スペインにおけるサイバー脅威の状況は、重大な転換点を迎えています。スペインデータ保護庁(AEPD)のデータによると、悪意のある活動が急増しており、 2026年の最初の4ヶ月だけで が記録された。これらのセキュリティ侵害の68%以上は、主に高度なフィッシング、認証情報の不正取得、ランサムウェア攻撃によって引き起こされた、意図的かつ計画的な攻撃に分類されている。
スペインの組織は、基本的な電子メールプロトコルの設定において高い技術力を示している一方で、厳格なセキュリティルールの適用に広く消極的であるため、企業の通信チャネルはドメインなりすまし、なりすまし詐欺、データ恐喝に対して極めて脆弱な状態にある。
スペインのデジタルエコシステムについて収集・整理された包括的なベースラインデータに基づき、同国の電子メールセキュリティ状況からは、以下の傾向が明らかになっています。
SPF: 正答率97.0% – 全国的にほぼ普遍的な技術的整合性が存在しており、設定ミスのあるドメインはごく一部にとどまっている(3.0%が不適切)。
DMARC: 可視化設定が広く行われているにもかかわらず、 18.0%のドメインのみが、厳格な「reject」ポリシーを積極的に適用している。残りのドメインは、依然として「p=none」という監視のみの状態にあり、危険なほど無防備な状態が続いている p=none (34.1%)、あるいは緩やかな保護措置である p=隔離 (22.4%)、不適切な設定 (1.7% 誤設定)、あるいはDMARCによる保護が完全に欠如している(23.8% レコードなし)などが挙げられます。
MTA-STS: 全国規模の巨大な死角であり、 99.2%が未導入という、全国的な大規模な死角が存在しており、その結果、トランスポート層の電子メールトラフィックは、全米で傍受に対して極めて脆弱な状態にある。
DNSSEC: 有効化されているのは 有効化されているのはわずか10.4% – その結果、驚くべきことに 89.6%ものドメインが ドメインハイジャック、悪意のあるトラフィックのリダイレクト、キャッシュポイズニングの脅威にさらされています。
金融詐欺の 金融詐欺のとして、スペインの銀行ネットワークは国内で最も厳格なDMARC導入を進めているものの、依然としてトランスポート層での傍受のリスクにさらされている。
| メートル | ステータス |
| SPF | 正解率98.1%(誤答率1.9%) |
| DMARC 拒否 | 38.1%(全国トップ) |
| DMARCポリシー | 「隔離」が22.9%、「なし」が27.6%、「誤り」が0.9% |
| DMARCのギャップ | 10.5%には記録がない |
| MTA-STS | 1.9%が有効(98.1%は記録なし) |
| DNSSEC | 7.6% が有効(92.4% が無効) |
脅威シナリオ
38.1%という数字で全国トップを記録しているにもかかわらず p=棄却 率で全国トップを走っているにもかかわらず、銀行業者の3分の1近くがパッシブ・トラッキング方式で運営されている(p=なし が27.6%)で運用されているか、あるいはDMARCレイヤーを完全に欠いている。これにより、悪意のある攻撃者が金融機関を装うことが可能となるほか、98.1%に及ぶMTA-STSのギャップにより、攻撃者はダウングレード攻撃を実行し、機密性の高い取引明細を平文で読み取ることができてしまう。
PowerDMARCソリューション
自動化された MTA-STSホスティングにより、PowerDMARCはすべての受信メールを暗号化されたTLS 1.2以上の通信経路に強制的に誘導し、中間者攻撃(MiTM)による傍受のリスクを排除するとともに、重要な銀行取引記録の安全性を確保します。
GDPRによる厳格な規制の焦点となっているにもかかわらず、スペインの医療業界では、保護対策の実施が不十分なため、ランサムウェアやデータ窃盗の標的となり続けています。
| メートル | ステータス |
| SPF | 正解率95.6%(誤答率4.4%) |
| DMARC 拒否 | 8.8% |
| DMARCポリシー | 「隔離」が22.8%、「なし」が33.3% |
| DMARCのギャップ | 35.1%はDMARCをまったく導入していない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 4.4%が有効(95.6%が無効) |
脅威シナリオ
医療提供者の3分の1以上(35.1%)がDMARCの設定をまったく行っておらず、アクティブな拒否率もわずか8.8%にとどまっているため、攻撃者は容易に医療機関のIDを偽造できてしまいます。病院の調達部門や患者ポータルを装ったフィッシングメールは、フィルタをすり抜けてネットワーク全体にランサムウェアを拡散させてしまいます。
PowerDMARCソリューション
