2021年、ペルー検察庁は次のように報告した。 報告報告した。その中でもフィッシングとランサムウェアが最も一般的な攻撃手口であった。このことは当局も気づいていないわけではない。2024年9月、国際通貨基金(IMF)はペルーの金融当局に対し、国家サイバーセキュリティ戦略の策定に関する助言を開始した。 国家サイバーセキュリティ戦略これは、国家レベルでのこの問題の緊急性を示すものである。
このレポートは メールとドメインのの技術的な分析を行っている。 本レポートは、ペルーの主要セクターにおける電子メールとドメインのセキュリティ状況を技術的に分析したものである。を検証しています。
「は必須項目
ペルーのトップセクターのドメインを分析するとを分析すると、厄介なパラドックスが浮かび上がってくる。基本的な メール・セキュリティ基本的な電子メール・セキュリティ・プロトコルの認知度は比較的高いものの ブロック脅威を積極的にブロックする対策の実施は驚くほど低い。
86.1%のドメインがSPFレコードを正しく実装している。しかし、これは7社に1社近くがまだ設定ミスやレコードの欠落に悩まされていることを意味し、正当なメールが拒否されたり、攻撃者に悪用される認証の抜け穴を作ったりする危険性がある。
一方 66.0%のドメインが DMARCレコードこの数字は重大な弱点を隠している。 33.0%のドメインが DMARCレコードがまったくないのドメインがDMARCレコードを全く持っておらず、直接のドメイン・スプーフィングに対して無防備である。
これはペルーの最も大きな脆弱性である。わずか 17.9%のドメインが p=拒否ポリシーを採用しているドメインは17.9%しかない。つまり 82%の組織が DMARCを導入している組織の82%以上が監視専用モード (p=none)で使用している。 を使用している。を使用している。
採用率はわずか 0.6%であり、電子メール・トランスポート層はほとんど安全ではない。このため、分析対象ドメインのほぼすべての電子メールトラフィックが、以下の脅威にさらされている。 中間者(MITM)攻撃やダウングレード攻撃にさらされることになります。
でしかない。 4.6%であり、ペルーのドメインの大半はDNSキャッシュポイズニングやハイジャックに脆弱である。これにより、攻撃者はユーザーを悪意のあるサイトにリダイレクトすることができる。
医療セクターがセキュリティ標準を採用していないことは、患者のプライバシーと安全性を直接脅かすものである。機密性の高いデータが危険にさらされている。
| セキュリティ指標 | 採用率 |
| SPF値 | 58.3% |
| DMARC強制 (p=拒否) | 20.8% |
| DMARCレコードなし | 37.5% |
| MTA-STSの採用 | 4.2% |
| DNSSECの採用 | 8.3% |
ほぼ 医療機関の10に4がDMARCによる保護を受けていないこれは、保護された医療情報を扱う部門にとって大きな見落としである。この欠陥は、2023年にハッカーに悪用された。ハッカーが リマの大病院 を狙ったフィッシング・キャンペー.彼らは病院の電子メール・ドメインになりすまし、患者に不正な請求書を送った。
なぜこれが重要なのか?
