする傾向が強い。これらの部門ではアクセス権や承認権限が、資金の移動、給与変更、機密記録へのアクセスを可能にするためである。 

AIが生成するフィッシングで時間短縮が進む

説得力のあるフィッシングメールを手動で作成するには、平均で約16時間を要する。AIツールを使えば、わずか5分で説得力のあるメッセージを生成でき、サイバー犯罪者は1通あたりほぼ丸2日を節約できる。

この時間的優位性により、大規模なキャンペーンの実施、同一ルアーの異なるバージョンのテスト、メッセージの迅速なパーソナライズ化、そしてメールに加え他のチャネルにも攻撃を拡大することが容易になります。ターゲットごとに多くの労力を費やすことなく実現可能です。

フィッシングとQRコード

QRコードフィッシングとは、攻撃者がQRコード内に悪意のあるリンクを隠蔽し、メール・文書・チラシ・請求書などを通じて配布する手法である。ユーザーがスマートフォンでコードをスキャンすると、フィッシングサイトや認証情報や支払い詳細の入力を促すページへ誘導される。QRコードは可読性のあるURLではなく画像であるため、ユーザーはスキャン前にリンク先を容易に確認できず、多くのメールセキュリティツールも効果的な検査に苦戦している。

QRコードの作成にはほとんど手間や専門知識を必要としません。公開されているQRコード生成ツールを使えば、誰でも数秒でURLをスキャン可能な画像に変換できます。こうしたツールは決済、イベント入場、マーケティングなど正当な目的で広く利用されていますが、攻撃者は同じサービスを悪用してフィッシングリンクを偽装します。一部の生成ツールではQRコード作成後にリンク先を変更できるため、フィッシングページのローテーションや検知回避が容易になります。

最近の業界レポートは、この戦術がどれほど急速に拡大したかを示している。2025年第2四半期には、セキュリティ研究者がフィッシングメールに埋め込まれた悪意のあるQRコードを63万5000件以上記録した。 より広い期間を見ると、2024年第4四半期から2025年第1四半期までの6か月間で、170万個以上の固有の悪意あるQRコードが確認された。これらの数値は、攻撃者がモバイルファーストかつ画像ベースの欺瞞手法へ移行する中で、QRコードがもはやニッチなフィッシング技術ではなく、広く利用される攻撃手段となったことを示している。

DMARC統計

フィッシングやドメイン偽装が進化を続ける中、管理型DMARCソリューション は現代のメールセキュリティにおいて重要な要素となっています。これにより組織は認証結果を監視し、不正な送信元を特定し、正当なメッセージが不必要な混乱なく確実に配信されることを保証できます。

2024年初頭、GoogleとYahooは更新されたメール認証基準を導入しました。この規則では、GmailまたはYahooメールユーザーに1日あたり5,000通を超えるメールを送信する組織は、DMARCの実装が義務付けられています。施行は突然の全面的な移行ではなく、メールボックスプロバイダーは初日から全てをブロックするのではなく、段階的にコンプライアンスを強化してきました。

これらの更新が導入されて以来、プロバイダーからはGmail受信箱に到達する認証されていないメールが65%減少したと報告されています。これは、より強力な認証要件が実際に配信される内容をいかに迅速に変えるかを示す明確な証拠です。

これらのルールは、基本的なSPF、DKIM、DMARCの整合性を超えたものです。大量送信者は、スパム苦情率を0.3%未満に抑え、ワンクリックでの配信停止機能をサポートしなければなりません。これらの基準を満たさない送信者は、技術的に認証が整っていても、メッセージが送信制限される、拒否される、または直接スパムフォルダに振り分けられるリスクがあります。この変化は、単純な身元確認から、より広範な送信者の行動と衛生管理の徹底への移行を示しています。

この勢いにもかかわらず、採用状況は依然として不均一である。配信可能性データによれば、DMARCの利用は拡大を続けているものの、普及率は普遍的とは程遠い。2025年第2四半期の分析では、世界で最も訪問数の多い1,000万ドメインのうち、有効なDMARCレコードを公開しているのは約18％に過ぎず、拒否ポリシーを完全に適用しているのはわずか4％程度である。これにより、大多数のドメインは依然としてなりすましやブランド偽装の脅威に晒された状態が続いている。

