「フランスにおけるDMARCおよびMTA-STS導入状況レポート 2026」

フランスの組織は、刻々と変化するサイバー脅威の情勢に直面している。社内のITチームは基本的な設定には長けているものの、厳格なセキュリティポリシーの徹底に消極的な傾向があるため、通信経路は極めて脆弱な状態にある。

この脆弱性は、フランスの国営メールプロバイダーであるLa Poste(laposte.net)による大規模なポリシー更新を受けて、注目を集めています。同プラットフォームでは現在、すべての受信送信元に対して、SPF、DKIM、DMARCの整合性を厳格に要求しています。フランスの企業にとって、これはメールセキュリティを軽視することはもはや許されないことを意味します。適切な認証なしに送信されたメッセージは、自動的にスパムフォルダに振り分けられるか、完全にブロックされてしまいます。

コンプライアンスガイドラインの詳細については、こちらのガイドをご覧ください。 ラ・ポストの電子メール認証要件でご確認いただけます。

概要:フランス全土における主な調査結果

フランスのデジタルエコシステムについて収集・整理された包括的なベースラインデータに基づき、国内の電子メールセキュリティ状況からは、以下の傾向が明らかになっています。

フランス-SPF

SPF: 正答率95.6%。全国的にほぼ完全な技術的整合性が保たれており、設定ミスのあるドメインはごく一部にとどまっている(4.4%が誤設定)。

DMARC: ドメインの87.0%が何らかの形のDMARCレコードを設定している一方で、 28.3%のみが、厳格な「reject」ポリシーを積極的に適用している。残りのドメインは、監視のみの p=なし35.3%が「監視のみ」の状態にあり、残りの環境は依然として危険なほど無防備な状態にある)、軽度の保護措置 p=隔離 (22.2%)、設定ミス (1.2% 誤設定)、あるいはDMARCによる保護が完全に欠如している(13.0% レコードなし)などが挙げられます。

MTA-STS: 全国規模の巨大な死角であり、 97.4%が未導入という、全国的な巨大な「死角」が存在しており、これにより、トランスポート層の電子メールトラフィックは、全米で傍受に対して極めて脆弱な状態にある。

DNSSEC: わずか 17.9%のみが有効化されておりにとどまり、驚くべきことに 82.1%のドメインが ドメインハイジャック、悪意のあるトラフィックのリダイレクト、キャッシュポイズニングの脅威にさらされています。

セクター別分析

1. 銀行業:輸送面の課題を抱えつつ、規制執行を主導

高額な 金融詐欺のの主な標的となっているフランスの銀行機関は、国内で最も厳格なDMARC導入を進めているが、トランスポート層における重大な脆弱性は依然として残っている。

メートル ステータス 
SPF 正解率 100.0%(不正解率 0.0%)
DMARC 拒否 63.3%(全国トップ)
DMARCポリシー 「隔離」が20.2%、「なし」が8.9%
DMARCのギャップ 7.6%は前科がない
MTA-STS 0.0% が有効(100.0% が記録なし)
DNSSEC 12.7%が有効(87.3%が無効)
銀行業界におけるDMARCの導入――フランス

脆弱性の公開

銀行業界では、アクティブな拒否率が63.3%という驚異的な数値を示している一方で、同業界の10分の1近くが「監視のみ」のパラメータに依存している(p=なし が8.9%)に依存しているか、あるいはDMARCレコードを全く設定していない(7.6%)状態にある。さらに、金融機関の100.0%がMTA-STSを導入していないため、攻撃者はトランスポート層のダウングレード攻撃を利用して、取引明細や財務報告書を傍受することが可能となっている。

PowerDMARCの戦略

当団体は ホスト型MTA-STS自動化ソリューション は、すべての電子メール通信を暗号化されたTLS 1.2以上のパイプラインに強制的に誘導することで、傍受攻撃のリスクを排除し、機密性の高い銀行取引の通信を保護します。

2. 医療:高い感染リスクと記録の欠落

厳しい規制監督に直面するフランスの医療業界は、ディレクトリの整合性において国内をリードしているものの、主要なコミュニケーションチャネルがなりすまし攻撃に対して脆弱な状態にある。

メートル ステータス 
SPF 正解率97.1%(誤答率2.9%)
DMARC 拒否 17.7%
DMARCポリシー 「検疫」が25.5%、「なし」が40.2%
DMARCのギャップ 12.7%はDMARCがまったく設定されておらず、3.9%は設定が不適切である
MTA-STS 3.9%が有効(96.1%は記録なし)
DNSSEC 32.4%が導入済み(業界トップ)
医療分野におけるSPFの導入――フランス

