英国DMARCおよびMTA-STS採用状況報告書2026

PowerDMARCは、2026年における英国の電子メール認証の実態を分析するという課題に取り組みました。 その結果、英国全土および業界別、さらに世界的な文脈において、DMARC、SPF、MTA-STS、DNSSECの導入状況を調査したレポートが完成しました。875の英国ドメイン、22ページにわたるこのレポートには、同国の50%以上が、多額の損失を伴う差し迫ったセキュリティ侵害から身を守るために必要な情報が盛り込まれています。

このことは、以下の事実により、ますます重要性を増している。すなわち、 英国の国家サイバーセキュリティセンター(NCSC)が が2026年3月31日に「Mail Check」および「Web Check」サービスを正式に終了したため、この重要性はますます高まっています。 現在、企業や組織は、認証プロトコルの導入と実施のために、PowerDMARCのような民間ツールへと移行しつつあります。 

当社の報告書によると、この国は準備が部分的にしか整っておらず、攻撃者によって容易に悪用され得る脆弱性が存在することが明らかになりました。各組織は「認証」(SPF)については対応しているものの、「暗号化」(MTA-STS)や「完全性」(DNSSEC)の層については、ほとんど無視しているのが現状です。

ここでは、PowerDMARCの「2026年英国DMARCおよびMTA-STS導入状況レポート」の主な調査結果を簡単にご紹介します。より詳細な情報については、レポートの全文をご覧ください。

英国の国家スナップショット:二つの防衛の物語

さまざまな業界とその分析に移る前に、まず英国全体の状況について概観しておきましょう。

英国SPF

SPF 正確性 – 93.7%

英国DMARC

DMARC導入率 – 86.4%

DMARC p=reject – 44.1%

英国MTA-STS

MTA-STS採用率 – 20.6%

MTA-STSなし – 79.4%

MTA-STS試験 – 4.5%

MTA-STS 強制 – 16.1%

BIMIロゴ

DNSSECの採用率 – 3.8%

15日間のトライアル開始

1. 銀行・金融:オープンなトンネルを備えたセキュアな境界

英国で最も実績のあるセクターでさえ、金融関連の電子メールの95%以上が依然として暗号化されておらず、たった1回の格下げ攻撃でSWIFTの確認情報が漏洩する危険にさらされている。

メートル 採用率
SPFの正しさ 93.5%
DMARC p=reject 61.3%
MTA-STSの採用 4.8%
英国における銀行業のSPF導入

❌ 重大なリスク:高額取引の傍受。

厳格な規制であっても、暗号化されていない経路を経由する通信中は英国の銀行を保護することはできません。 最近のデータによると、決済詐欺や詐欺行為による被害額は 6億2930万ポンド 以上が盗まれたことが示されており、その多くは改ざんされた電子メール通信によって引き起こされたものである。

✅ PowerDMARCによる解決策:

ホストされた ホステッドMTA-STSでは、すべての金融メール通信を暗号化されたTLS 1.2以上のチャネルに強制的に移行させることで、犯罪者が暗号化を解除して送信中の機密性の高い銀行と顧客間の通信を盗み見る「ダウングレード攻撃」のリスクを大幅に低減します。

2. 政府:権限による指導、アイデンティティ監視の失敗

MTA-STSの導入では政府が先導していますが、それで十分なのでしょうか? 電子メール通信の60%以上は、依然としてセキュリティ対策が施されていない状態で送信されています。

メートル 採用率
SPFの正しさ 94.8%
DMARC p=reject 57.1%
MTA-STSの採用 39.9%
政府によるDMARC導入(英国)

❌ 重大なリスク:市民のなりすましと個人識別情報(PII)の漏洩。

数字が示すように、NCSCの指針のような本格的な取り組みにより、電子メールの認証は必須のものとして定着しつつありますが、依然としてやるべきことは山積みです。2024年に発生した国防省のデータ漏洩事件では、 27万2,000人の職員の給与データが流出したが流出した2024年の国防省のデータ漏洩事件は、公共部門のインフラがいかに身元情報を利用した攻撃に対して依然として脆弱であるかを浮き彫りにしている。 

✅ PowerDMARCによる解決策:

当社のプラットフォームは、 p=reject を自動化し、重要な市民向け通信フローを阻害するリスクなしに、政府サブドメインが最高水準のセキュリティ基準を満たすことを保証します。

3. 医療:英国におけるHIPAAレベルのリスク

英国の医療提供者の3分の2は、なりすましメールを阻止することができず、13.2%はDMARCレコードをまったく設定していないため、患者データはフィッシングリンクを1つクリックするだけで漏洩の危険にさらされている。

メートル 採用率
DMARC p=reject 34.0%
DMARCレコードなし 13.2%
MTA-STSの採用 9.4%
医療分野におけるMTA-STS導入(英国)

❌ 重大なリスク:保護対象健康情報(PHI)のデータ漏洩。

医療分野は、Qilinのようなランサムウェアグループにとって依然として主要な標的となっており、同グループは最近 NHSを標的にし、400GBの個人データを流出させた。DMARCの適用率が低く、DNSSECの導入率がほぼゼロであるため、攻撃者は病院の認証情報を容易に偽造し、マルウェアを配信したり、機密性の高い医療記録にアクセスしたりすることができる。

