米国DMARCおよびMTA-STS採用状況レポート2026

PowerDMARCが発表した「2026年米国における電子メール認証に関するレポート」は、米国におけるDMARCの導入状況、その設定、およびMTA-STSやDNSSECといった高度なトランジットセキュリティプロトコルへの取り組みを調査することを目的としています。本レポートの統計データは、米国全体および主要産業にわたり、これまで見過ごされてきた重要なセキュリティ上の課題を明らかにしています。

驚くことではないのは、DMARCの導入が着実に進んでいることであり、これは電子メール認証プロトコルに対する真剣な検討が反映されている。意外だったのは、スプーフィングやダウングレードのリスクが最も高まるトランジット保護が不十分だった点である。

次のような連邦政府による指針の強化にもかかわらず、 CISAの「Shields Up」  といった姿勢や、より広範な国家サイバーセキュリティイニシアチブなど、連邦政府による指針が強化されているにもかかわらず、米国は依然として、AIを活用したなりすましやビジネスメール詐欺(BEC)の主要な温床となっており、これらは昨年、経済に 29億ドル

このPowerDMARCの分析によると、ある国では身元認証(SPF/DMARC)には対応しているものの、トランスポート層のセキュリティ(MTA-STS)やゾーンの完全性(DNSSEC)が危険なほど無防備な状態にあることが明らかになりました。このレポートが明らかにしている内容を簡単に見てみましょう。

米国の電子メールセキュリティの全体的な状況

米国のメール認証は2段階のシステムを採用しています。ほぼ普遍的に導入されている基盤となるレコード(SPFおよびDMARC)と、最小限のトランスポート層保護(MTA-STSおよびDNSSEC)を組み合わせたものです。900以上のドメインを対象としたベースライン指標は以下の通りです:

SPF

アメリカ合衆国 SPF

DMARC

USA-DMARC-Square

MTA-STS

米国 MTA-STS

DNSSEC

BIMIロゴ

米国メールセキュリティ指標

メートル 採用率
SPFの正しさ 95.7%
DMARCの採用 95.8%
DMARC p=reject 49.0%
MTA-STSの採用 1.7%
DNSSECの採用 18.0%

1. 銀行・金融:高度な執行力を備えたインフラ

2024年のJPモルガンに対するフィッシング詐欺では1億ドルの被害が発生し、米国 銀行が は法執行を最優先としているものの、それだけではすべてが安全とは限らないことを改めて浮き彫りにした。

メートル 採用率
SPFの正しさ 90.9%
MTA-STSの採用 3.0%
DNSSECの採用 22.7%
銀行におけるSPF採用

❌重大なリスク

SWIFT確認メッセージの傍受: MTA-STSに97.0%の脆弱性があるため、攻撃者は侵害が判明する前から、転送中の電信送金確認情報を傍受することが可能となる。

✅PowerDMARCの修正

自動化 MTA-STS ホスティング:メールの転送は暗号化されたTLS 1.2以上のチャネルを経由するため、受信配信時にTLSを強制し、MTA-STSを通じてポリシーの遵守を義務付けることで、プロトコルのダウングレードや傍受のリスクを大幅に低減します。

2. 政府:義務付けられているが脆弱

CISAの拘束力のある運用指令により、米国の連邦機関がDMARCの実施を主導している。一方、トランスポートセキュリティにおいては、可視性のギャップが依然として広く存在している。

メートル 普及率
SPFの正しさ 97.7%
DMARC p=reject 80.1%
MTA-STSの採用 3.4%

❌重大なリスク

重要 なりすまし: 求められるセキュリティの性質上、たとえ不足していても 19.9% というわずかな不足であっても、外国の国家主体の攻撃者が公式の.gov認証情報を偽造し、市民の信頼を迂回してマルウェアを配布したり、機密性の高い個人識別情報(PII)を収集したりすることを可能にしてしまう。

✅PowerDMARCの修正

.gov 向け SCuBA コンプライアンスの自動化: 当社のプラットフォームは、CISA BOD 25-01で定められた電子メール認証要件を自動化し、一元化されたダッシュボードを通じて、手作業の負担を一切かけずに.govドメインをDMARC p=rejectに移行させ、以下のSCuBAセキュリティ基準を満たします M365 および Google WorkspaceのSCuBAセキュリティ基準を満たします。

