英国DMARCおよびMTA-STS採用状況報告書2026

PowerDMARCでは、英国を拠点とする875のドメインにおけるメール認証態勢を分析しました。 英国に拠点を置く875のドメイン。その結果から、英国は「部分的な準備状態」にあることが示唆されており、 英国国家サイバーセキュリティセンター(NCSC)が が2026年3月31日をもってMail CheckおよびWeb Checkサービスを正式に終了することを考えると、不安定な状況です。

これは英国のサイバーセキュリティ環境における大変革を意味する。長年にわたり、組織は監視のためこうした集中型ツールに依存してきた。今やNCSCは、DMARCの導入と施行に関する全責任を個々の組織に直接移管している。Mail Checkという安全網が消えることで、記録を持つことと実際に施行することの間の隔たりが 間の隔たりは、もはや単なる技術的見落としではなく、コンプライアンスとセキュリティ上の緊急事態である。

組織がこの移行を乗り切り、可視性を維持する方法について詳しく知りたい方は、ガイドをご覧ください: 英国公共部門向けNCSCメールチェック変更点.

以下の分析は、組織が「認証」(SPF)の項目にはチェックを入れているものの、「暗号化」(MTA-STS)および「完全性」(DNSSEC)のレイヤーについてはほぼ無視している現状を明らかにしている。

レポート依頼 - 英国のDMARC導入状況

「は必須項目

このフィールドは、検証のためのものであり、変更しないでおく必要があります。
名称*

英国の国家スナップショット:二つの防衛の物語

特定の分野に踏み込む前に、分析対象となった全875ドメインにおける英国の総合的なセキュリティ態勢を以下に示す。

英国SPF

SPF 正確性 – 93.7%

英国DMARC

DMARC導入率 – 86.4%

DMARC p=reject – 44.1%

英国MTA-STS

MTA-STS採用率 – 20.6%

MTA-STSなし – 79.4%

MTA-STS試験 – 4.5%

MTA-STS 強制 – 16.1%

BIMIロゴ

DNSSECの採用率 – 3.8%

15日間のトライアル開始

1. 銀行・金融:オープンなトンネルを備えたセキュアな境界

英国の銀行は国内で最も厳格な規制を遵守しているが、重大な輸送上の欠陥により、数兆ドル規模の電信送金が傍受される危険に晒されている。

メートル 採用率
SPFの正しさ 93.5%
DMARC p=reject 61.3%
DMARCレコードなし 0.0%
MTA-STSの採用 4.8%
DNSSECの採用 11.3%
英国における銀行業のSPF導入

重大なリスク:高額取引の傍受

英国の銀行は執行率が最も高い(61.3%)一方で、 MTA-STSにおける95.2%の差は は壊滅的で、テストモードはわずか1.6%、強制モードは3.2%に留まる。トランスポートセキュリティが欠如しているため、機密性の高いSWIFT確認メールは暗号化されていない経路で送信される。最近のデータによれば、支払い詐欺や詐欺行為により 6億2930万ポンド が盗まれており、その多くは改ざんされたメール通信によって開始されています。

PowerDMARCの修正:

ホストされた ホステッドMTA-STSでは、すべての金融メール通信を暗号化されたTLS 1.2以上のチャネルに強制的に移行させることで、犯罪者が暗号化を解除して送信中の機密性の高い銀行と顧客間の通信を盗み見る「ダウングレード攻撃」のリスクを大幅に低減します。

2. 政府:権限による指導、アイデンティティ監視の失敗

英国の公共部門は国内で最も高い暗号化率を示しているが、8部門に1部門は依然として基礎的なDMARCレコードを欠いている。

メートル 採用率
SPFの正しさ 94.8%
DMARC p=reject 57.1%
DMARCレコードなし 12.2%
MTA-STSの採用 39.9%
DNSSECの採用 2.6%
政府によるDMARC導入(英国)