当社は、医療従事者に対し、モニターモードから厳格な p=reject ポリシーへと移行できるよう、体系的な導入プロセスを提供し、フィッシング攻撃が臨床スタッフの受信箱に届く前に無力化します。
公的機関のパブリックドメインは、基盤の整備が優れている一方で、 政府 ドメインに対するポリシーの徹底が不十分なため、なりすましの温床となっている。
| メートル | ステータス |
| SPF | 正解率100.0%(全国トップ) |
| DMARC 拒否 | 15.7% |
| DMARCポリシー | 「検疫」が23.5%、「なし」が24.5%、「誤り」が6.9% |
| DMARCのギャップ | 29.4%はDMARCをまったく導入していない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 45.1%が導入済み(業界トップ) |
脅威シナリオ
スペインの公共部門は、DNSSECの導入率が45.1%と非常に高く、暗号化によるレコード検証においてトップを走っています。しかし、29.4%がDMARCレコードを欠いており、24.5%は監視に依存している状況です(p=なし)に依存しているため、攻撃者は政府機関の身元を偽装して、本物そっくりの行政指示を送信したり、市民を標的とした税務詐欺のフィッシングメールを送信したりすることに成功しています。
PowerDMARCソリューション
当社のマルチテナント型ダッシュボードにより、中央の公的機関は単一のパネルから膨大なサブドメインネットワークを監視・保護することができ、厳格な p=rejectへの移行を簡素化します。
学術機関は膨大な量の学生記録や研究データを保有しているが、脅威を遮断するよりも、単に監視する傾向が強い。
| メートル | ステータス |
| SPF | 正解率97.6%(誤答率2.4%) |
| DMARC 拒否 | 9.5% |
| DMARCポリシー | 「隔離」が34.5%、「なし」が46.4%、「誤答」が7.2% |
| DMARCのギャップ | 2.4%はDMARCをまったく導入していない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 8.3%が有効(91.7%が無効) |
脅威シナリオ
教育分野では基本レコードの導入が順調に進み、DMARCを導入していない機関はわずか2.4%にとどまっています。しかし、依然として46.4%という膨大な割合の機関が、パッシブな状態にとどまっています。 p=none 追跡状態にとどまっています。詐欺師たちは、この脆弱な足跡を悪用し、大学のネットワークを標的とした偽の授業料請求書や、認証情報を収集するページを拡散させています。
PowerDMARCソリューション
教育機関では、しばしば 10回のDNSルックアップ制限 を超えてしまうことがよくあります。 PowerSPF は、これらの設定を最適化し、技術的な制約によって正当な大学間の通信が誤って遮断されることがないようにします。
スペインのエネルギー業界は、基盤となるセキュリティ対策は堅固であるものの、メールセキュリティの全体的な防御体制は不十分である。
| メートル | ステータス |
| SPF | 正解率95.6%(誤答率4.4%) |
| DMARC 拒否 | 22.1% |
| DMARCポリシー | 「検疫」が15.9%、「なし」が34.5%、「誤り」が0.9% |
| DMARCのギャップ | 26.6%はDMARCをまったく導入していない |
| MTA-STS | 0.9%が有効(99.1%は記録なし) |
| DNSSEC | 7.1% が有効(92.9% が無効) |
脅威シナリオ
エネルギーネットワークの4分の1以上(26.6%)はDMARCによる防御策を一切講じておらず、34.5%は p=noneの状態にある。この脆弱性により、攻撃者は大手公益事業者やサプライヤーを装い、ビジネスメール詐欺(BEC)キャンペーンを実行して、重要なサプライチェーンを操作することが可能になる。
PowerDMARCソリューション
PowerDMARCは、DMARC検証とホスト型MTA-STSプロトコルを連携させ、送信者の正当性を確認すると同時に、外部ノードを経由するメッセージが完全に暗号化された状態を維持することを保証します。
メディア各社は世間の信頼を基盤としているが、その防御的な姿勢が、ブランドを悪用される隙を生み出している。
| メートル | ステータス |
| SPF | 正解率96.1%(誤答率3.9%) |
| DMARC 拒否 | 19.7% |
| DMARCポリシー | 「検疫」が18.5%、「なし」が37.6%、「誤り」が0.6% |
| DMARCのギャップ | 23.6%はDMARCをまったく導入していない |
| MTA-STS | 1.7%が有効(98.3%は記録なし) |
| DNSSEC | 2.8%が有効(セクター内最低) |
脅威シナリオ