主要メールプロバイダーによる規制強化が進む中、これらの要件は大量メール送信業者だけでなく、メールに依存する全ての組織に影響を与えると予想されます。SPF、DKIM、DMARCの導入と実施を遅らせる企業は、認証基準が成熟するにつれ、配信問題の増加、フィッシング被害リスクの上昇、自社ドメインへの信頼低下を招く危険性があります。

国別DMARC導入状況

DMARCの採用状況は地域によって依然として大きく異なり、広範な適用範囲と実質的な施行の両方を示す国はごく少数に留まっている。

分析対象国の中で、スウェーデンは一貫して高いDMARC採用率と強力な施行ポリシーの使用が際立っており、特に同等の国々と比較した場合に顕著である。ノルウェーも主要分野、特に金融と医療において比較的強力な施行を示しているが、その他の分野では依然として課題が残っている。

対照的に、オランダでは認知度は高いものの実施状況にばらつきが見られ、多くのドメインでDMARCが未導入のままであり、複数のセクターで実施が限定的である。

最も進んだ市場でさえ、大規模ななりすましやブランド偽装を完全に防止するために必要な普遍的な適用範囲と執行水準を達成した国は存在せず、協調的な政策、持続的な啓発活動、一貫した執行が、完成した成果ではなく進行中の課題であることを強調している。

最近実施された国別DMARC調査（PowerDMARC）

PowerDMARCによる最近の国別調査は、サイバーリスクプロファイルと既存のメールセキュリティ成熟度が、DMARCの導入と施行結果をどのように形作るかを明らかにしている：

ノルウェー

• サイバーリスクに関する説明： フィッシングやソーシャルエンジニアリング詐欺への曝露リスクが高まる中、公的・私的デジタル通信への圧力が強まっている。特に金融詐欺や個人情報盗難が人口の増加する割合に影響を及ぼしていることが背景にある。
• メールセキュリティの傾向: ノルウェーは規制対象セクターを中心に、比較的高いDMARC成熟度を示している。金融セクターではDMARC導入がほぼ普遍的であり、導入率はわずか 6.8% のドメインのみがDMARCレコードを欠いている。一方、医療分野は施行品質でトップを走り、 55.6% のドメインが厳格な「リジェクト」ポリシーを採用している。これに対し、経済全体では導入状況にばらつきが見られる。運輸部門は大幅に遅れをとっており、 28.8% のドメインが依然としてDMARCなしで運用されており、採用率はわずか 9.1% のみが拒否を強制しており、国の全体的な進歩にもかかわらず悪用可能な隙間が生じている。こうした部門間の不均衡に加え、MTA-STSの導入が最小限でDNSSECの採用も中程度に留まっていることから、認証による利点が輸送とドメイン完全性保護によって一貫して強化されていない状況である。

モロッコ

• サイバーリスクの現状： サイバーリスクの高まりは、大量のマルウェアとバンキングトロイの木馬の活動、メディアや公共機関への繰り返される攻撃、そして民間部門と政府部門の両方にわたる広範な被害によって引き起こされている。
• メールセキュリティの現状: モロッコにおけるDMARCの導入状況は依然として不均一で、ほとんど施行されていない。保険業界では比較的高い導入率を示しており、 DMARCレコードを公開しているドメインの割合が66.67% のドメインがDMARCレコードを公開している。しかし、他のほとんどの業界は大きく遅れている。例えば製薬ドメインでは、採用率がわずか 12.50%という最低限の基盤保護しか反映していない。施行はさらに脆弱で、 11.11% のみが厳格な「拒否」ポリシーを適用しており、銀行、教育、建設、食品飲料、製薬を含む業界全体で、拒否を強制するドメインが全く存在しない。ほとんどのセクターで意味のあるDMARCカバレッジがなく、支援するトランスポートやDNS保護も整備されていない状況下では、メールベースのなりすましは経済全体で構造的に悪用されやすい状態が続いている。