✅ PowerDMARCによる解決策:

完全なDMARCへの管理されたパスを提供します DMARC およびMTA-STSの完全な適用を実現する管理された経路を提供し、すべての送信医療記録が暗号化され、すべての公式健康通知が検証されることを保証します。

デモを予約する

4. 輸送・物流:サプライチェーンの無防備なゲートウェイ

英国の交通ネットワークは不正行為を招く温床であり、国内で最も高い「DMARC未対応」率を記録している。

メートル 採用率
DMARC p=reject 32.8%
DMARCレコードなし 26.7%
MTA-STSの採用 6.2%

❌ 重大なリスク:請求書の乗っ取りとサービスの中断。

2024年に発生した ロンドン交通局(TfL)は、5,000人の顧客の財務データが流出する事態を招き、交通システムが極めて価値の高い標的であることを証明した。攻撃者は、偽装された「重要設備アラート」や偽の積荷明細書を利用して、企業の受信箱と物理的な物流の間のギャップを埋めている。

✅ PowerDMARCによる解決策:

複雑なSPFレコードを最適化し、 DNSルックアップ制限内に収める 厳格なDMARCポリシーを適用し、請求書詐欺から物流チャネルを保護します。

5. 教育:知的財産の収穫分野

英国の大学は、約 2025年には高等教育機関の が2025年にサイバー侵害を報告しているにもかかわらず、国内で最も低い。

メートル 採用率
SPFの正しさ 94.6%
DMARC p=reject 23.9%
DMARCレコードなし 4.3%
教育 SPF 導入 イギリス

❌ 重大なリスク:調査およびログイン情報の収集。

DMARCの適用率が低い(23.9%)ため、攻撃者は大学のログイン情報を偽造し、数百万ポンド規模の研究データベースや学生の財務記録にアクセスできてしまう。

✅ PowerDMARCによる解決策:

大学が数千もの学部サブドメインを単一のダッシュボードから管理できるよう支援し、キャンパス全体でのフィッシング攻撃の成功率を大幅に削減します。

6. メディア:偽情報の増幅装置

ニュースルームはフェイクニュースと戦うが、自社のメールドメインは偽署名やディープフェイク配信に対して脆弱なままである。

メートル 採用率
SPFの正しさ 98.4%
MTA-STSの採用 1.6%
DNSSECの採用 1.6%
BIMIロゴ

❌ 重大なリスク:情報源のなりすましとディープフェイク詐欺。

MediaはSPFの正確性は高いものの、MTA-STSやDNSSECの導入率はほぼゼロに近い。これは、ジャーナリストの通信内容がネットワークを監視する者には丸見えであり、その認証情報を偽装することで、ディープフェイクのニュースを流したり、従業員を騙して不正な送金を行わせたりすることが可能になることを意味する。

✅ PowerDMARCによる解決策:

メディアドメインを p=rejectに設定し、検証済みスタッフのみがメールを送信できるようにすることで、AI主導の情報戦争の時代においてもブランドの信頼性を維持します。

15日間のトライアル開始

7. 電気通信:加入者詐欺の温床

通信事業者はネットワークのセキュリティは確保しているものの、受信箱のセキュリティまでは確保しておらず、その結果、詐欺師たちは何百万人もの加入者に偽の請求通知を自由に送信できてしまっている。

メートル 採用率
SPFの正しさ 91.0%
DMARC p=reject 32.8%
DMARCレコードなし 11.9%
BIMIロゴ

❌ 重大なリスク:請求詐欺とアカウント乗っ取り。

「No-DMARC」の割合が高いことや、DMARCの設定が不適切であることから、詐欺師は本物のように見える偽の請求通知を送信し、ユーザーを騙して、SIMスワッピングやなりすましに必要な2段階認証コードを明かさせてしまう。

✅ PowerDMARCによる解決策:

当社のプラットフォームは p=reject をキャリアドメイン全体で適用し、MTA-STSをホストして自動課金フローを保護するため、詐欺師がキャリアの自社名を悪用して加入者を騙すことが不可能となります。

内部構造:四つの構造的弱点

p=noneの実装ギャップ

英国のドメインの18.9%はDMARCを導入しているが、強制措置が欠如している。

専門家の見識

「p=noneに設定されたDMARCポリシーは、なりすまし試行をブロックせず、報告と可視化のみを提供します。英国での高い採用率は励みになりますが、不正なメール利用を積極的に防止するには、p=rejectのDMARCポリシーへの移行が必要です。」

PowerDMARCCEO、マイサム・アル・ラワティ

専門家の見識

「DNSにおける10ルックアップ制限は絶対的な上限です。フラット化やマクロといったSPF最適化技術でこれらのレコードを圧縮しなければ、デジタルスタックの拡大は必然的にメール配信率を損ないます。」