脆弱性の公開

医療分野は、DNSSECの導入率(32.4%)において国内でトップとなっています。しかし、この分野は依然としてドメインスプーフィングに対して極めて脆弱であり、ドメインの40.2%が p=none の状態にあり、12.7%は完全に無防備な状態にある。攻撃者はこの脆弱性を悪用して、病院の管理部門を装ったメールを送信したり、ランサムウェアを配信したりすることが可能である。

PowerDMARCの戦略

当社は、医療従事者が単純なモニタリングから、能動的かつ徹底した p=reject ポリシーへの移行を支援し、正当な患者ケアに関する通信を遮断することはありません。

3. 政府:強固な基盤だが、監視体制は緩い

政府の公式ドメインは、基盤となる設定が極めて適切に行われているものの、厳格な施行方針が欠如しているため、なりすましの余地が残されている。

メートル ステータス 
SPF 正解率97.2%(誤答率2.8%)
DMARC 拒否 26.8%
DMARCポリシー 「検疫」が22.5%、「なし」が32.4%、「誤り」が0.7%
DMARCのギャップ 17.6%はDMARCをまったく導入していない
MTA-STS 0.7%が導入済み(99.3%は記録なし)
DNSSEC 16.9%が有効(83.1%が無効)

脆弱性の公開

フランスの 公共セクターのドメインの のほぼ5分の1(17.6%)にはDMARCレコードが存在せず、さらに32.4%が監視モードのままである。こうした対策の不備により、サイバー犯罪者は公的機関の身元を偽装し、脱税、認証情報の収集、あるいは公的機関を装ったフィッシング攻撃を容易に行えるようになっている。

PowerDMARCの戦略

当社のマルチテナントアーキテクチャにより、中央政府のIT部門は、単一のダッシュボードから、広範囲に及ぶサブドメイン全体にわたってDMARCの管理、監視、および適用を行うことができます。

4. 教育:監視は徹底しているが、実際の防衛体制は不十分

学術ネットワークは、膨大な量の学生データや研究関連の知的財産を管理しているが、脅威を阻止するよりも、脅威を監視することに重点を置いている。

メートル ステータス 
SPF 正解率92.1%(誤答率7.9%)
DMARC 拒否 11.1%
DMARCポリシー 「検疫」が21.2%、「なし」が52.4%、「誤り」が1.6%
DMARCのギャップ 13.7%はDMARCをまったく導入していない
MTA-STS 導入率1.1%(98.9%に記録なし)
DNSSEC 9.5% が有効(90.5% が無効)

脆弱性の公開

フランスの教育分野は、国内で最も受動的モニタリングへの依存度が高い(p=なし 52.4%)への依存度が最も高い。これは、学術界の半数以上が直接的なドメインなりすましに対して無防備であることを意味し、悪意のある攻撃者が偽造された大学ドメインを利用してフィッシング攻撃や金融詐欺を実行することを可能にしている。

PowerDMARCの戦略

学術ネットワークでは、しばしば 10回のDNSルックアップ制限を を超えてしまうことがよくあります。 PowerSPFは はレコードを動的に圧縮し、SPF認証エラーを発生させることなく、大学からのすべての正規な通信が確実に配信されるようにします。

5. エネルギー:重要インフラの脆弱性が露呈

フランスの重要エネルギーインフラは、クリーンなベースライン構成を備えているものの、トランスポート層での傍受やドメインの悪用に対して依然として脆弱である。

メートル ステータス 
SPF 正答率97.0%(誤答率3.0%)
DMARC 拒否 34.2%
DMARCポリシー 「検疫」が25.0%、「なし」が27.4%、「誤り」が1.2%
DMARCのギャップ 12.2%はDMARCをまったく導入していない
MTA-STS 3.7%が有効(96.3%は記録なし)
DNSSEC 27.4%が有効(72.6%が無効)
エネルギー・SPF・導入状況――フランス

脆弱性の公開

エネルギー部門では、34.2%という立派な削減率を達成しているが p=reject を達成している一方で、ドメインの4分の1以上(27.4%)は依然として p=なしの状態にある。この脆弱性に加え、96.3%がMTA-STSを導入していないことから、エネルギー供給事業者や送電網運営事業者は、スピアフィッシング攻撃やビジネスメール詐欺(BEC)の標的となりやすい状況にある。