チュニジア

• サイバーリスクの現状： 産業部門や政府部門への攻撃の増加、フィッシングや詐欺による金銭的損失の拡大、重要機関における保護の不均一性により、サイバーリスクが高まっている。
• メールセキュリティのパターン： チュニジアにおけるDMARCの導入状況は業種によってばらつきが大きく、包括的な導入に近づいている業界は存在しない。教育分野が最も高い導入率を示しており 42.62%を示しているが、このトップセクターでさえ、大半のドメインでは依然としてDMARCが導入されていない。政府ドメインは大幅に遅れをとっており、導入率はわずか 18.39% のDMARCレコード公開率に留まり、信頼される公的通信がなりすましの危険に晒されている。金融と通信分野は 32.71% 、 33.33%とそれぞれ中程度の導入率を示しており、認知度はあるものの広範な実施には至っていないことを反映している。DMARCのより広範な導入がなく、トランスポート層やDNSセキュリティによる補強もない場合、これらのギャップにより、公共および商業ドメインの両方で電子メール通信が広く危険に晒された状態が続く。

オランダ

• サイバーリスクに関する説明： 高度化する国家支援型サイバー活動と広範なセクターへの影響により、サイバーリスクは増大している。これは国家安全保障評価やNIS2施行準備にも反映されている。
• メールセキュリティのパターン： オランダにおけるDMARCの導入状況は業種によって大きく異なり、一部の分野では強力な保護が実現されている一方、他の分野では大きな格差が明らかになっている。政府ドメインでは比較的高い導入率を示しており、導入率はわずか1%強である。 1% 未満のドメインのみがDMARC未対応で運用されており、公的通信に対する強固な基盤的保護が示されている。医療・教育分野も平均を上回る実績を示し、約 25% の医療ドメインと 13% の教育ドメインがDMARCを欠いている。対照的に、いくつかの重要産業では導入が依然として弱い。運輸では約 65% のドメインがDMARCなしで運用されており、電気通信業界でも同様に高いギャップが見られます。主要セクターではより強固な基本対策が示されているものの、運輸・電気通信・金融分野におけるDMARC導入の不均一性と、運輸・DNS保護対策の脆弱性が相まって、大規模な保護体制に不均衡が生じています。

スウェーデン

• サイバーリスクの現状： ほぼ普遍的なインターネット接続と、ランサムウェアや恐喝型攻撃の急増により国家リスクが拡大。政府の協調的対応を促す一方、メールベースの脅威は持続的なリスクとして残る。
• メールセキュリティの傾向: スウェーデンでは主要セクター全体で比較的高いDMARC導入率を示しているが、カバー率は依然として不完全である。銀行セクターが最も高い導入率を示しており、約 84% のドメインがDMARCレコードを公開しており、厳格な規制下にある業界における高い基本保護水準を反映している。一方、メディア業界は他業種に遅れをとっており、採用率は約 69%と低く、認証保護策のないドメインが相当数残っている。通信業界も主要業界に遅れを取っており、重要な通信インフラの保護にばらつきが生じている。全体としてDMARC導入率は比較的高いが、トランスポート保護やDNS保護の導入が限定的であるため、メールエコシステム全体での認証の有効性が制約されている。

ペルー

• サイバーリスクの現状： デジタル化の加速に伴い、フィッシング、ランサムウェア、なりすまし攻撃が急増し、国家的なリスクが拡大している。認識は高まっているものの、執行面での課題が依然として存在し、重要分野が危険に晒されている。
• メールセキュリティの傾向： ペルーにおけるDMARCの採用状況は、幅広い認知度がある一方で、業界間でカバー率が不均一であることを反映している。分析対象ドメインの約3分の2がDMARCレコードを公開している一方、約 33% が依然としてDMARCを導入しておらず、電子メールトラフィックのかなりの部分がなりすましから保護されていない状態にある。セクターレベルでの格差は顕著である。医療分野では37％以上が 37％ のドメインがDMARCを欠いており、通信業界ではさらに低い普及率を示し、 43% がDMARCレコードを一切設定せずに運用されている。運輸・物流業界も同様に脆弱な状態が続き、約 36% のドメインがDMARCを欠いており、金融サービスも導入が不完全で、4分の1のドメインが依然として保護されていない。これらの導入格差は、トランスポート層暗号化のほぼ不在と最小限のDNS保護によってさらに強化され、認証基準への認識が高まっているにもかかわらず、電子メールトラフィックの大部分が危険に晒された状態にある。