3. 医療:HIPAAの無防備な側面

2024年のチェンジ・ヘルスケアの情報漏洩事件を覚えていますか?医療従事者は、第三者を装った送信者による攻撃の標的となり続けており、電子メールは依然として脆弱な部分となっています

メートル 普及率
DMARC p=reject 64.6%
MTA-STSの採用 1.3%
DNSSECの採用 11.4%

❌重大なリスク

PHIのトランジット漏洩: 98.7%医療関連の電子メールトラフィックの の98.7%が転送中に暗号化されていません。攻撃者は通信回線から直接保護対象医療情報(PHI)を傍受することが可能であり、これによりHIPAAに基づく巨額の罰金や患者データの流出につながる恐れがあります。

✅PowerDMARCの修正

DMARCおよびMTA-STSの完全な適用に向けたプロセスを管理し、送信されるすべての医療記録がホスト型MTA-STSを介して確実に暗号化されるようにします。

4. エネルギー・公益事業:運用技術リスク

技術が進歩したとはいえ、企業向けメールは依然として、この業界においてランサムウェアの攻撃対象として活発に利用されている。

メートル 普及率
SPFの正しさ 96.8%
DMARC p=reject 51.6%
MTA-STSの採用 1.6%
エネルギー分野におけるDNSSEC導入

❌重大なリスク

フィッシングからOTへの攻撃の転換: このセクターのほぼ半数がなりすましメールをブロックできず、受信トレイが物理的な電力網への入り口となっている。

✅PowerDMARCの修正

レコードの最適化: 厳格な DMARCポリシーを を適用し、複雑なSPFレコードを PowerSPFを使用して複雑なSPFレコードを圧縮し、DNSルックアップの制限範囲内に収めつつ、運用上の通信を保護します。

5. 教育:知的財産の収穫

米国の高等教育機関は、知的財産の盗用、研究助成金の不正受給、および 標的型フィッシングの標的となっているにもかかわらず、DMARCの適用率は全米各セクターの中で最も低い。

メートル 普及率
DMARC p=reject 30.3%
MTA-STSの採用 3.4%
DNSSECの採用 12.4%

❌重大なリスク

大学ログイン情報の収集: 30.3%というp=reject率とは、およそ10校のうち7校が、攻撃者による.eduメールの偽造を許容しており、その結果、数百万ドル規模の研究データベース、助成金申請書類、卒業生の財務記録へのアクセスが可能になっていることを意味します。

✅PowerDMARCの修正

1つのダッシュボードから、数千もの学部・学科ごとのサブドメインを管理できます。キャンパス全体にポリシーを適用することで、教職員、卒業生向けシステム、学生向けサービスにおけるフィッシング攻撃の成功率を低減します。

6. メディア:偽情報の増幅装置

ニュース編集局によるフェイクニュース対策は、検証プロセスの導入率が低いため、十分な成果を上げられていない。国の情報源として、これは早急に解消すべき重大な課題である。

メートル 普及率
DMARC p=reject 30.4%
MTA-STSの採用 0.4%
DNSSECの採用 3.3%
BIMIロゴ

❌重大なリスク

情報源の身元盗用: MTA-STSの適用率がほぼゼロであり、DMARCの適用も不十分なため、ジャーナリストと機密性の高い情報源との間のプライベートな通信内容は、ネットワークを監視している者なら誰でも閲覧できてしまう。

✅PowerDMARCの修正

送信元の信頼性: メディアドメインを「p=reject」に設定し、検証済みのジャーナリストのみが当該出版物のドメインからメールを送信できるようにします。追加 BIMI を追加し、受信者の受信トレイに認証済みロゴを表示することで、編集内容の信頼性を高めます。

7. 電気通信:加入者詐欺の温床

通信事業者は自社のネットワークを厳重に守っている一方で、受信箱は完全に無防備なままにしており、その結果、SIMスワップ詐欺が蔓延し、アメリカ国民は毎年数十億の損害を被っている。

メートル 普及率
DMARC p=reject 41.4%
MTA-STSの採用 2.3%
DNSSECの採用 12.6%

❌重大なリスク

請求詐欺とアカウント乗っ取り: 詐欺師は、本物そっくりの請求通知を送りつけ、2段階認証コードを盗み出します。そのコードは、SIMカードの不正交換を承認したり、銀行口座から資金を不正に引き出したりするために悪用されます。