PowerDMARCの戦略

DMARCの適用とホスト型MTA-STSプロトコルを統合し、送信者アドレスの検証を行うと同時に、受信メッセージがエンドツーエンドで暗号化された状態を維持します。

6. メディア:パッシブ構成下での高い可視性

報道機関やメディアネットワークは、一般市民から高い信頼を得ているにもかかわらず、その認証インフラには依然として脆弱性が残っている。

メートル ステータス 
SPF 正解率96.9%(誤答率3.1%)
DMARC 拒否 26.5%
DMARCポリシー 「隔離」が20.4%、「なし」が38.3%
DMARCのギャップ 14.8%はDMARCをまったく導入していない
MTA-STS 5.6%が有効(業界トップ)
DNSSEC 14.2%が有効(85.8%が無効)
メディアにおけるDMARCの導入状況――フランス

脆弱性の公開

メディア関連ドメインの38.3%がパッシブモニタリングを採用しており、さらに14.8%がDMARCによる保護を一切受けていないため、攻撃者は公式ニュースサイトのドメイン名を容易に偽造することができます。これにより、偽情報の拡散、スピアフィッシング攻撃の仕掛け、あるいは編集担当者の認証情報の乗っ取りが容易になってしまいます。

PowerDMARCの戦略

当社は、メディア各社が 「メッセージ識別用ブランドインジケーター(BIMI)」の導入を支援し、認証済みの企業ロゴをユーザーの受信トレイに直接表示することで、送信者の真正性を明確かつ視覚的に証明します。

7. 電気通信:「なし」設定によるセキュリティ上の脆弱性

フランスの通信事業者は、極めて複雑なネットワークの運用を維持しているものの、プロトコルの設定ミスや、ポリシーの積極的な適用が行われていないことに苦慮している。

メートル ステータス 
SPF 正解率88.9%(不正解率11.1% – 業界最低)
DMARC 拒否 22.2%
DMARCポリシー 「隔離」が28.9%、「なし」が40.0%、「誤り」が2.2%
DMARCのギャップ 6.7%はDMARCをまったく導入していない
MTA-STS 導入率2.2%(97.8%に記録なし)
DNSSEC 8.9%が有効(業界最低水準)
BIMIロゴ

脆弱性の公開

通信事業者は、国内で最も高いSPF設定ミスの割合(11.1%)を示しており、同時に40.0%がパッシブモニタリングに依存している(p=なし)。攻撃者は、こうした設定ミスのある通信経路を容易に悪用し、大手通信事業者を装ったフィッシングやSMS詐欺キャンペーンを実行することができる。

PowerDMARCの戦略

厳格な p=reject ポリシーへの移行を大規模な通信事業者ネットワーク全体で効率化し、脅威アクターが通信事業者のブランドを悪用して加入者を標的にすることを阻止します。

8. 通信:積極的な取り締まりが行われているが、暗号化率は低い

物流事業者は、迅速かつ自動化された通信に依存しているため、アクティブなブロッキング率は良好であるものの、安全な配信チャネルが不足している。

メートル ステータス 
SPF 正解率94.5%(誤答率5.5%)
DMARC 拒否 37.9%
DMARCポリシー 「検疫」が18.6%、「なし」が31.1%、「誤り」が0.7%
DMARCのギャップ 11.7%はDMARCをまったく導入していない
MTA-STS 2.8%が有効(97.2%は記録なし)
DNSSEC 18.6%が有効(81.4%が無効)

脆弱性の公開

一方、輸送ドメインは37.9%という堅調な数値を示している p=reject 率を示している一方で、依然として31.1%という顕著な割合が監視のみのモードにとどまっている。MTA-STSが97.2%で欠如していることとも相まって、悪意のある攻撃者は物流ネットワークを標的とし、積荷目録を傍受したり、配送ルートを変更したり、支払指示を改ざんしたりすることが可能である。

PowerDMARCの戦略

当社はB2B物流チャネルを保護し、受入出荷注文や自動請求記録が顧客の受信箱に届く前に検証を行っています。

内部構造:四つの構造的弱点

1. 受動的モニタリングの誤謬:p=noneへの過度な依存

フランスのデジタル環境全体に見られる主要な脆弱性は、受動的なDMARC設定への過度な依存であり、 全国でp=noneのままです。このポリシーは診断データの収集やメールストリームの追跡は行いますが、ドメインのなりすましに対する能動的な保護機能は一切提供していません。

専門家の見識

DMARCレコードを を適用ポリシーなしで公開するのは、防犯カメラを設置しておきながら玄関の鍵をかけ忘れるようなものです。監視ポリシーは脅威を把握するのに役立ちますが、厳格な「拒否」ポリシーに移行して初めて、サイバー犯罪者が貴社のブランドを悪用するのを実際に阻止できるのです。」