ベルギー

• サイバーリスクに関する説明： ベルギーがEU機関、金融、メディア、政府通信の拠点としての役割を担っているため、信頼性の高いドメインが頻繁に標的とされる持続的なフィッシングおよびなりすましリスクが継続している。これは、より強力な規制圧力にもかかわらず生じている。
• メールセキュリティの傾向: ベルギーにおけるDMARCの採用は比較的広範だが、業種間でばらつきがある。分析対象ドメインの大半がDMARCレコードを公開している一方、約 20.6% が依然としてDMARCを導入しておらず、ドメインなりすましの攻撃対象となる領域が依然として大きい。重要な分野では業界レベルの格差が顕著である。 26％ の政府ドメインがDMARCを欠いており、公共部門の通信がなりすましの危険に晒されている。運輸部門ではさらにカバー率が低く、約 36% のドメインがDMARC未導入で運用されており、医療分野も約 15% が保護されていない。金融サービスは比較的好調だが、標的になりやすいこの分野でも課題が残る。結果として、高い認知度が必ずしも保護に繋がらず、トランスポート層とDNSの保護策が不十分なため、業界間のDMARC導入格差の影響が増幅されている。

ニュージーランド

• サイバーリスクに関する状況説明： 政府および公共部門のドメインを標的としたフィッシングおよびスプーフィング活動の高まりにより、電子メールの信頼性に対する国家的関心が強まり、公的デジタル通信を保護するための義務的な改革が促されている。
• メールセキュリティの傾向： ニュージーランドにおけるDMARCの導入は、認知度が高まっているにもかかわらず、業界によって依然としてばらつきがある。政府ドメインでは比較的高い普及率を示しており、約 13% が依然としてDMARCを導入していないものの、他の分野では導入率が急激に低下している。運輸部門が最も脆弱で、 52% のドメインがDMARC未導入で運用されており、なりすましや詐欺の攻撃対象となる広大な攻撃面を形成している。医療・メディア分野でも顕著なギャップが確認され、 40% がDMARC未導入。通信分野も約 35% のドメインが認証保護策なしで運用されている。全体として、約 37% のニュージーランドドメインがDMARCレコードを全く保持していない。保護水準の高い公共セクターの少数のドメインを除けば、DMARCの適用範囲の不均一性と、輸送層およびDNSセキュリティの脆弱性が相まって、国家メール通信の耐障害性を依然として制限している。

イタリア

• サイバーリスクに関する説明： 国家レベルのサイバーセキュリティ態勢は堅固であるにもかかわらず、イタリアでは依然として深刻なフィッシングおよびスプーフィング活動が継続しており、電子メールを媒介とした詐欺が政府機関、医療、金融、重要インフラ分野において多大な金銭的損失を引き起こしている。
• メールセキュリティの現状: イタリアにおけるDMARCの導入状況は業種によってばらつきがあり、メールトラフィックのかなりの部分が保護されていない状態が続いている。約 分析対象ドメインの約26% の分析対象ドメインにDMARCレコードが存在せず、組織が直接的なドメインなりすましのリスクに晒されている。この格差は特に公共部門とサービス産業で顕著である。政府ドメインの約3分の1がDMARCを欠き、医療・運輸分野も同様に脆弱で、保護されていないドメインが4分の1から3分の1に上る。通信分野も部分的に無防備な状態が続き、約 30% のドメインがDMARCを欠いている。金融サービスは比較的好調だが、この高リスク分野でもギャップは残る。組織の準備態勢と運用メール保護のこの乖離は、脆弱なトランスポートおよびDNSセキュリティによって助長され、重要産業全体でセクターレベルのDMARCギャップが持続する要因となっている。

