国内338大学、なりすましメール対策が有効に設定されているのは14校のみ～SPF/DMARCの“適切率”をGMOブランドセキュリティが調査

　GMOブランドセキュリティ株式会社は5月18日、なりすましメール対策技術の「SPF」と「DMARC」について、日本国内の大学における導入状況を調査した結果を発表した。両技術の設定が「適切」な状態の大学は4.1％にとどまることが判明。「大学名を騙ったなりすましメールを容易に送信可能な『高リスク』状態にあることが明らかになった」としている。

　なお、同社が4月に発表した国内Top50ブランドにおける同様の調査結果も4.8％にとどまっていたことから、企業だけでなく、日本の教育機関においてもメールセキュリティ対策の遅れが浮き彫りになったとしている

　SPF（Sender Policy Framework）は、なりすましメール対策のためのドメイン認証技術の1つ。メールの送信元ドメインが詐称されていないかどうかを、IPアドレスを元に検証する仕組み。このほか、なりすましメール対策のドメイン認証技術としては、電子署名をもとにメール内容の改ざんを検知する「DKIM（DomainKeys Identified Mail）」という仕組みがある。

　DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、これらSPFやDKIMの認証に失敗したメールを、受信サーバー側でどのように取り扱うかについて、送信者側で指定しておける仕組みだ。

　今回の調査では、SPFの認証に失敗したメールの拒否（v=spf1 -all）および、DMARCが拒否（p=reject）または隔離（p=quarantine）の設定となっている状態を「適切」の基準とした。

　国内の大学338校（国立85校、公立93校、私立160校）が保有する「.ac.jp」や「.jp」ドメインを対象に4月6日、DNS公開情報を調査・集計した結果、SPFとDMARCを適切に設定している大学は4.1％（14校）だったという。SPFの設定率は91.4％（309校）と比較的高い一方で、DMARCを適切に設定していたのは4.1％（14校）のみだったためだ。DMARCを設定している大学でも、監視のみ（p=none）が大半であり、実効性のある設定に移行できていない状況だと指摘している。

　今回の調査で設定が適切だったとされる14校は、国立が北海道大学・山形大学・東京大学・一橋大学・横浜国立大学、公立が国際教養大学・横浜市立大学・大阪公立大学・長崎県立大学、私立が学習院大学・芝浦工業大学・日本大学・玉川大学・同志社女子大学。

　一方、SPFもDMARCも全く設定されていない「完全無防備」な状態の大学も8.0％（27校）あった。「第三者がそのドメインを詐称してメールを送信することが技術的に容易であり、学生・保護者・取引先に対するフィッシング詐欺の踏み台として悪用されるリスクが極めて高い状況」だとしている。