PowerDMARCサービス デリバリー・マネージャー、ユネス・タラダ

大規模環境におけるSPFの複雑性

英国のドメインの6.3%が重大な設定ミスに直面しており、その多くは 「10ルックアップ制限」に起因することが多い。

MTA-STS:暗号化の不足

英国のドメインの79.4%が、トランスポートセキュリティに関して完全な管理上のギャップを有している。

専門家の見識

標準的なメール暗号化(STARTTLS)は機会主義的である。MTA-STSは通信の暗号化を強制する手段だ。英国のほぼ全通信が晒されている現状では、攻撃者が暗号化を解除し、送信中の機密企業通信を傍受することは容易である。

PowerDMARC、オペレーション &デリバリー・シフトリーダー、アヤン・ブイヤ

専門家の見識

「DNSSECはデジタルアイデンティティの守護者としての役割を果たします。もはや単なるITプロトコルではなく、ブランド評判管理の基盤となる層です。たった1件のDNSハイジャック事件が、瞬時にブランドの信頼を打ち砕く可能性があります。」

PowerDMARCマーケティング マネージャー、アホナ・ルドラ

DNSSEC:脆弱な基盤

英国のドメインのわずか3.8%で有効化されています。

お問い合わせ

グローバルベンチマーキング:英国の位置づけ

この表は、重要なセキュリティプロトコルにおける英国の状況を、米国、ノルウェー、日本などの国々と比較したものです。

国数SPF値DMARC (p=reject)MTA-STSDNSSEC
アメリカ合衆国 🇺🇸95.7%49.0%1.7%18.0%
オーストラリア 🇦🇺92.3%46.7%5.8%6.8%
イギリス 🇬🇧93.7%44.1%20.6%3.8%
ノルウェー 🇳🇴85.2%29.0%2.8%45.6%
イタリア 🇮🇹91.0%16.7%1.0%3.5%
サウジアラビア 🇸🇦80.6%18.4%0.2%11.9%
日本 🇯🇵95.0%9.2%0.5%16.4%
ナイジェリア 🇳🇬70.3%14.2%0.0%8.2%

公式報告書からの主な知見

❗法執行のギャップ

英国ではSFPの導入率は高いものの、ドメインの半数未満しか、なりすましメールに対する対策を積極的に講じていない。

英国の傑出したMTA-STS

他国と比較して、英国ではMTA-STSの導入率が高く、これはトランジット保護の観点から重要である。これは、NCSCの厳格なガイドラインによるものと言える。

DNSSECの導入

英国はDNSSECの導入において多くの国に後れを取っており、その結果、DNSハイジャックやキャッシュポイズニング攻撃の標的になりやすい状況にある。

「コンプライアンスの罠」

DMARCレコードを導入している組織は増えているものの、その設定は依然として「p=reject」に設定されていないため、受動的な姿勢にとどまっています。これは、単に監視にとどまっており、保護にはなっていないことを意味します。

結論:指標から行動へ

『2026年英国DMARCおよびMTA-STS導入報告書』は、英国が堅固な技術的基盤を確立している一方で、受動的な監視と能動的な送信強制との間のギャップをまだ完全に埋めていないという事実を明らかにしている。

監視から防御への移行を、次のNCSCの警告や、壊滅的なビジネスメール詐欺(BEC)の発生を待ってから行う余裕はありません。PowerDMARCは、以下の機能を提供することで、この「導入のギャップ」を埋めます:

自動化された執行経路: FTSE 100企業から中小企業まで、安全に移行 p=none から p=reject へ移行する自動化された執行パス。重要なビジネス通信や部門間のメールフローを遮断することなく。

インフラストラクチャの簡素化: SPF最適化による「10ルックアップ制限」の克服、MTA-STSのホスティングによる79 . 4% の暗号化ギャップ 解消 、および DNSSECレコードの検証を を単一のクラウドネイティブダッシュボードで実現。

規制対応準備: GDPRへの準拠を支援 GDPR英国サイバーエッセンシャルズ、および PCI-DSS 4.0 を、フィッシング対策の簡素化と機密性の高いメール通信の保護によって実現します。

デモのご予約 お問い合わせ

PowerDMARCの視点

英国は現在、AI駆動型フィッシング詐欺や請求書詐欺の主要な標的となっている。英国のITチームは基礎的な記録を公開する能力に優れているが、正当なメールをブロックしてしまう恐れから行動不能に陥ることが多い。 2026年において『監視のみ』の姿勢は、高度ななりすまし攻撃への事実上の降伏を意味する。能動的防御への移行は単なるセキュリティ強化ではなく、英国デジタル経済の中枢を狙う侵害から身を守るために不可欠である。」

PowerDMARCチーム

可視性を防御に変える今日こそ

英国における導入率は基盤が整っていることを示している。今こそスイッチを入れる時だ。AIが経営幹部の口調を完璧に模倣できる環境では、「可視性」だけに頼ることは不十分である。

ドメインを「無防備なフロンティア」のまま放置しないでください。業界に次なる組織的攻撃の波が押し寄せる前に、受動的な監視から能動的な保護へ移行しましょう。

PowerDMARCにお問い合わせください 施行への第一歩を踏み出すために、今すぐお問い合わせください。

15日間のトライアルデモを予約する