マイサム・アル・ラワティ、PowerDMARC CEO

専門家の見識

「現代のSaaSエコシステムでは、気づかないうちにSPFルックアップの上限に達してしまうことが非常に起こりやすい。自動化された SPFフラットニング を活用することは、レコードをプログラム的に圧縮し、設定ミスを排除し、配信率を維持するために不可欠です。」

ユネス・タラダ、PowerDMARCサービス・デリバリー・マネージャー

2. SPF 照会のボトルネックと配信失敗

フランスの企業がデジタルツールを拡充し、サードパーティ製のSaaS、CRM、決済ゲートウェイを統合するにつれ、SPFレコードはすぐに「10件のDNSルックアップ」という基準値を超えてしまいます。この閾値を超えるとプロトコルが無効となり、正当な送信メールが認証に失敗して、そのままスパムフォルダに振り分けられてしまいます。

3. MTA-STS:暗号化されていない転送区間

97.4% のフランス国内ドメインが MTA-STS プロトコルが実装されていないため、受信メールトラフィックの圧倒的多数が機会的暗号化に依存しています。この脆弱性により、攻撃者は中間者攻撃(MiTM)によるダウングレード攻撃を実行し、暗号化層を剥ぎ取って企業の通信内容を平文で読み取ることが可能になります。

専門家の見識

「機会主義的な暗号化に依存していると、転送経路が脆弱な状態になってしまいます。MTA-STSの強制適用が行われない場合、ネットワーク攻撃者は容易に電子メールのルーティングを暗号化されていないチャネルへと強制的に変更することができます。安全な転送チャネルを義務付けることは、データの機密性を確保するために不可欠な措置です。」

PowerDMARC、オペレーション&デリバリー・シフト・リーダー、アヤン・ブイヤ

専門家の見識

「もし攻撃者がDNSを乗っ取れば、防御体制全体が崩壊してしまいます。DNSSECは、トラフィックが悪意のある偽サーバーではなく、正当なサーバーに確実に到達していることを証明するために必要な暗号的な保証を提供します。」

アホナ・ルドラ、マーケティングマネージャー、PowerDMARC

4. DNSSEC:中核インフラが脆弱なまま放置されている

わずか 17.9% のドメインのみがDNSSECを有効化しており、残りの 82.1% のデジタル環境が DNSキャッシュポイズニング や悪意のあるリダイレクトの脅威にさらされています。ドメインネームサーバーレベルでの暗号による検証が行われない場合、攻撃者は、ルーティングの基盤となる段階でWebトラフィックを乗っ取ったり、メールサーバーを偽装したりすることが可能になります。

グローバル・ベンチマーキング:フランスを背景として

フランスは、基本的な記録設定(SPFなど)に関しては高い技術的規律を示しているが、アクティブな転送の保護と執行に関しては、移行段階にある。

世界ランキング:2026年の比較データ

国数 SPF値 DMARC 拒否 MTA-STS DNSSEC
フランス 95.6% 28.3% 2.6% 17.9%
スペイン 97.0% 18.0% 0.8% 10.4%
イタリア 91.0% 16.7% 1.0% 3.5%
ポーランド 98.9% 21.2% 0.9% 15.7%
オランダ 70.0% 23.2% 0.9% 37.7%
ブラジル 92.1% 20.7% 0.7% 21.9%
エクアドル 96.1% 24.9% 1.4% 4.8%
アメリカ 95.7% 49.0% 1.7% 18.0%
英国 93.7% 44.1% 20.6% 3.8%

世界の注目を浴びるフランス:2026年分析

1
南・中央ヨーロッパにおける法執行の分野でトップを走る

フランスの積極的防衛姿勢(28.3%が「反対」)は、ポーランド(21.2%)、スペイン(18.0%)、イタリア(16.7%)といった近隣諸国を上回っている。しかし、米国(49.0%)や英国(44.1%)といった、厳格な政策が企業の標準的な慣行となっている地域と比べると、依然として大きな隔たりがある。)といった法執行が徹底されている地域とは依然として大きな隔たりがあり、これらの地域では厳格なポリシーが企業の標準的な慣行となっている。

2
MTA-STSにおける有望な好スタート

とはいえ 2.6% MTA-STSの導入率は世界的に見れば低いものの、ポーランド(0.9%)、スペイン(0.8%)、イタリア(1.0%)といった欧州近隣諸国を余裕で上回っている。フランスは初期段階での進展を見せているものの、英国の目覚ましい 20.6% という圧倒的な数値には依然として大きく及ばない。