重大なリスク:市民のなりすましと個人識別情報の漏洩

政府ドメインはMTA-STS導入において明らかな主導的立場(39.9%)にあり、これはNCSCの義務付けによるものである。7.6%がテストモード、32.4%が強制モードにある。しかし、 12.2%がDMARCレコードを全く保持しておらず、さらに 42.9%がp=rejectに到達できていないという状況から、アイデンティティ層には依然として脆弱性が存在します。2024年に発生した国防省のデータ侵害では、 272,000名の職員が流出した事件は、公共部門のインフラがアイデンティティを悪用した攻撃に対してどれほど脆弱であるかを浮き彫りにしている。

PowerDMARCの修正:

当社のプラットフォームは、 p=reject を自動化し、重要な市民向け通信フローを阻害するリスクなしに、政府サブドメインが最高水準のセキュリティ基準を満たすことを保証します。

3. 医療:英国におけるHIPAAレベルのリスク

患者の信頼が危機に瀕している。医療提供者の3人に1人しか、偽装メールが患者に届くのを積極的に阻止できないからだ。

メートル 採用率
SPFの正しさ 92.5%
DMARC p=reject 34.0%
DMARCレコードなし 13.2%
MTA-STSの採用 9.4%
DNSSECの採用 1.9%
医療分野におけるMTA-STS導入(英国)

重大なリスク:保護対象健康情報(PHI)データ漏洩

医療分野は依然としてキリンのようなランサムウェア集団の主要標的であり、最近では英国国民保健サービス(NHS)を攻撃し400GBの個人データを流出させた。DMARCの適用率が低く(34.0%)、DNSSECの普及率がほぼゼロ(1.9%)であるため、攻撃者は病院の認証情報を容易に偽造し、マルウェアを配信したり、職員を騙して機密医療記録を漏洩させたりできる。

PowerDMARCの修正:

完全なDMARCへの管理されたパスを提供します DMARC およびMTA-STSの完全な適用を実現する管理された経路を提供し、すべての送信医療記録が暗号化され、すべての公式健康通知が検証されることを保証します。

デモを予約する

4. 輸送・物流:サプライチェーンの無防備なゲートウェイ

英国の交通ネットワークは不正行為を招く温床であり、国内で最も高い「DMARC未対応」率を記録している。

メートル 採用率
SPFの正しさ 91.3%
DMARC p=reject 32.8%
DMARCレコードなし 26.7%
MTA-STSの採用 6.2%
DNSSECの採用 2.6%

重大なリスク:請求書ハイジャックとサービス中断

運輸部門は深刻な脆弱性を抱えており、 26%以上のドメインがDMARCを全く導入していない。2024年に発生した ロンドン交通局(TfL)では5,000件の顧客財務データが流出し、交通システムが標的価値の高いターゲットであることを証明した。攻撃者は偽装した「重要設備警報」や偽の積荷目録を用いて、企業メールボックスと物理的物流の間の隙間を突く。

PowerDMARCの修正:

複雑なSPFレコードを最適化し、 DNSルックアップ制限内に収める 厳格なDMARCポリシーを適用し、請求書詐欺から物流チャネルを保護します。

5. 教育:知的財産の収穫分野

学術キャンパスは知的財産窃盗の標的として高い価値を持つにもかかわらず、英国で最も低い取り締まり率を維持している。

メートル 採用率
SPFの正しさ 94.6%
DMARC p=reject 23.9%
DMARCレコードなし 4.3%
MTA-STSの採用 17.4%
DNSSECの採用 4.3%
教育 SPF 導入 イギリス

重大なリスク:調査とログイン情報の収集

驚異的な 英国の高等教育機関の91%が が2025年にサイバー侵害を報告した。DMARCの低い施行率(23.9%)により、攻撃者は大学のログイン情報を偽造し、数百万ポンド規模の研究データベースや学生の財務記録へのアクセスを得ている。

PowerDMARCの修正:

大学が数千もの学部サブドメインを単一のダッシュボードから管理できるよう支援し、キャンパス全体でのフィッシング攻撃の成功率を大幅に削減します。

6. メディア:偽情報の増幅装置

ニュースルームはフェイクニュースと戦うが、自社のメールドメインは偽署名やディープフェイク配信に対して脆弱なままである。

メートル 採用率
SPFの正しさ 98.4%
DMARC p=reject 41.3%
DMARCレコードなし 3.2%
MTA-STSの採用 1.6%
DNSSECの採用 1.6%
BIMIロゴ

