プルーフポイントが指摘、日本の銀行のDMARC認証導入率は米国水準未達

日本プルーフポイントは13日、日米の銀行におけるEメール認証の調査結果を発表した。調査は2024年10月に行われ、その結果はEメールの安全性についての深い洞察を提供しており、日本における現状と課題、考察をまとめたものだ。

攻撃者が世界中の企業を攻撃する際に、最も多く使用されるルートはEメールだ。日本プルーフポイントは、日本と米国の銀行ドメインにおけるなりすましメール対策に有効な送信ドメイン認証技術DMARCの導入率を調査した。DMARC認証は詐欺メールの手法である「ドメインのなりすまし」の対策に有効なもので、なりすまされた側の企業が設定した内容に基づいて、自動でなりすましメールを拒否、隔離、あるいは監視のみを行うことができる。

その調査結果によると、日本の銀行の86%がDMARC認証を導入しているが、最も厳しいポリシーの「Reject(拒否)」を導入しているのはわずか10%だった。これに対して、米国の銀行のDMARC導入率は97%で、「Reject(拒否)」導入率が58%という結果が出た。これにより、日本の銀行のセキュリティ強化がさらに必要であることが明らかになった。

また、日本の銀行における「Reject(拒否)」の導入率は、都市銀行・信託銀行が23%、地方銀行・第二地方銀行が5%であったことも明らかになった。これらの結果から、日本の銀行がサイバーセキュリティの強化に取り組む必要性が改めて認識される結果となった。

日本プルーフポイントの増田幸美は、「フィッシングメールによるものとみられるインターネットバンキングの預金の不正送金被害が急増しており、被害件数および被害額ともに過去最多を更新している。ドメインのなりすましは、なりすましメールの中でも、攻撃者が労力少なくかつ巧妙に人を騙すことができるもっとも投資対効果が高い手法だ。その手法を金融機関がDMARCを導入することによって完全に封じることができる。DMARCの対応の難しさは、メールを配信するシステムの多さに比例する。銀行業務は他の業種と比べて、メール配信システムが少ない傾向がある。メール配信システムが少ない銀行であればあるほど、DMARCを早急に実行性のあるポリシーに移行することが可能だ」と述べている。