ドイツ

• サイバーリスクに関する説明： ドイツは、銀行、医療、運輸など、信頼性と確実性が国家の安定に不可欠な重要インフラ分野を標的としたメールベースの詐欺やスパイ活動による高まるサイバーリスクに直面している。
• メールセキュリティの傾向: ドイツにおけるDMARCの採用は、強固なメール認証基盤があるにもかかわらず依然として不均一である。大多数のドメインがDMARCレコードを公開している一方で、約 32.3% が依然としてDMARCを導入しておらず、組織の約3分の1がドメインなりすましのリスクに晒されている。重要分野における業界レベルの格差は顕著である。 42% の政府ドメインがDMARCを欠いており、公式通信への信頼性を損なっている。医療分野は特に脆弱で、 53% のドメインがDMARC未導入で運用されている。運輸・物流分野でも約 34% が保護されていない。教育分野も依然として部分的に脆弱で、約 32% のドメインがDMARC未導入である。金融サービスは比較的好調だが、この高リスク分野でも課題は残る。重要分野全体でのDMARC導入が不十分で、輸送・DNS制御による補強も限定的であるため、ドイツの電子メール通信の大部分は構造的に脆弱な状態が続いている。

データ全体に一貫して見られるパターンがある： 国々が単純な監視を超えて実際にDMARCポリシーを施行すると、セキュリティ上の利益は現実的で測定可能である。厳格なDMARC施行を実施しているドメインでは、成功したなりすまし試行が減少し、送信者レピュテーションが強化され、正当なメールの受信箱到達率が向上します。これは施行が単なる導入ではなく、真の差異を生む明確な証拠です。対照的に、DMARCが「監視のみ」モードのままの地域では、SPFやDKIMを導入しているにもかかわらず、ブランド悪用の高水準が継続しています。

結論は明らかだ。 導入だけでは不十分だ。真の進展を見せている国々は、既存のメール認証と DMARCの積極的な施行を組み合わせているを組み合わせた国々であり、メールベースの攻撃に依然として脆弱な他国にとって実践的な模範を示している。

業種別DMARC適用範囲

DMARCの導入は複数の業界で進展しているものの、適用範囲と実施状況は依然として不均一であり、銀行業のような高リスク分野においても同様である。

銀行業は他業種と比較して依然として最も堅調な分野の一つではあるものの、現在の保護レベルは、大規模な機密性の高い金融取引を確実に保護するために必要な水準にはまだ達していない。

他の産業は依然として遅れを取っている：

• 保険および法務サービス企業の約52％のみがDMARCを導入しており、請求書詐欺、なりすまし、認証情報の収集といった攻撃に対して広範な攻撃対象領域が残されている。
• 航空、半導体、コンピュータソフトウェア、および広範な金融サービス分野は、45%の採用率をわずかに上回る水準に集中しており、多くの領域ではDMARCが導入されていないか、非強制ポリシーが使用されている。

全体として、導入そのものはもはや核心的な課題ではない。真の課題は、導入から運用への移行、特に電子メールの信頼性が直接的に財務的・業務的リスク、あるいは公共安全リスクにつながる業界において、そのギャップを埋めることにある。

DMARCポリシーの動向

DMARCの実装に関しては、ほとんどのドメインで厳格な実装が行われておらず、セキュリティ上の利点が十分に発揮されていない。過半数（68.2％）が "なし"DMARCポリシーこれは、DMARCチェックに失敗したメールが制限なく配信されることを許可するものです。12.1%だけが"隔離「を使用しているのはわずか12.1%に過ぎない。拒否"ポリシーで非準拠のメールをブロックしている。

より厳格な政策を採用することは p=quarantine や p=reject といった厳格なポリシーの採用は実施に不可欠ですが、多くの企業は移行に躊躇しています：