✅PowerDMARCの修正

SIMフィッシング・スラムミング: 通信事業者ドメイン全体およびホストMTA-STSに対してp=rejectを強制し、自動請求フローのセキュリティを確保します。

8. 輸送・物流:サプライチェーンの妥協

航空会社と鉄道網は「物流経路変更」に直面している。偽造された積荷目録により貨物が盗まれ、燃料供給が迂回される事態が発生している。

メートル 採用率
SPFの正しさ 90.2%
DMARC p=reject 42.4%
DMARCレコードなし 1.1%
MTA-STSの採用 0.0%
DNSSECの採用 12.0%

❌重大なリスク

プレーンテキストのマニフェスト盗難: A MTA-STSの100% のMTA-STSにおける脆弱性により、電子メールで送信されるすべての貨物マニフェストは暗号化されていません。攻撃者は、貨物の価値や輸送ルートを容易に傍受し、物理的またはデジタルな盗難を計画することが可能です。

✅PowerDMARCの修正

不正防止対策が施された物流チャネル:ワンクリックで利用できるMTA-STSホスティングにより、トランスポート層のセキュリティを確保し、機密性の高い出荷データをエンドツーエンドで暗号化することで、電子メールを介して引き起こされる中間者攻撃による障害を防止します。

執行の格差を招いている4つの構造的弱点

p=noneの実装ギャップ

46.8% 米国のドメインの DMARC を導入しているが強制されていない(p=none または p=quarantine)。現在のp=none状態では修復機能が欠如しており、組織がログ上で活動を観察するのみである間、攻撃者は信頼できるブランドを偽装し続けることが可能である。

DMARCポリシーをp=noneに設定すると、なりすまし試行の報告と可視化のみを提供し、ブロックは行われません。米国での高い採用率は励みになりますが、不正なメール利用を積極的に防止するには、DMARCポリシーをp=rejectに移行する必要があります。強制措置がなければ、メールドメインは脆弱なままです。

マイサム・アル・ラワティ、PowerDMARC CEO

フォーチュン500企業では常にこの現象が見られます:新しいマーケティングツールを導入すると、請求メールが突然バウンスし始めるのです。DNSにおける10ルックアップ制限は絶対的な上限です。 SPF最適化 技術(レコード圧縮のためのフラット化やマクロなど)なしにデジタルスタックを拡大すれば、メール配信率は確実に低下します。」

ユネス・タラダ, サービスデリバリーマネージャー, PowerDMARC

大規模環境におけるSPFの複雑性

一方で 95.7% のドメインが正しい SPFが設定されている一方、残りの 4.3% は重大な設定ミスを抱えています。複雑な米国企業では、これはしばしば 「10ルックアップ制限」 に抵触した結果、サードパーティベンダー(CRM、HRシステム)からの正当なメールが認証に失敗し消失するケースが原因です。

MTA-STS:暗号化の不足

98.3% 98.3% の広範な普及率により、米国は輸送セキュリティに関してほぼ完全な制御ギャップを抱えている。MTA-STSがなければ、攻撃者は「ダウングレード攻撃」を実行でき、メールサーバーに暗号化を解除させて平文でメッセージを送信させ、ネットワークを監視する誰でも読める状態にできる。

標準的な電子メール暗号化(STARTTLS)は機会主義的であり、暗号化を要求するが強制はしない。 MTA-STS は通信経路の暗号化を強制する手段です。米国の通信トラフィックのほぼ全てが晒されている現状では、攻撃者が暗号化を解除し、送信中の機密企業通信を傍受することは容易です。」

PowerDMARC、オペレーション &デリバリー・シフトリーダー、アヤン・ブイヤ

組織はブランド信頼の構築に多額の投資を行うが、たった一つの DNSハイジャック で瞬時に打ち砕かれてしまう。DNSSECはデジタルアイデンティティの守護者として機能し、顧客がアクセスした際に確実に本物のあなたと接続されることを保証する。もはや単なるITプロトコルではなく、ブランド評判管理の基盤となる層なのだ。」

アホナ・ルドラ, マーケティングマネージャー, PowerDMARC

DNSSEC:脆弱な基盤

DNSSEC はわずか 18.0% のドメインで有効化されています。これがなければ、インターネットのディレクトリシステム(DNS)は無防備です。高度な国家支援型攻撃者はDNSを乗っ取り、 DNS 応答を乗っ取り、送信者や受信者が全く気付かないまま、企業全体のメール通信を不正なサーバーへ転送し得る。