たった一度の情報漏えいで、患者の診断、治療計画、金銭的な詳細が漏えいする可能性がある。これは評判の低下や罰金につながるだけでなく、治療を中断させたり医療過誤情報を広めたりすることで、患者の福利を危険にさらすことになる。
PowerDMARCソリューション:
DMARCの完全施行への明確で段階的な道筋を医療プロバイダーに提供します(p=reject)への明確な段階的パスを提供し、なりすまし攻撃から医療機関を保護します。当社のホスト型MTA-STSおよびTLS-RPTソリューションは、患者情報の通信チャネルを保護し、以下を支援します。 コンプライアンスこれにより、企業はデータ保護規制への準拠を達成し、患者の信頼を回復することができます。
経済の基幹である金融セクターは、高額詐欺の主要な標的である。現在のセキュリティ態勢は、保護される資産の価値と防御の強さとの間に憂慮すべき断絶があることを明らかにしている。
| セキュリティ指標 | 採用率 |
| SPF値 | 84.4% |
| DMARC強制 (p=拒否) | 18.8% |
| DMARCレコードなし | 25.0% |
| MTA-STSの採用 | 0% |
| DNSSECの採用 | 9.4% |
と 金融機関の4社に1社がDMARCおよび MTA-STSが完全に欠如している。ペルーの銀行、保険会社、フィンテック企業は深刻なリスクにさらされている。このギャップにより、以下のような壊滅的な被害が発生します。 ビジネスメール詐欺(BEC)攻撃が可能になる。最近のインシデントでは、攻撃者が商業銀行のドメインになりすまして法人顧客に電信送金依頼を送り、詐欺が発覚する前に数十万ドルの流用に成功した。
なぜこれが重要なのか?
信用は金融の世界の通貨である。フィッシング攻撃が成功するたびに、顧客の信頼と信用は失われていく。 電子メール認証がないためこの業界は、請求書詐欺やクレデンシャル盗難の被害を受けやすい。
PowerDMARCソリューション:
当社のプラットフォームは、厳格なDMARC施行への合理的な経路を提供します。ホスティングされたMTA-STSを導入することで、金融取引を保護し、顧客ロイヤルティを維持するために譲れない要件である、転送中の電子メール傍受のリスクを排除します。
政府機関は公共サービスを急速にデジタル化している。SPFの採用は好調であるが、DMARCが施行されないため、危険な信頼不足が生じる。
| セキュリティ指標 | 採用率 |
| SPF値 | 94.3% |
| DMARC強制 (p=拒否) | 26.1% |
| DMARCレコードなし | 30.7% |
| MTA-STSの採用 | 0% |
| DNSSECの採用 | 2.3% |
政府部門がSPFの実装でリードしているにもかかわらず、ほぼ3分の1の政府ドメインがDMARCレコードを持っていない。 政府ドメインの3分の1がDMARCレコードを持たずレコードがなく、詐欺メールを積極的にブロックしているのはわずか4分の1である。このため、ハッカーは税務当局、社会保障機関、その他の公的機関になりすまして、市民の機密データを入手したり、詐欺を働いたりすることができる。
なぜこれが重要なのか?
市民が政府機関からの電子メールを信頼できない場合、デジタル公共サービスの枠組み全体が危険にさらされる。安全な電子メールは、国家安全保障と電子政府構想の成功にとって非常に重要である。
PowerDMARCソリューション:
当社は、政府機関が電子メールセキュリティの新たな義務に安全に準拠できるよう支援します。当社のプラットフォームは、DMARCのp=rejectへの適用を高速化し、DNSSECの導入を簡素化することで、公共機関のドメイン向けに回復力と信頼性の高い電子メールインフラを構築します。
国の接続の門番として、通信プロバイダーは個人と企業の両方の通信の鍵を握っている。DMARCの採用率が驚くほど低いため、何百万人ものペルー人が危険にさらされている。
| セキュリティ指標 | 採用率 |
| SPF値 | 91.0% |
| DMARC強制 (p=拒否) | 9.0% |
| DMARCレコードなし | 43.3% |
| MTA-STSの採用 | 0% |
| DNSSECの採用 | 1.5% |
DMARCレコードを欠くドメインの割合が最も高いのは電気通信部門である。 DMARCレコードがないドメインの割合が最も高い。が最も高くなっています。さらに、DMARCの実施率も最も低く(わずか9.0%)、このセクターはSIMスワップ詐欺、不正請求通知、フィッシングキャンペーンなどの攻撃の格好の標的となっています。
なぜこれが重要なのか?
