近年、東南アジアでは、高度なサイバー脅威がかつてないほど激化しており、アジア太平洋地域全体でのランサムウェア攻撃は 57%近く急増した。急速にデジタル化が進むこの経済圏において、フィリピンは主要な標的として浮上している。世界的なサイバーセキュリティ追跡データによると、東南アジア諸国連合(ASEAN)の企業は現在、データ侵害による平均コストが 323万ドルに上る事態となっています。フィリピンの多くの組織では基本的な技術的構成は整っているものの、厳格なポリシーの積極的な実施が広範囲に欠如していることが、同国で最も重要な経済セクター全体に深刻な脆弱性をもたらしており、企業、公共機関、インフラの通信システムが、悪意ある攻撃の標的となる危険にさらされています。
国内の電子メールセキュリティの状況からは、次のような傾向が浮かび上がっています:
SPF: 正解率95.2% – 全国的に堅固な技術的基盤が確立されましたが、軽微な設定ミス(4.7%が誤り)や稀な未登録(0.1% 記録なし)が依然として見られるものの、全国的に堅固な技術的基盤が確立された。
DMARC: 可視化対策は多くの組織で導入されていますが、 ドメインのわずか17.0%しか厳格な「拒否」ポリシーを適用していない。残りのドメインは p=quarantine (22.9%)、監視のみ p=なし (23.1%)、DMARCレコードを全く持たない 36.5%はDMARCレコードを完全に欠いている。
MTA-STS: 全国的な大きな盲点であり、 99.4%が未導入という状況にあり、これにより全米でトランスポート層の電子メール通信が傍受に対して極めて脆弱な状態にある。
DNSSEC: わずか 12.3%のみが有効化されている – その結果、 87.7%ものドメインが 高度なDNSハイジャック、キャッシュポイズニング、悪意のあるトラフィックのリダイレクトの危険にさらされています。
高度な金融詐欺の主な標的となっているフィリピンの銀行機関は、国内で最も厳格なDMARCの適用を進めているものの、依然としてトランスポート層での傍受に対して完全に無防備な状態にある。
| メートル | ステータス |
| SPF | 正答率94.3%(誤答率5.7%) |
| DMARC 拒否 | 36.2%(全国トップ) |
| DMARCポリシー | 「隔離」が26.7%、「なし」が22.8% |
| DMARCのギャップ | 14.3%には記録がない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 6.7%が有効(93.3%が無効) |
脅威シナリオ
銀行業界全体でMTA-STSのギャップが100.0%に上るため、重要な取引データは暗号化されていない経路を通って送信されています。攻撃者は「ダウングレード攻撃」を実行して、その場しのぎに導入された暗号化を無効化し、高価値の金融取引確認メッセージを傍受することで、資金の流用や銀行の機密認証情報の窃取を行う可能性があります。
PowerDMARCソリューション
自動化により MTA-STSホスティングにより、PowerDMARCはすべての受信メールを暗号化されたTLS 1.2以上の通信経路に強制的に誘導し、中間者攻撃(MiTM)による傍受のリスクを排除するとともに、機密性の高い銀行取引記録を保護します。
機密性の高い患者情報の管理が不十分なため、フィリピンの医療業界はデータ恐喝やなりすまし詐欺の格好の標的となっている。
| メートル | ステータス |
| SPF | 正解率97.6%(誤答率2.4%) |
| DMARC 拒否 | 19.3% |
| DMARCポリシー | 「隔離」が21.7%、「なし」が20.5%、「誤り」が1.2% |
| DMARCのギャップ | 37.3%はDMARCを全く導入していない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 9.6%が有効(90.4%が無効) |
脅威シナリオ
DMARCレコードの欠落(37.3%)やパッシブ追跡ポリシーの不在という深刻な複合的な脆弱性により、攻撃者は病院や診療所のドメインを容易に偽装することが可能になります。これにより、攻撃者は、悪意のあるランサムウェアのペイロードを仕込んだ、本物そっくりの「患者の健康状態に関する最新情報」や偽の医療用品の請求書を、医療スタッフに直接送りつけることができます。
PowerDMARCソリューション
当社は、医療従事者に対し、モニターモードから厳格な p=reject ポリシーへと移行できるよう、体系的な導入プロセスを提供し、フィッシング攻撃が臨床スタッフの受信箱に届く前に無力化します。
公的な発表には国家の権威が伴います。一方で 政府の ネットワークは優れた基盤を備えているものの、監視に関する緩い規則が、操作の余地を残している。
| メートル | ステータス |
| SPF | 正解率98.2%(誤答率1.8%) |
| DMARC 拒否 | 6.2% |
| DMARCポリシー | 「隔離」が24.1%、「なし」が25.9% |