3
DNSSECの耐障害性

フランスのDNSSEC導入率(17.9%)は米国(18.0%)と同水準であり、ポーランド(15.7%)、スペイン(10.4%)、イタリア(3.5%)といった近隣諸国を上回っている。しかし、オランダ(37.7%)のような高いセキュリティ基準に到達するには、まだ改善の余地がある。

PowerDMARCの見解

「フランスは、特に全国規模でのSPF精度の高さを通じて、極めて称賛に値する技術的基盤を構築するという重責を果たしてきました。しかし、監視のみの段階にとどまっていることは、能動的な境界防御において大きな穴を残しています。フランスの組織は、初期設定段階において卓越した能力を発揮していることが証明されています。次の論理的なマイルストーンは、受動的な観察から、絶対的かつ自動化された p=reject enforcement」へと移行することだ。」

結論:指標から行動へ

2026年のデータによると、フランスは強固な技術的基盤を築いているものの、全体的な防御体制は依然として不十分であることが示されています。デジタル環境の安全を確保し、ラ・ポステなどのプロバイダーが定めた要件に準拠するためには、組織は以下の3つの主要な措置を優先的に実施する必要があります:

受動的な監視から一歩踏み出す

なりすましメールが依然として配信されてしまう場合、基本的なSPFおよびDMARCの設定だけでは不十分です。Hosted DMARCを利用して、監視モード(p=none)から厳格な適用レベル(p=reject)に移行することで、不正なメールが受信トレイに届く前に確実にブロックされます。

転送中のデータの保護

国内のドメインの97.4%がトランスポート層での傍受のリスクにさらされているため、すべての電子メール通信が暗号化され、改ざんから保護されるよう確保するためには、ホステッドMTA-STSの導入が不可欠です。

配信の確実性を確保する

設定ミスを防ぎ、正当な社内メールの配信を妨げる可能性のある問題を最小限に抑えます。Hosted SPF を利用することで、メール認証の正確性を維持し、クラウドサービスの拡張に合わせて確実な配信を実現します。

方法論、調査およびデータ出典

DNSレコードの分析

当社のエンジニアリングチームは、対象となるフランスのドメインディレクトリ全体に対して、自動化されたDNSクエリ処理を実行しました。これらのクエリにより、既存のSPF、DMARC、MTA-STS、およびDNSSECの設定情報を取得・分析し、RFCで定義された仕様に照らして検証を行うことで、技術的な整合性とポリシーの強固さを評価しました。

セクターサンプリング

対象ドメインのデータベースは、フランスの公式企業登録簿、公開情報、および業界別ディレクトリを用いて構築された。調査対象の組織は、以下の8つの主要な国内産業に分類された:

  • 銀行(金融)
  • ヘルスケア
  • 政府
  • 教育
  • エネルギー
  • メディア
  • 電気通信事業
  • 輸送(物流)

グローバル・ベンチマーキング

PowerDMARCのグローバルサイバーセキュリティデータセットに基づき、同一のDNS分析手法を用いて国際比較指標が作成されました。これにより、フランスの指標を、スペイン、イタリア、ポーランド、オランダ、ブラジル、エクアドル、米国、英国の標準化された国別指標と直接比較することが可能になります。

リスク分類

各セクターごとの脆弱性レベルは、フランスの各分野における4つの主要なセキュリティ指標を総合的に評価した結果に基づいています:

  • 厳格な「p=reject」ポリシーの導入率。
  • DMARCによる防御が完全に欠如しているドメインの割合。
  • SPFの検証および設定エラーの発生頻度。
  • MTA-STS 転送の暗号化が行われていないことに起因するセキュリティリスクの程度。

フランスのドメイン可視性を能動的防御へと転換する

フランスにおける卓越した基盤構築実績は、フランスのITチームが世界トップクラスの技術力を有していることを示しています。このパズルの欠けているピースはスキルではなく、積極的な実施へと移行するための適切な自動化ツールと組織的な指針の有無なのです。

自社のドメインを、攻撃を記録するだけで阻止する力を持たない単なる「傍観者」として機能させてはいけません。ブランドの評判を守り、ラ・ポステ(La Poste)による最近の郵便配送に関する指示に伴う配送の混乱から組織を隔離し、次の大規模な国境を越えたフィッシング攻撃の波が貴社の業界を標的にする前に、重要なデジタル資産を保護してください。

PowerDMARCのチームにご連絡いただければ、ドメインのセキュリティを基本的な監視から完全な境界防御へとシームレスに強化することができます。