主要行、「SPF」の利用進むも約7割が「DMARC」未導入
国内主要銀行の約7割が、なりすましメール対策のひとつであるメール送信認証「DMARC(Domain-based Message Authentication Reporting and Conformance)」を導入していないことがわかった。
日本プルーフポイントが、4月に国内の主要行におけるメール認証の実施状況について調査を実施し、結果を取りまとめたもの。調査対象は日銀のほか、都市銀行など大手7行、ネット銀行を含む新形態9行、その他1行の計18行。
同社によると、なりすましメール対策のひとつであるDMARC認証を導入している銀行は5行にとどまり、13行は導入していないことがわかった。
「DMARC」では、ポリシーによって「Reject(拒否)」「Quarantine(隔離)」「None(何もしない)」といった対応を受信側に指定することができるが、「Reject」ポリシーを導入しているのはわずか1行で、のこる4行はいずれも「None」の設定だった。
一方、「SPF(Sender Policy Framework)」に関しては、調査対象となった18行すべてが対応しており、認証失敗時の対応を指定したり、レポートを参照できる「DMARC」まで対応が進んでいないことがわかった。
グローバルと比較すると、Forbes Global 2000の金融サービス業に対する調査では、47%が「DMARC」を導入。17%が「Reject」ポリシーを指定していた。
(Security NEXT - 2021/06/02 )
ツイート