| DMARCのギャップ | 43.8%はDMARCを全く導入していない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 16.1% が有効 |
脅威シナリオ
政府機関のドメインのうち、なりすましメールを積極的にブロックしているのはわずか6.2%に過ぎず、43.8%は設定が全く行われていないため、政府機関のアイデンティティは極めて脆弱な状態にある。攻撃者は公的機関を装い、虚偽の規制指令を拡散したり、政府職員を標的としたスピアフィッシング攻撃を仕掛けたりすることが可能である。
PowerDMARCソリューション
当社のマルチテナント型ダッシュボードにより、中央政府機関は、広範なサブドメインのネットワーク(例: .gov.ph)を単一のパネルから監視・保護できるようにし、厳格な p=rejectへの移行を簡素化します。
学術機関は膨大な量の学生データや研究に関する知的財産を保有しており、その基盤は強固に整備されているものの、権利行使の基準は著しく緩い。
| メートル | ステータス |
| SPF | 98.4%が正しい(1.6%は記録なし) |
| DMARC 拒否 | 19.4% |
| DMARCポリシー | 「隔離」が9.7%、「なし」が25.8% |
| DMARCのギャップ | 45.2%はDMARCを全く導入していない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 19.4%が導入済み(業界トップ) |
脅威シナリオ
攻撃者は、DMARCレコードが欠落している割合が高いこと(45.2%)を悪用し、学部の名前を偽装して、学生には「授業料支払いポータル」の更新情報を装ったメールを、教員には偽の査読リンクを送りつけ、ログイン情報や金融情報を盗み出そうとしています。
PowerDMARCソリューション
教育機関では、しばしば 10回のDNSルックアップ制限 を超えてしまうことがよくあります。 PowerSPF は、これらの設定を最適化し、技術的な制約によって正当な大学間の通信が誤って遮断されることがないようにします。
エネルギー分野は基本的な整合性は概ね保たれているものの、そのエコシステムの半分がまったく監視されていない状態にある。
| メートル | ステータス |
| SPF | 正解率85.2%(誤答率14.8%) |
| DMARC 拒否 | 9.3% |
| DMARCポリシー | 「隔離」が29.6%、「なし」が11.1% |
| DMARCのギャップ | 50.0%はDMARCを全く導入していない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 13.0% が有効 |
脅威シナリオ
エネルギー関連ドメインのちょうど半数(50.0%)がDMARCによる保護を全く受けていないため、犯罪者は機器メーカーや電力・ガス供給業者を容易に装うことができます。こうした偽の通信は、不正なサプライチェーン要求を送信したり、OT(オペレーショナルテクノロジー)環境へ侵入するための悪意のあるファイルを仕込んだりする目的で利用されています。
PowerDMARCソリューション
PowerDMARCは、DMARC検証とホスト型MTA-STSプロトコルを連携させ、送信者の正当性を確認すると同時に、外部ノードを経由するメッセージが完全に暗号化された状態を維持することを保証します。
メディア機関は世間の注目を集めやすいため、電子メールの管理が不十分だと、悪意のある者がそのメディアの社会的信頼を悪用する余地を与えてしまう。
| メートル | ステータス |
| SPF | 正解率93.8%(誤答率6.2%) |
| DMARC 拒否 | 5.3%(業界最低水準) |
| DMARCポリシー | 「検疫」が14.2%、「なし」が29.2%、「誤り」が1.8% |
| DMARCのギャップ | 49.5%には前科がない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 14.2% が有効 |
脅威シナリオ
DMARCレコードの欠如率が49.5%という深刻な状況に加え、国内最低水準の5.3%という適用率も相まって、攻撃者はメディアのドメイン名を偽造し、企業の広報部門に対して偽のニュース記事や虚偽のプレスリリース、フィッシングメールを送りつけることが可能となっており、その結果、社会の信頼に深刻な打撃を与えている。
PowerDMARCソリューション
当社はメディア企業の設定を支援します 「メッセージ識別用ブランドインジケーター(BIMI)」の設定を支援し、認証済みの企業ロゴを受信者の受信トレイ内に直接表示することで、真正性を保証する認証スタンプとして機能させます。
通信事業は国のデジタル基盤として機能しているが、事後対応的なアプローチでは、何百万人もの携帯電話やインターネットの加入者が危険にさらされることになる。
| メートル | ステータス |
| SPF | 正解率96.2%(誤答率3.8%) |