侵害された通信事業者IDは、その人のデジタルライフ全体を台無しにする可能性がある。電気通信事業者になりすました攻撃者は、セキュリティ・コードを傍受し、アカウントを乗っ取り、広範なID窃盗を指揮することができる。
PowerDMARCソリューション:
当社のホスト型DMARCおよびMTA-STSソリューションは、電気通信企業の規模と複雑さに合わせて設計されています。プロバイダーは、このような危険なセキュリティギャップを解消し、加入者のアカウントを乗っ取りから保護し、信頼できる通信事業者としてのブランド評価を確保することができます。
経済の物理的なバックボーンを形成する運輸部門は、電子メールのセキュリティ態勢が不十分なため、金融詐欺や業務妨害に対して非常に脆弱である。
| セキュリティ指標 | 採用率 |
| SPF値 | 80.0% |
| DMARC強制 (p=拒否) | 13.3% |
| DMARCレコードなし | 35.6% |
| MTA-STSの採用 | 0% |
| DNSSECの採用 | 2.2% |
ドメインの ドメインの3分の1以上にDMARCレコードがなくそして 転送中の電子メールの暗号化(MTA-STS)が全く行われていない。物流・運送会社は、請求書詐欺や出荷詐欺の格好の標的です。ハッカーはこれらの企業になりすまし、顧客に偽の支払い要求を送ったり、貴重な貨物をリダイレクトしたりすることができます。
なぜこれが重要なのか?
この分野で攻撃が成功すると、金銭的な損失だけでなく、ロジスティクス・チェーン全体を混乱させることになり、その結果、コストのかかる遅延、ビジネス・パートナーシップの毀損、顧客の信頼喪失がもたらされる。
PowerDMARCソリューション:
当社のプラットフォームは、不正な請求書や通信をブロックするためのガイド付きDMARCエンフォースメントを提供します。MTA-STSの導入を支援することで、サプライヤー、キャリア、顧客間の重要な業務メッセージを保護します。
このカテゴリーには、小売業からコンサルティング業まで、他のセクターには分類されない組織がいくつか含まれている。これらは多様で異なるカテゴリーであるにもかかわらず、電子メールセキュリティの成熟度が低く危険であるという点で共通しています。
| セキュリティ指標 | 採用率 |
| SPF値 | 88.9% |
| DMARC強制 (p=拒否) | 11.1% |
| DMARCレコードなし | 55.6% |
| MTA-STSの採用 | 0% |
| DNSSECの採用 | 11.1% |
この分野では DMARCレコードを持たないドメインの割合が最も高い(55%以上)。であり、なりすましが非常に容易です。DMARCの施行が最小限であり、MTA-STSがまったくないため、これらの企業は、請求書詐欺、CEO詐欺、従業員や顧客をターゲットにしたフィッシングキャンペーンなど、広範な攻撃にさらされています。
なぜこれが重要なのか?
多くの場合、このセクターを構成する中小企業にとって、たった一度のサイバー攻撃の成功は、絶滅レベルの出来事となりうる。侵害による財務的、風評的なダメージは、回復するのが非常に困難です。
PowerDMARCソリューション:
当社のプラットフォームは、あらゆる規模の企業向けにカスタマイズされたスケーラブルで手頃な価格のEメールセキュリティソリューションを提供します。DMARC施行とトランスポートレイヤーセキュリティへの明確な道筋を提供することで、小規模な企業でもエンタープライズグレードのセキュリティ体制を実現することができます。
大量の個人データや貴重な研究データを管理する教育機関は、サイバー犯罪者の格好の標的とされることが多い。
| セキュリティ指標 | 採用率 |
| SPF値 | 84.7% |
| DMARC強制 (p=拒否) | 18.7% |
| DMARCレコードなし | 22.0% |
| MTA-STSの採用 | 1.7% |
| DNSSECの採用 | 8.5% |
DMARCの実施率は非常に低く、トランスポート層の暗号化もほとんどない。つまり、大学や学校は学生や教職員を次のような危険にさらしているのだ。 クレデンシャル・ハーベスティング・キャンペーン.大学のIT部門や学術ポータルになりすましたフィッシング・メールは、ログイン認証情報を盗むために一般的に使用されています。このようなメールによって、ハッカーは機密の研究データ、学生の記録、内部システムにアクセスすることができます。
なぜこれが重要なのか?