受動的モニタリングへの依存度が37.6%(p=なし)に加え、DNSSECの設定率がわずか2.8%と低いことから、報道機関は攻撃の格好の標的となっています。攻撃者はメディアのドメインを偽造して、誤った情報を拡散したり、偽のプレスリリースを配信したり、ジャーナリストの認証情報を盗み出したりすることが可能です。
PowerDMARCソリューション
当社はメディア企業の設定を支援します 「メッセージ識別用ブランドインジケーター(BIMI)」の設定を支援し、認証済みの企業ロゴを受信者の受信トレイ内に直接表示することで、真正性を保証する認証スタンプとして機能させます。
デジタル経済の基盤として、通信事業者は膨大なトラフィックを管理しているものの、厳格なアクティブポリシーの実施においては遅れをとっている。
| メートル | ステータス |
| SPF | 正解率92.0%(誤答率8.0%) |
| DMARC 拒否 | 14.0% |
| DMARCポリシー | 「検疫」が22.0%、「なし」が44.0%(業界最高) |
| DMARCのギャップ | 20.0%はDMARCをまったく導入していない |
| MTA-STS | 導入率0.0%(記録なしが100.0%) |
| DNSSEC | 6.0% が有効(94.0% が無効) |
脅威シナリオ
通信事業者は、パッシブ監視状態への依存度が最も高い(p=なし が44.0%)。攻撃者は、こうした能動的な防御の欠如を悪用し、通信事業者のブランドを装って、消費者の認証情報や銀行口座情報を盗み出す大規模なSMSや電子メールによるフィッシング攻撃を展開している。
PowerDMARCソリューション
直ちに p=reject への即時移行をすべての通信事業者エコシステムで実施し、攻撃者が正規の通信事業者識別子を利用して加入者基盤を悪用することを阻止します。
物流ネットワークは、迅速かつ自動化された顧客とのコミュニケーションに依存しているが、その基準の遵守状況は著しく不十分である。
| メートル | ステータス |
| SPF | 99.2%が正解(0.8%が不正解) |
| DMARC 拒否 | 12.4% |
| DMARCポリシー | 「隔離」が23.9%、「なし」が30.6%、「誤り」が2.5% |
| DMARCのギャップ | 30.6%はDMARCをまったく導入していない |
| MTA-STS | 0.8%が有効(99.2%は記録なし) |
| DNSSEC | 6.6% が有効(93.4% が無効) |
脅威シナリオ
トランスポートドメインの30.6%は設定がまったく行われておらず、30.6%は p=noneの状態にあるため、この分野は物流詐欺に対して極めて脆弱です。攻撃者は、貨物や配送に関する通信を偽造して、出荷マニフェストを変更したり、請求書の支払先を転送したりします。
PowerDMARCソリューション
PowerDMARCは、すべての配信明細書および自動生成された請求書がパートナーのゲートウェイに到達する前に認証および検証されるよう確保することで、ビジネス環境を保護します。
スペイン全土で見られる主な傾向として、監視のみの構成への依存度が高いことが挙げられる(p=なし で 34.1% 全国平均)。これはインバウンドトラフィックを追跡するものの、サードパーティによるスプーフィング攻撃を防ぐには全く役立たない。
専門家の見識
「多くの企業は、単に DMARCレコードさえあれば安全だと考えています。しかし、追跡ポリシーは監視ツールであり、防御策ではありません。能動的な『拒否』ポリシーに移行するまでは、貴社のブランドはなりすまし詐欺の脅威にさらされ続けることになります。」
マイサム・アル・ラワティ、PowerDMARC CEO
専門家の見識
「現代のエンタープライズ技術環境では、標準的な検索制限を超過してしまうことがよくあります。自動化された SPFフラットニング を導入することは、設定ミスを防ぎ、メール配信の継続性と安全性を確保するために不可欠です。」
ユネス・タラダ、PowerDMARCサービス・デリバリー・マネージャー
組織が外部のクラウドアプリ、決済プラットフォーム、マーケティングツールを統合するにつれ、SPFの設定はすぐに「10回のDNSルックアップ」という限界に達してしまい、プロトコルが無効化され、正当なメールがスパムとして振り分けられてしまう。
…で 99.2% のスペイン語ドメインが MTA-STSで運用されているため、電子メールのルーティングはオポチュニスティック暗号化に大きく依存しており、転送経路は盗聴やデータの傍受に対して脆弱な状態にある。
専門家の見識
「MTA-STSの適用が行われない場合、ネットワーク攻撃者はダウングレード攻撃によって、メールの転送を平文で行うよう容易に強制することができます。トランスポート層全体で完全な機密性を維持するためには、管理された暗号化パスの導入が不可欠です。」
PowerDMARC、オペレーション&デリバリー・シフト・リーダー、アヤン・ブイヤ