重大なリスク:情報源の身元盗用とディープフェイク詐欺

メディアはSPFの正確性が高い(98.4%)一方で、MTA-STSとDNSSECの採用率はほぼゼロである。これは、ネットワークを監視する者に対してジャーナリストの通信が可視化され、その名前を偽装してディープフェイク記事を流布したり、従業員を騙して不正な送金をさせたりできることを意味する。

PowerDMARCの修正:

メディアドメインを p=rejectに設定し、検証済みスタッフのみがメールを送信できるようにすることで、AI主導の情報戦争の時代においてもブランドの信頼性を維持します。

15日間のトライアル開始

7. 電気通信:加入者詐欺の温床

通信事業者はネットワークを保護する一方で、受信トレイを開放したままにしており、これが請求詐欺やSIMスワップ詐欺の蔓延を助長している。

メートル 採用率
SPFの正しさ 91.0%
DMARC p=reject 32.8%
DMARCレコードなし 11.9%
MTA-STSの採用 9.0%
DNSSECの採用 9.0%
BIMIロゴ

重大なリスク:請求詐欺とアカウント乗っ取り

高い「DMARC未対応」率(11.9%)により、詐欺師は本物に見える偽の請求通知を送信し、ユーザーを騙してSIMスワッピングや個人情報窃取に必要な2段階認証コードを漏洩させることが可能となる。

PowerDMARCの修正:

当社のプラットフォームは p=reject をキャリアドメイン全体で適用し、MTA-STSをホストして自動課金フローを保護するため、詐欺師がキャリアの自社名を悪用して加入者を騙すことが不可能となります。

内部構造:四つの構造的弱点

p=noneの実装ギャップ

英国のドメインの18.9%はDMARCを導入しているが、強制措置が欠如している。

専門家の見識

「p=noneに設定されたDMARCポリシーは、なりすまし試行をブロックせず、報告と可視化のみを提供します。英国での高い採用率は励みになりますが、不正なメール利用を積極的に防止するには、p=rejectのDMARCポリシーへの移行が必要です。」

マイサム・アル・ラワティ、PowerDMARC CEO

専門家の見識

「DNSにおける10ルックアップ制限は絶対的な上限です。フラット化やマクロといったSPF最適化技術でこれらのレコードを圧縮しなければ、デジタルスタックの拡大は必然的にメール配信率を損ないます。」

ユネス・タラダ、PowerDMARCサービス・デリバリー・マネージャー

大規模環境におけるSPFの複雑性

英国のドメインの6.3%が重大な設定ミスに直面しており、その多くは 「10ルックアップ制限」に起因することが多い。

MTA-STS:暗号化の不足

英国のドメインの79.4%が、トランスポートセキュリティに関して完全な管理上のギャップを有している。

専門家の見識

標準的なメール暗号化(STARTTLS)は機会主義的である。MTA-STSは通信の暗号化を強制する手段だ。英国のほぼ全通信が晒されている現状では、攻撃者が暗号化を解除し、送信中の機密企業通信を傍受することは容易である。

PowerDMARC、オペレーション&デリバリー・シフト・リーダー、アヤン・ブイヤ

専門家の見識

「DNSSECはデジタルアイデンティティの守護者としての役割を果たします。もはや単なるITプロトコルではなく、ブランド評判管理の基盤となる層です。たった1件のDNSハイジャック事件が、瞬時にブランドの信頼を打ち砕く可能性があります。」

アホナ・ルドラ、マーケティングマネージャー、PowerDMARC

DNSSEC:脆弱な基盤

英国のドメインのわずか3.8%で有効化されています。

お問い合わせ

グローバルベンチマーキング:英国の位置づけ

この表は重要なセキュリティプロトコルを比較しています: SPF 正確性 (有効なレコード)、 DMARC 適用 (p=reject)、 MTA-STS 採用 (トランスポート暗号化)、および DNSSEC有効化