教育分野における情報漏えいは、知的財産を危険にさらし、学生のプライバシーを侵害し、教育機関の学問的評判を損なう可能性があります。攻撃が成功すると、学習が中断され、研究の完全性が損なわれ、大規模なコミュニティがさらに多くのサイバー脅威にさらされる可能性があります。
PowerDMARCソリューション:
当社の包括的なプラットフォームは、スケーラブルなDMARCおよびMTA-STSソリューションで複雑な電子メール環境を管理するように設計されています。私たちは、教育機関がデジタルキャンパスを保護し、研究データを保護し、学生やスタッフのプライバシーを侵害から守るお手伝いをします。
以下はPowerDMARCの専門家のコメントである:
「私たちの分析によると、ペルーでは電子メール認証プロトコルの認知度は高まっているものの、多くの組織がまだ導入の初期段階にあることが明らかになりました。DMARCの実装を強化し、トランスポート層のセキュリティを採用することで、セクターを超えた信頼と保護を大幅に強化することができます。PowerDMARCでは、組織がこれらの重要なステップをシームレスに踏み出せるようサポートします。"
マイサム・アル・ラワティ、PowerDMARC CEO
「DMARCの実施からMTA-STSの採用、SPFの最適化まで、電子メールのセキュリティには多層的なアプローチが必要です。当社の目標は常に、運用を複雑にすることなく、企業がメールセキュリティ管理を簡素化できるよう、明確なガイダンスと自動化ツールを提供することです。"
ユネス・タラダ、PowerDMARCサービス・デリバリー・マネージャー
ヨーロッパ諸国と比較すると ペルーの電子メール・セキュリティ事情は、厄介なパラドックスを露呈している。.一方では、ペルーは基本的な電子メール認証において強力な基盤を持っており、SPFの正答率(86.1%)は、スウェーデンやノルウェーといったヨーロッパの国々と肩を並べ、上回っています。
しかし、この初期の強さは ペルーが大きく遅れをとっている、より高度でアクティブなセキュリティー層ペルーが大きく遅れをとっている点だ。ペルーは DMARC実施率実施率(17.9%)はイタリアと同程度だが、ベルギーや北欧諸国の水準には大きく及ばない。乖離が最も顕著なのは、トランスポート層のセキュリティ(MTA-STS:0.6%)とドメインの完全性(DNSSEC:4.6%)で、ペルーの導入率はほぼゼロに等しく、欧州全体でより強固な保護が実施されているのとは対照的である。 このギャップは大きなリスクを浮き彫りにしています。ペルーはメールセキュリティに対する意識は高いものの、その実施が不十分であるため、ヨーロッパの同業他社よりもはるかに攻撃にさらされているのです。
| 国数 | SPFの正しさ | DMARCエンフォースメント (p=reject) | MTA-STSの採用 | DNSSECの採用 |
 ベルギー | 90.1% | 24.7% | 2.1% | 21.4% |
 オランダ | 70.0% | 23.2% | 0.9% | 37.7% |
 スウェーデン | 85.0% | 29.7% | 2.9% | 25.9% |
 ノルウェー | 85.2% | 29.0% | 4.4% | 45.6% |
 イタリア | 91.0% | 16.7% | 1.0% | 3.5% |
 ペルー | 86.1% | 17.9% | 0.6% | 4.6% |
ペルーのさまざまなセクターに共通する4つの重要な間違いがある。
最も蔓延している間違いは DMARCの実装を監視専用モード(p=none)で導入していることです。DMARCを導入している組織の82%以上が、脅威をブロックするためにDMARCを使用していません。このポリシーでは、誰が代理でメールを送信しているかを可視化することはできても、悪意のあるメールがプライマリ受信トレイに到達するのを阻止することはできません。ハッカーがp=noneを好むのはそのためです。ハッカーは、組織が傍観者である間、自由にやりたい放題できるからです。