グローバル・ベンチマーキング:米国を文脈に置く

国数SPF値DMARCの採用DMARC p=rejectMTA-STS(暗号化)DNSSECの採用
アメリカ合衆国 🇺🇸95.7%95.8%49.0%1.7%18.0%
オランダ 🇳🇱92.4%88.5%41.2%14.5%59.0%
スウェーデン 🇸🇪85.0%77.9%29.9%2.9%25.9%
ノルウェー 🇳🇴85.2%83.1%29.0%2.8%45.6%
オーストラリア 🇦🇺91.5%78.4%26.5%3.1%6.8%
サウジアラビア 🇸🇦80.6%54.4%18.4%0.2%11.9%
日本 🇯🇵95.0%74.6%9.2%0.5%2.1%

分析:米国が優位な分野と遅れをとっている分野

2025~2026年のベンチマークデータによると、米国は現在、アクティブ・ディフェンスの分野で世界をリードしており、最も高い p=排除の執行率 率である 49.0%を誇っている。この成功は、早期の規制要件と、銀行業および医療分野におけるハイステークスなリスク環境に大きく起因している。

しかし、米国は「テクニカル・テール」という問題に直面している。基本的なSPFやDMARCの導入率はほぼ100%に達しているものの、高度な暗号化技術の導入状況においては、オランダが米国を大幅に上回っている。これは、フィッシング対策(DMARC)に戦略的な重点を置く一方で、インフラの耐障害性(DNSSEC/MTA-STS)への投資が不十分であることを浮き彫りにしている。

さらに、DNSSECの採用率はわずか 18.0%という低い水準にあるため、米国はノルウェー(45.6%)よりも脆弱な状態にある。この格差は、米国がフィッシング対策(DMARC)に戦略的焦点を当てつつ、インフラ耐性(DNSSEC/MTA-STS)への投資が不足している現状を浮き彫りにしている。米国がサイバーセキュリティ分野での主導権を維持するためには、次の段階として単純な本人確認を超え、グローバルな電子メールエコシステムの完全な暗号化と完全性確保へと移行する必要がある。

指標から実行へ:実施のギャップを埋める

米国には、電子メール認証の分野で世界をリードするための基盤となる実績があります。残された課題は運用面での取り組みです。すなわち、監視から執行への移行、そして多くの組織が複雑さを理由に先送りしがちなトランスポート層の保護機能を追加することです。

PowerDMARCは、以下の3つの機能を通じてこの課題を解決します:

自動化された適用手順: 正当なメールをブロックすることなく、フォーチュン500企業および中小企業を「p=none」から「p=reject」へ移行する。

インフラの簡素化: PowerSPFを活用して10ルックアップのSPF制限を解決し、MTA-STSポリシーをホストし、単一のクラウドネイティブダッシュボードからDNSSECレコードの検証を行えます。

規制対応体制: 以下の準拠を支援: PCI-DSS 4.0、HIPAA、およびCISA基準への準拠を単一のプラットフォームから支援します。

PowerDMARCの視点

「米国は、 AIを活用した フィッシングの主要な実験場となっている。米国のITチームは記録の公開はしっかり行っているが、正当なメールをブロックしてしまうことを恐れて、対策の実施には消極的だ。2026年において、監視のみの対応は、実質的に高度ななりすまし攻撃への降伏に等しい。能動的防御への移行は、今年を特徴づけることになる情報漏洩から身を守るために不可欠な対策である。」

PowerDMARCチーム

結論:可視化から防御へ

2026年のデータは明白です。米国の組織は基盤を築き上げました。次のステップは、その徹底です。AIを活用したなりすまし技術が、初回の試みで経営幹部の口調や文章スタイルを模倣できるような時代において、監視のみに留まる姿勢は、対応の遅れにつながります。

レコードが自動的に管理されている場合、p=none から p=reject への移行には、四半期単位ではなく数週間しかかかりません。いち早く移行するセクターは、電子メールを最大の攻撃対象から、信頼できる通信チャネルへと変えることになるでしょう。

「可視化」から「能動的防御」へと移行する準備はできていますか?

デモを予約する