国数SPF値DMARC (p=reject)MTA-STSDNSSEC
アメリカ合衆国 🇺🇸95.7%49.0%1.7%18.0%
オーストラリア 🇦🇺92.3%46.7%5.8%6.8%
イギリス 🇬🇧93.7%44.1%20.6%3.8%
ノルウェー 🇳🇴85.2%29.0%2.8%45.6%
イタリア 🇮🇹91.0%16.7%1.0%3.5%
サウジアラビア 🇸🇦80.6%18.4%0.2%11.9%
日本 🇯🇵95.0%9.2%0.5%16.4%
ナイジェリア 🇳🇬70.3%14.2%0.0%8.2%

公式報告書からの主な知見

執行のギャップ

SPFの導入率は全体的に高く(平均90%以上)、 90% )、しかし「監視」p=none)から「強制」(p=reject)への移行が最大の障壁である。例えば日本はSPF(95%)が高いが、 9.2% のドメインしか偽装メールを積極的にブロックしていない。

英国の傑出したMTA-STS

The United Kingdom shows an unusually high MTA-STS adoption rate (20.6%) compared to the global average (typically <2%). This is largely attributed to strict NCSC (National Cyber Security Centre) guidelines that have pushed for transport layer security across government and critical infrastructure sectors.

DNSSECの採用

ノルウェーと米国は、特に政府機関や金融セクターにおいてDNSSECの導入をリードしており、これらの地域ではDNSハイジャックやキャッシュポイズニング攻撃の防止がより優先されていることを反映している。

「コンプライアンスの罠」

PowerDMARCは、多くの組織が依然として p=none のまま放置されていると指摘しています。 サウジアラビア2025年報告書では、DMARCを導入している多数の組織が依然として「受動的」モードに留まっており、レコードが存在しているにもかかわらずなりすましの脅威に晒されている。

結論:指標から行動へ

データは明確だ:英国は強固な技術基盤を確立しているが、受動的監視と積極的な交通取り締まりの間のギャップを完全に埋めるには至っていない。SPFはほぼ遍在している(93.7%)であり、DMARCの導入率も高い(86.4%)にもかかわらず、国内の半数以上が完全な施行を達成できていない(p=reject)およびDNSSEC完全性の広範な欠如(96.2%の差)は依然として数十億ポンド規模の脆弱性である。

英国の組織は次のNCSCを待つ余裕はない NCSC 警告や壊滅的なビジネスメール詐欺(BEC)インシデントを待つ余裕はありません。PowerDMARCは以下を提供することでこの「実装ギャップ」を埋めます:

自動化された執行経路: FTSE 100企業から中小企業まで、安全に移行 p=none から p=reject へ移行する自動化された執行パス。重要なビジネス通信や部門間のメールフローを遮断することなく。

インフラストラクチャの簡素化: SPF最適化による「10ルックアップ制限」の克服、MTA-STSのホスティングによる79 . 4% の暗号化ギャップ 解消 、および DNSSECレコードの検証を を単一のクラウドネイティブダッシュボードで実現。

規制対応準備: GDPRへの準拠を支援 GDPR英国サイバーエッセンシャルズ、および PCI-DSS 4.0 を、フィッシング対策の簡素化と機密性の高いメール通信の保護によって実現します。

デモのご予約 お問い合わせ

PowerDMARCの視点

英国は現在、AI駆動型フィッシング詐欺や請求書詐欺の主要な標的となっている。英国のITチームは基礎的な記録を公開する能力に優れているが、正当なメールをブロックしてしまう恐れから行動不能に陥ることが多い。 2026年において『監視のみ』の姿勢は、高度ななりすまし攻撃への事実上の降伏を意味する。能動的防御への移行は単なるセキュリティ強化ではなく、英国デジタル経済の中枢を狙う侵害から身を守るために不可欠である。」

PowerDMARCチーム

可視性を防御に変える今日こそ

英国における導入率は基盤が整っていることを示している。今こそスイッチを入れる時だ。AIが経営幹部の口調を完璧に模倣できる環境では、「可視性」だけに頼ることは不十分である。

ドメインを「無防備なフロンティア」のまま放置しないでください。業界に次なる組織的攻撃の波が押し寄せる前に、受動的な監視から能動的な保護へ移行しましょう。

PowerDMARCにお問い合わせください 施行への第一歩を踏み出すために、今すぐお問い合わせください。

15日間のトライアルデモを予約する