専門家の見識
“DNSハイジャック は、企業が長年築き上げてきた信頼を瞬時に失わせる可能性があります。DNSSECを導入することで、インターネットトラフィックが敵対者の偽サーバーではなく、正当なサーバーに確実に到達することを保証するために必要な暗号による検証が可能になります。」
アホナ・ルドラ、マーケティングマネージャー、PowerDMARC
全体的な普及率はわずか 10.4%にとどまっており、残りの 89.6% の差により、企業は悪意のあるパスリダイレクトやキャッシュポイズニング攻撃の危険にさらされています。
スペインは、基本設定の正確性(SPF)において極めて高い水準を誇っているが、能動的な自動執行に関しては世界のトップクラスには及ばない(p=reject)および輸送中の保護の分野では、世界のトップクラスには及ばない。
スペインは、並外れた SPF整合率97.0%を誇り、オーストラリア(92.3%)やブラジル(92.1%)といった国々を上回っています。しかし、この技術的な精度は実効的な保護には結びついておらず、その 18.0%の不適合率 という数値は、オーストラリアの46.7%という執行基準を大きく下回っている。
スペインの 10.4%のDNSSEC導入率 は、オーストラリア(6.8%)やエクアドル(4.8%)を上回っているものの、オランダ(37.7%)やブラジル(21.9%)が設定した基準には大きく及ばず、ディレクトリ検索の整合性を改善する必要性が明らかになっている。
国際的な傾向と同様に、スペインにおけるMTA-STSの導入率は低い水準にとどまっており、 0.8%である。これはポーランド(0.9%)やブラジル(0.7%)の数値と概ね一致しているが、このように広範囲にわたりこの問題が存在していることは、トランスポート層のセキュリティが依然としてほとんどの地域で未解決のリスクであることを示している。
「スペインは、全国的に高いSPF精度を実現することで、ドメインの可視性に関する非常に称賛に値する技術的基盤を確立していますが、その一方で、周辺におけるポリシー実施の不備は依然として重大な脆弱性となっています。現地の組織は初期設定やドメイン構成には長けていますが、能動的な境界防御においては遅れをとっています。明確な指針としては、既存の可視性設定を強化されたものへと転換することで、受動的な監視から絶対的な実施へと移行することが求められています。 p=reject ポリシーへと転換し、受動的な監視から絶対的な施行へと移行することである。」
2026年のデータによると、スペインは堅固な技術的基盤を築いているものの、防御体制は依然として不完全なままである。デジタルの未来を守るため、組織は以下の3つの主要な改善に注力すべきである:
SPF値が高く、DMARCが適切に導入されていても、なりすましメールがユーザーの受信箱に届き続けるようでは意味がありません。Hosted DMARCを利用してドメインを監視モードから厳格な「p=reject」状態に移行させることで、不正なメールをゲートウェイで確実にブロックできます。
ネットワークの99.2%が転送時の改ざんのリスクにさらされているため、ビジネス通信が傍受から確実に保護されるよう、ホスト型MTA-STSの導入が不可欠です。
正当な企業間通信を妨げる可能性のあるルックアップ設定のエラーを解消します。クラウド環境がますます複雑化する中、Hosted SPFを導入することで、配信の信頼性を維持できます。
全8セクターのドメインサンプルを対象としたアクティブなDNSクエリを実施し、関連するRFC規格に基づき、SPF、DMARC、MTA-STS、およびDNSSECレコードを取得・検証する。
スペインの公開登録簿および各セクターのリストから特定されたドメイン。対象セクターは、金融(銀行)、医療、政府、教育、エネルギー、メディア、通信、運輸である。
すべてのベンチマーク数値は、PowerDMARCが公表したブラジル、イタリア、エクアドル、ポーランド、オランダ、米国、英国に関する国別レポートに基づき、一貫したDNS分析手法を用いて算出されています。
スペインの分析対象ドメイン全体における、p=rejectの採用状況、DMARCレコードがないドメインの割合、SPFの設定ミス、およびMTA-STSの採用率の低さを総合的に評価して算出されたセクター別リスク評価。
スペインにおける技術導入率の高さは、同国のIT管理者がこの地域でも有数の能力を持つことを証明している。彼らに必要なのは、対策の実施に踏み切るための権限とツールだけである。
ドメインを、セキュリティ侵害が発生するのを見守るだけで、それを阻止する力を持たない複雑なシステムのままにしておいてはなりません。次の大規模な国境を越えたフィッシング攻撃が貴業界を標的にする前に、企業の評判とデータを確実に保護してください。
PowerDMARCまでお問い合わせください。監視から徹底した対策へと、その第一歩を踏み出しましょう。