• p=noneを使用している送信者の25.5の送信者が、今後1年以内に、より強力なDMARCポリシーへのアップグレードを計画している。
• 61%は、法規制や事業上の必要性がある場合にのみポリシーを更新する。を更新する。
• 13%はすでに現在のDMARC要件を満たしているため、ポリシーを強化する予定はない。

 

AIとフィッシング攻撃

2024年の調査によると、ITリーダーの95％が、サイバー攻撃はかつてないほど巧妙になっていると報告している。この調査では、AIを利用した攻撃が近年51％増加していることを強調している。この変化により、多くのITリーダーが脆弱性を感じており、35％がこのような攻撃に効果的に対抗する能力について懸念を表明している。

AIが生成するフィッシングで時間短縮が進む

手作業で作られたフィッシングメールの作成には平均16時間かかる。しかし、AIを利用すれば、わずか5分程度で欺瞞的なフィッシングメールを作成することができるため、サイバー犯罪者は1通あたり2日近くも時間を節約することができる。この効率の飛躍は、最小限の時間投資で大規模な攻撃を可能にする。

サイバー犯罪の認識と予防

ユーザーがフィッシングメールに引っかかるまでの時間の中央値は驚くほど早く、60秒未満であることが多い。

調査によると、ヒューマンエラーは重大な脆弱性であり、全侵害の74%に関与している。セキュリティ・トレーニングを受けているにもかかわらず、人々は染み付いた習慣や巧妙なソーシャル・エンジニアリングの手口により、フィッシング・リンクをクリックしてしまう可能性が高い。

従業員の4人に1人しか、各チャネルにおけるフィッシングの脅威への対策は万全だと感じていない。この問題をさらに深刻にしているのは、従業員から正確に報告されたフィッシングメールはわずか29%に過ぎず、意識と検知スキルの両方にギャップがあることだ。

フィッシング攻撃を防ぐ

サイバーセキュリティを完全に保護することは不可能ですが、迅速な検知と対応により、組織とその顧客への侵害の影響を劇的に軽減することができます。幸運なことに、DMARCはこの問題に対する本質的な解決策を提供します。 

最近のDMARC統計は、DMARCがメールセキュリティに与える影響を浮き彫りにしています。新しい送信者要件を導入して以来、Gmailでは未認証メッセージの配信が65%減少しました。この大幅な減少は、DMARCが詐欺メールを削減する上で効果的であることを示しています。 

しかし、それだけではありません！大量送信者の50％増がセキュリティのベストプラクティスを遵守し始めており、DMARCおよび関連プロトコルの業界全体での採用拡大を示しています。 最も顕著なのは、DMARCが世界のメールエコシステムにもたらした変化の規模です。2024年には認証されていないメッセージの送信量が2,650億通減少しました。この低水準は持続しており、さらに減少傾向が続いています。これはDMARCの施行が、認証されていないメールトラフィックの構造的な削減を持続的に実現していることを示唆しています。

メールセキュリティを強化する

DMARCは電子メール認証において重要な役割を果たしていますが、MTA-STS (メール転送エージェント厳密転送セキュリティ)やBIMI(メッセージ識別のためのブランド・インジケータ).

MTA-STSは、電子メール送信に厳格なセキュリティポリシーを適用し、電子メールが安全な暗号化チャネルで送信されるようにします。これにより、Eメールが転送中に傍受されたり、改ざんされたりするリスクを排除し、保護レイヤーをもう1つ増やします。

一方、BIMIは認証済みメールの受信トレイにブランドロゴを表示することで、メールのセキュリティと可視性の両方を向上させます。これにより受信者はメッセージが正当であることを視覚的に明確に認識でき、信頼できる通信を容易に識別し、顧客の信頼を築くことが可能になります。

マニュアル導入の課題

DMARC、MTA-STS、およびBIMIは明確な利点を提供するが、これらのプロトコルの手動実装は複雑でエラーが発生しやすい。 

これらのプロトコルを設定するには、特にDNSレコードの設定やフィードバック・レポートの分析など、深い技術的知識が必要です。専門家による監視がなければ、企業は電子メールシステムを潜在的な脅威にさらす危険性があります。

