PSI CyberSecurity Insight

トップ> Insight Post一覧> PSI CyberSecurity Insight第78号:なりすましメール対策の要「DMARC」、導入遅れがビジネスメール詐欺リスクを増大

2026年2月13日

株式会社ピーエスアイ

なりすましメール対策の要「DMARC」、導入遅れがビジネスメール詐欺リスクを増大

背景

ビジネスメール詐欺(BEC)やフィッシング攻撃の多くは、「送信者アドレスのなりすまし」に依存しています。攻撃者は、取引先や自社ドメインに似せたメールアドレスを使い、請求書の差し替えや送金指示を偽装します。これに対抗する技術として、SPF・DKIM・DMARCといった送信ドメイン認証が標準化されており、特にDMARCは「なりすましメールを受信側でどのように扱うか」をドメイン所有者がポリシーとして宣言できる重要な仕組みです。しかし国内では、未だにDMARC未導入の企業ドメインも多く、自社ドメインが攻撃に悪用されるリスクが残されたままになっています。「メールセキュリティ製品を導入しているから安心」という企業でも、送信ドメイン認証が未整備では、なりすまし攻撃の根本的な解決にはならないのが実情です。

実態

SPF(Sender Policy Framework)は、「どのIPアドレスから送信されたメールを正当とするか」をDNS上に記載する仕組み、DKIM(DomainKeys Identified Mail)は、メール本文とヘッダに電子署名を付与し改ざんを検知する仕組みです。DMARC(Domain-based Message Authentication, Reporting and Conformance)は、これらSPFとDKIMの検証結果に基づき、「認証に失敗したメールを受信側がどう扱うか(受信許可・隔離・拒否)」をドメイン所有者が宣言します。多くの企業ではSPFやDKIMは設定済みでも、DMARCポリシーが「none(監視のみ)」のまま、あるいは未設定というケースが少なくありません。その場合、受信側メールサーバーは「なりすましを検出しても、最終判断を任意に行う」状態となり、厳格にブロックされない可能性があります。また、送信元がクラウドメール(Microsoft 365 / Google Workspace)とオンプレミスメールのハイブリッド構成になっている場合、SPFレコードの記述ミスやDKIM署名の未設定により、正規メールが「なりすまし」と誤判定される運用上の課題も発生しています。実際の攻撃では、DMARCが「p=none」に設定されているドメインが優先的に標的とされ、なりすましメールの送信元として悪用される傾向が確認されています。

影響と対策

DMARC未導入・誤設定のままでは、自社ドメインを騙ったフィッシングメールが世界中に配送され、取引先や顧客が被害に遭うリスクがあります。また、正規メールがスパム判定されて届かない「メール到達性」の問題も生じ、ビジネスコミュニケーションに支障をきたします。対策としては、まずSPFとDKIMを正しく構成し、その上でDMARCを段階的に導入することが重要です。具体的には、最初は「p=none」でレポートのみ収集し、どの送信元が正規か・不正かを分析します。その後、正規送信元を洗い出してSPF/DKIM設定を整え、「p=quarantine」「p=reject」へと段階的に厳格化します。FortiMailやCheck Point Harmony Email & Collaborationなどのメールセキュリティ製品は、DMARCポリシーの検証・適用をサポートしており、なりすましメールの検知・隔離を強化できます。また、DMARC集計レポート(RUA)と詳細レポート(RUF)を定期的に分析し、なりすまし攻撃の試行状況や正規メールの誤判定を監視する運用体制も必要です。さらに、取引先に対してもDMARC導入を推奨し、業界全体でのなりすまし対策強化を促進することが、自社の被害防止にもつながります。

まとめ

DMARCは「高度なオプション機能」ではなく、なりすましメール対策の必須インフラです。技術自体は標準化されて久しいものの、設計と検証にはノウハウが必要であり、後回しにされがちな領域でもあります。自社ドメインの信頼性を守り、取引先・顧客をフィッシング被害から守るためにも、送信ドメイン認証の整備は急務です。PSIでは、SPF/DKIM/DMARCの設計・導入支援と、メールセキュリティ製品を組み合わせた包括的ななりすまし対策をご提供いたします。

参照記事リンク:

IPA 情報セキュリティ,  DMARC.org,  Microsoft 365 - DMARC の構成

会社概要

社名:株式会社ピーエスアイ(PSI)
所在地:〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立:1994年
TEL:03-3357-9980
FAX:03-5360-4488
URL:https://www.psi.co.jp
事業内容:サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当:内藤
電話番号:(03)3357-9980
Eメールアドレス:psi-press@psi.co.jp

INSIGHT一覧に戻る