ほぼ皆無だった MTA-STSの採用(99.4%のドメインは保護されていない)は大きな見落としである。MTA-STSがない場合、電子メール通信は暗号化されていないチャンネルで強制的に行われることになり、攻撃者は転送中の機密情報を傍受、読み取り、改ざんすることができます。これは、金融、医療、政府機関など、機密データが毎日やり取りされる分野にとっては非常に危険なことだ。基本的なTLSだけでダウングレード攻撃を阻止できると考えるのは危険だ。
弱い基礎の上に建てられた家は崩れる。メールのセキュリティも同じです。SPFレコードが不正確または見つからないドメインの14%は、正当なメールがスパムとしてマークされたり、完全に拒否されたりして、ビジネスに支障をきたす危険性がある。さらに深刻なのは、DNSSECのないドメインの95.4%が以下のような脆弱性を抱えていることです。 DNSハイジャック.
電子メール認証は、一度だけの設定ではなく、継続的な管理プロセスである。実施率が低く、SPFエラーが後を絶たないということは、多くの組織が基本的な設定を実施した後、その管理に失敗していることを示唆している。新しいメールベンダー、マーケティングプラットフォーム、サードパーティサービスが追加されています。SPFと SPFとDMARCレコードの監視や更新が行われないため、企業はメールエコシステムのコントロールを失ってしまいます。
電子メール認証の複雑さを克服し、強固なドメインセキュリティ体制を実現するには、専門知識、可視性、および制御が必要です。PowerDMARCは、本レポートで特定されたいくつかの脆弱性に対処し、ペルーの組織を受動的なリスク状態から能動的な防御状態へと導くために設計された、クラウドベースのプラットフォームとマネージドサービスを提供します。
MTA-STSとDNSSECの採用率が低いのは、多くの場合、複雑だと思われているためです。PowerDMARCはホスティングされた、導入が容易なソリューションを提供します。を提供します。
SPFエラーや手作業によるレコード管理とはおさらばです。私たちのプラットフォームにはPowerSPFのような自動化ツールがあります。 "ルックアップが多すぎる"エラーを防ぎます。
私たちは単なるソフトウェアプロバイダーではありません。私たちはお客様のドメインセキュリティの専門パートナーです。私たちの専門家チームは、最初の評価から完全な実施、継続的な管理まで、個別のガイダンスを提供します。
生のDMARCデータを実用的な洞察に変換します。当社のプラットフォームは、メールトラフィックを可視化し、不正な送信者を検出し、高度な脅威インテリジェンスの助けを借りて次のフィッシング攻撃を防ぐのに役立ちます。
ペルーは重要な岐路に立っている。電子メール認証という基礎的な意識は存在するが、それが誤った安全意識を生み出している。監視のみのポリシーに依存し、トランスポート層の暗号化が欠如しているため、ハッカーが侵入して攻撃するためのドアが開いたままになっている。
組織は、受動的な観察から能動的な防御へと考え方を転換しなければならない。 アクティブ・ディフェンス.そのためには、以下のことに取り組む必要がある:
PowerDMARCは、専門知識、ツール、マネージドサービスを提供し、ペルーの組織をこの旅に導きます。当社の統合プラットフォームは、SPF、DMARC、MTA-STS、DNSSECの複雑さを簡素化し、完全に保護されたメールエコシステムに迅速かつ安全に移行することができます。
意識する時期は終わった。今こそ行動を起こす時だ。
[email protected] にご連絡いただければ、お客様のメールセキュリティ体制を強化するための個別コンサルティングを今すぐ承ります。