| DMARC 拒否 | 23.1% |
| DMARCポリシー | 「検疫」が50.0%(セクター首位)、「なし」が15.4% |
| DMARCのギャップ | 11.5%には記録がない |
| MTA-STS | 3.8% 有効 |
| DNSSEC | 3.8% 有効 |
脅威シナリオ
詐欺師たちは通信事業者を装い、アカウント停止の緊急通知を送ってきます。通信関連ドメインの半数(50.0%)が p=quarantine に置かれているため、なりすましメッセージがフィルタをすり抜けたり、迷惑メールフォルダに表示されたりすることがあり、詐欺師が加入者データを抽出したり、SIMスワップ攻撃を容易にしたりする手段となっています。
PowerDMARCソリューション
直ちに p=reject への即時移行をすべての通信事業者エコシステムで実施し、攻撃者が正規の通信事業者識別子を利用して加入者基盤を悪用することを阻止します。
物流事業者は、絶え間ない情報交換に大きく依存しており、信頼関係に亀裂が生じれば、物理的な供給網が混乱する恐れがある。
| メートル | ステータス |
| SPF | 正解率95.3%(誤答率4.7%) |
| DMARC 拒否 | 22.1% |
| DMARCポリシー | 「隔離」が26.7%、「なし」が22.1% |
| DMARCのギャップ | 29.1%はDMARCを全く導入していない |
| MTA-STS | 3.5%が有効(96.5%は記録なし) |
| DNSSEC | 11.6%が有効 |
脅威シナリオ
DMARCレコードの欠落(29.1%)は、犯罪者にとって運送会社の身元を偽装する格好の好機となり、改ざんされた積荷明細書や配送経路の詳細を物流パートナーに送信し、貨物代金を不正な口座に流用することを可能にしてしまいます。
PowerDMARCソリューション
PowerDMARCは、すべての配信明細書および自動生成された請求書がパートナーのゲートウェイに到達する前に認証および検証されるよう確保することで、ビジネス環境を保護します。
多くのフィリピンの企業は、基本的なDMARCレコードを設定しているものの、 p=none ポリシーにとどまっています(平均 全国平均で23.1% )。これにより、ドメインのトラフィックは可視化されますが、送信側のドメインなりすましに対する予防的な防御策は一切提供されません。
専門家の見識
「フィリピンの組織では、技術的な可視性が一定程度確保されつつあるものの、強制的な『拒否』態勢へ積極的に移行するまでは、なりすまし攻撃に対して依然として極めて脆弱な状態にあります。真の防御は、単に脅威を監視するだけでは実現できません。ゲートウェイでの侵入を阻止することが不可欠なのです。」
マイサム・アル・ラワティ、PowerDMARC CEO
専門家の見識
「現代のエンタープライズ・スタックは複雑化しているため、大企業グループは常にルックアップ・スレッショルド・エラーに直面しています。配信の継続性を確保し、送信者の信頼性を守るためには、SPFフラット化の自動化を導入することが不可欠です。」
ユネス・タラダ、PowerDMARCサービス・デリバリー・マネージャー
地元企業が多種多様なサードパーティ製クラウドアプリ、給与計算システム、マーケティングツールを導入するにつれ、SPFレコードが標準的なDNSルックアップ回数の上限である10回を頻繁に超えるようになっています。この構造的な問題により、正当な企業からの通信が検証チェックに失敗し、スパムとして振り分けられてしまうのです。
~とともに フィリピンのドメインの99.4% のフィリピンドメインがMTA-STSを導入せずに運用されているため、電子メールの転送はオポチュニスティック暗号化に依存しています。これにより、通信がダウングレード攻撃にさらされ、データが平文のまま抽出されるリスクが生じます。
専門家の見識
「機会主義的な暗号化に依存すると、誤った安心感を生むことになります。MTA-STSが強制されない場合、攻撃者はネットワークレベルの操作を通じて、メールの転送を容易に平文で行わせることが可能です。フィリピンの通信事業者にとって、管理された暗号化経路を導入することは、エンドツーエンドのペイロードの機密性を維持するために不可欠です。」
PowerDMARC、オペレーション&デリバリー・シフト・リーダー、アヤン・ブイヤ
専門家の見識
「DNSハイジャックは、企業が長年にわたって築き上げてきた信頼を、ほんの数秒で台無しにしてしまう可能性があります。DNSSECを導入することで、インターネットトラフィックが敵対者の偽サーバーではなく、正当なサーバーに確実に到達することを保証するために必要な暗号による検証が可能になります。」
アホナ・ルドラ、マーケティングマネージャー、PowerDMARC
全体的な普及率はわずか 12.3%であるため、残りの 87.7% という差により、企業は悪意のあるパスリダイレクトやキャッシュポイズニング攻撃に対して極めて大きなリスクにさらされています。