複雑性を考慮すると、手動での実装はほとんどの企業にとってもはや現実的ではありません。ここで、PowerDMARCのような自動化された管理型メール認証サービスが活躍する場面となります。 

PowerDMARC は、DMARC、MTA-STS、および BIMI を設定および維持するための合理化されたソリューションを提供し、技術的な負担なしにこれらのプロトコルを完全に活用できるようにします。PowerDMARC は、導入を簡素化するだけでなく、継続的な監視、リアルタイムの洞察、専門家によるサポートを提供し、電子メールセキュリティが堅牢かつ最新の状態に保たれることを保証します。

PowerDMARCの特徴は？

数多くの受賞歴、熱烈な推薦の声、そして実績があります、 PowerDMARCは、電子メールセキュリティの強化を求める世界中の10,000以上の顧客から信頼されています。のお客様に信頼されています。

G2は、2024年秋におけるDMARCソフトウェアのリーダーとしてPowerDMARCを認定し、当社が最高水準のメール認証ソリューションを提供することに注力している点を高く評価しました。

お問い合わせに切り替えてください。 PowerDMARC今すぐご連絡ください。ビジネスを保護し、信頼を築き、コミュニケーションの安全性を確保しましょう。

お客様の声

"集約された DMARCレポート他のすべての機能が含まれているため！"
ドリュー・サウム（ADIサイバーサービスCEO）

"最も包括的で優れたサポート"
ベン・フィールディング、フラクショナルCTO

"PowerDMARCは私たちのITチームを大きく変えました！"
HispaColex Tech Consulting IT マネージャー Sebastián Valero Márquez 氏

"PowerDMARCを全クライアントに導入して以来、DNSサービスを管理していなくても、オンボーディング、モニタリング、変更のプロセスが非常に簡単になりました。."
Reformed IT 共同設立者兼 CEO Joe Burns 氏

レビューを読む

最終的な感想

フィッシングは深刻でコストのかかる脅威であり、攻撃は特にAIによってより巧妙になっている。残念なことに、多くの組織はまだ十分な備えができておらず、高度な電子メールフィルター、定期的な従業員トレーニング、安全なログインプロトコルといった本質的な防御が遅れているため、こうした攻撃に対して脆弱なままになっている。

DMARC（ドメインベースのメッセージ認証、報告、適合性）の導入は、企業が取ることのできる強力なステップの1つです。DMARCを導入することで、受信メールが本当に送信者から送られてきたものかを確認することができ、受信トレイに届く前に多くのフィッシング詐欺をブロックすることができます。 

しかし、ますます巧妙化する手口に対して真に先手を打つためには、企業はDMARCに警戒監視、継続的な脅威教育、さまざまなセキュリティツールを組み合わせた多層的なアプローチを採用する必要があります。たった一通のフィッシングメールが隙を突けば深刻な事態を招く可能性があるため、企業は常に警戒を怠らず、継続的に防御を強化することが重要です。

よくあるご質問

DMARCレポートの閲覧方法

DMARCレポートは、DMARCレコードで指定されたメールアドレス宛に送信され、通常は毎日XMLファイルとして届きます。

DMARCが機能しているかどうかを確認する方法

DMARCは、レポートがメールがSPFまたはDKIMの整合性を満たしていることを示し、かつ未認証のメッセージがポリシーに従って隔離または拒否されている場合に機能しています。

DMARCレポートを読み取るにはどのツールが使用されますか？

DMARCレポートはDMARCレポート解析ツールを使用して読み取られ、生のXMLファイルを明確で人間が読めるダッシュボードや要約に変換します。

DKIMとDMARCの違いは何ですか？

DKIMはメールが送信中に改ざんされていないことを検証します。一方、DMARCはDKIM（およびSPF）を基盤とし、認証が失敗した際の受信サーバーの対応方法と、ドメイン所有者へのレポート送信を規定します。

情報源

IBM

エクスペリアン

サイバー犯罪マガジン

IC3

APWG 第1四半期報告書

APWGトレンドレポート

APWG 第2四半期報告書

サイバー犯罪情報センター