主要行、「SPF」の利用進むも約7割が「DMARC」未導入

国内主要銀行の約7割が、なりすましメール対策のひとつであるメール送信認証「DMARC（Domain-based Message Authentication Reporting and Conformance）」を導入していないことがわかった。

日本プルーフポイントが、4月に国内の主要行におけるメール認証の実施状況について調査を実施し、結果を取りまとめたもの。調査対象は日銀のほか、都市銀行など大手7行、ネット銀行を含む新形態9行、その他1行の計18行。

同社によると、なりすましメール対策のひとつであるDMARC認証を導入している銀行は5行にとどまり、13行は導入していないことがわかった。

「DMARC」では、ポリシーによって「Reject（拒否）」「Quarantine（隔離）」「None（何もしない）」といった対応を受信側に指定することができるが、「Reject」ポリシーを導入しているのはわずか1行で、のこる4行はいずれも「None」の設定だった。

一方、「SPF（Sender Policy Framework）」に関しては、調査対象となった18行すべてが対応しており、認証失敗時の対応を指定したり、レポートを参照できる「DMARC」まで対応が進んでいないことがわかった。

グローバルと比較すると、Forbes Global 2000の金融サービス業に対する調査では、47％が「DMARC」を導入。17％が「Reject」ポリシーを指定していた。

（Security NEXT - 2021/06/02 ）ツイート