フィリピンは、基盤となる正確性(SPF)は高いものの、アクティブな転送時の暗号化(MTA-STS)、DNSインフラのセキュリティ(DNSSEC)、および厳格な自動適用(DMARC Reject)の面では、世界の他国と比べて依然として大きく遅れをとっている状況にある。
| 国数 | SPF値 | DMARC 拒否 | MTA-STS | DNSSEC |
|---|---|---|---|---|
| フィリピン | 95.2% | 17.0% | 0.6% | 12.3% |
| ブラジル | 92.1% | 20.7% | 0.7% | 21.9% |
| エクアドル | 96.1% | 24.9% | 1.4% | 4.8% |
| オーストラリア | 92.3% | 46.7% | 5.8% | 6.8% |
| ポーランド | 98.9% | 21.2% | 0.9% | 15.7% |
| オランダ | 70.0% | 23.2% | 0.9% | 37.7% |
| イタリア | 91.0% | 16.7% | 1.0% | 3.5% |
| 日本 | 95.0% | 9.2% | 0.5% | 16.4% |
DNSSECの導入率が21.9%と多くの国を上回るブラジルとは異なり、フィリピンの導入率は 12.3%にとどまっている。 イタリア (3.5%)や エクアドル(4.8%)といった国々よりは上回っているものの、基本的なルックアップの完全性を確保するためには、地域 (4.8%)といった国々よりは上回っているものの、基本的な検索の整合性を確保するためには、地域レジストリ全体でのより広範な導入が明らかに必要であることが示されている。
世界的な傾向と同様に、MTA-STSの採用率は 0.6%という極めて低い水準にとどまっています。日本(0.5%)やブラジル(0.7%)で見られる傾向と同様に、セキュアなトランスポート層の経路設定は、ほぼすべてのセクターにおいて依然として未解決の脆弱性となっています。
「フィリピンは、全国的に高いSPF精度を実現することで、ドメイン可視化において非常に称賛に値する技術的基盤を確立している。しかし、その一方で、ポリシー実施におけるギャップは依然として重大な脆弱性となっている。現地の組織は初期設定やドメイン構成には長けているものの、能動的な境界防御においては遅れをとっている。明確な指針としては、既存の可視化設定を堅牢化されたものへと転換することで、受動的な監視から絶対的な実施へと移行することである p=reject ポリシーへと転換し、受動的な監視から絶対的な強制へと移行することです。」
2026年のデータによると、フィリピンは強固な基盤整備を進めているものの、防御体制は依然として大部分が未整備なままである。デジタル分野における将来を確実に守るため、組織は以下の3つの主要な改善策に注力すべきである:
SPF値が高く、DMARCが適切に導入されていても、なりすましメールがユーザーの受信箱に届き続けるようでは意味がありません。Hosted DMARCを利用してドメインを監視モードから厳格な「p=reject」状態に移行させることで、不正なメールをゲートウェイで確実にブロックできます。
ネットワークの99.4%が転送中の改ざんのリスクにさらされているため、ビジネス通信が傍受から確実に保護されるよう、Hosted MTA-STSの導入は不可欠です。
正当な企業間通信を妨げる可能性のあるルックアップ設定のエラーを解消します。クラウド環境がますます複雑化する中、Hosted SPFを導入することで、配信の信頼性を維持できます。
全8セクターのドメインサンプルを対象としたアクティブなDNSクエリを実施し、関連するRFC規格に基づき、SPF、DMARC、MTA-STS、およびDNSSECレコードを取得・検証する。
フィリピンにおける金融(銀行)、医療、政府、教育、エネルギー、メディア、通信、運輸の各セクターについて、公開されているレジストリやセクター別リストから特定されたドメイン。
すべてのベンチマーク数値は、PowerDMARCが公表したブラジル、オーストラリア、ポーランド、オランダ、イタリア、および日本の国別レポートに基づき、一貫したDNS分析手法を用いて算出されています。
フィリピン国内の分析対象ドメイン全体における、DMARCレコード未設定ドメインの割合、SPF設定の不備、およびMTA-STSの導入率の低さといった要素を総合的に評価し、p=rejectの採用率と組み合わせて算出したセクター別リスク評価。
フィリピンにおける高い技術導入率は、同国のIT管理者がこの地域でも有数の能力を持つことを証明している。彼らに必要なのは、対策を実行に移すための権限とツールに他ならない。
ドメインを、セキュリティ侵害が発生するのを見守るだけで、それを阻止する力を持たない複雑なシステムのままにしておいてはなりません。次の大規模な国境を越えたフィッシング攻撃が貴業界を標的にする前に、企業の評判とデータを確実に保護してください。
PowerDMARCまでお問い合わせください。監視から徹底した対策へと、その第一歩を踏み出しましょう。
