自社ブランドを騙ったなりすましメールは、もはやIT部門だけの問題ではありません。GMOブランドセキュリティの調査により、国内主要ブランドのメールセキュリティ対策が国際水準から大きく遅れていることが明らかになりました。本記事では調査結果の要点を整理したうえで、優先度別に企業が取るべき具体的なアクションを解説します。調査結果の概要:国内ブランドの適切率はグローバルの約5分の1国内Top50ブランドにおけるSPF/DMARC両設定の「適切率」はわずか4.8%です。グローバルTop50ブランドの23.1%と比べると、約4.8倍の格差が存在します。ここでいう「適切」な状態とは、単に技術を導入しているだけでなく、なりすましメールを実効的に遮断できる以下の設定を指します 。SPF: v=spf1 -all(拒否設定)DMARC: p=reject(拒否)または p=quarantine(隔離)の設定GMOブランドセキュリティ株式会社が2026年3月に実施した調査では、InterbrandのBest Global Brands 2025およびBest Japan Brands 2025に選出された計100社が保有する7,600ドメインを対象に、なりすましメール対策技術「SPF(※1)」と「DMARC(※2)」の設定状況を確認しました。(※1)SPF(エスピーエフ)送信元サーバーのIPアドレスをあらかじめ公開し、正しい場所から送られたメールかを判定する技術。導入が比較的容易な反面、メールが転送されると認証に失敗しやすいという弱点があります。(※2)DMARC(ディーマーク)SPF・DKIMの認証失敗時に「メールを遮断するか」等の処理を送信者が指示する仕組み。none(監視のみ)、quarantine(隔離)、reject(拒否)の3段階があり、なりすまし防止の要となります。グローバルvs国内 主要指標比較 なぜ日本企業の対策は遅れているのか国内外で格差が生じている主な背景には、規制による強制力の有無があると考えられます。欧州では、GDPR(※3)やNIS2指令(※4)が求める「適切な技術的措置」の一環として、メール認証の設定が事実上の義務(コンプライアンス要件)となっています。TLD別の適切率では、「.fr(56.0%)」、「.es(44.0%)」、「.de(44.0%)」、「.it(44.0%)」といった欧州のccTLD(カッコ内は適用率)が上位を占めており、規制が対策水準を引き上げていることが数字に表れています。一方、日本では同等の法的要件が整備されておらず、企業の自主的な取り組みに委ねられている状態が続いています。しかし、フィッシング詐欺やビジネスメール詐欺による被害は急増しており、「自社がやられるまで対応しない」という姿勢は今や許容されるものではありません。ポイント:SPFだけでは不正を「検出」できても「遮断」はできません。なりすましメールを実際に止めるには、DMARCとの併用が不可欠です。(※3)GDPR(ジーディーピーアール)EU域内の個人データ保護を目的とした厳格な法規則。個人データの処理や移転に厳しい制限を課し、違反時には多額の制裁金が科されるのが特徴です。日本企業であってもEU居住者のデータを扱う場合は対象となるため、グローバル展開におけるプライバシー保護の国際基準となっています。(※4)NIS2指令(エヌアイエスツーしれい)EU全域のサイバーセキュリティ水準を底上げするための新たな法的枠組み。従来の対象範囲を大幅に拡大し、エネルギーや金融だけでなく製造や流通などの重要部門にも高度なリスク管理と報告義務を課します。サプライチェーン全体の安全性を重視しており、関連企業の対応が強く求められる仕組みです。見落とされがちな「休眠ドメイン」という盲点適切率が最も低いのは、企業がブランド保護目的に取得し、メール送受信に使っていない非アクティブ(休眠)ドメインです。国内ブランドの休眠ドメインの適切率はわずか1.3%で、2,518件が完全に無防備な状態で放置されています。休眠ドメインは担当者の目が届きにくいため、攻撃者がなりすましメールの「踏み台」として悪用しやすい状況にあります。メールを一切送受信していないドメインであっても、SPF/DMARCが未設定であれば第三者がそのドメインを詐称してメールを送信することは技術的に可能です。企業が取るべき6つのアクション:優先度別ロードマップ今回の調査結果を踏まえ、企業が対応すべきアクションを優先度別に整理します。「どこから手をつければよいかわからない」という担当者は、この順序で進めることをおすすめします。 6アクションの優先度サマリー優先度アクション対象ドメイン目安期間PRIORITY 1①メール利用ドメインのDMARC強化MXあり即時PRIORITY 1②アクティブ・非メールドメインへのSPF/DMARC強化Aレコードあり・MXなし即時PRIORITY 2③非アクティブドメインの一括SPF/DMARC強化休眠ドメイン全件3ヶ月以内PRIORITY 2④ドメインポートフォリオの棚卸しと防衛取得未取得ドメイン3ヶ月以内PRIORITY 3⑤定期的なDNSモニタリング体制の確立全ドメイン継続PRIORITY 3⑥グローバルベンチマークとの継続比較全ドメイン継続(半年ごと)PRIORITY 1 — 即時対応メールを送受信しているドメインと、送受信はしていないがWebで使用中のドメインに、今すぐSPF/DMARCの拒否設定を適用します。① メール利用ドメインのDMARC強化MXレコード(※5)を持つ、実際にメール送受信に使用しているドメインへの対応が最優先です。現在`p=none`または未設定の状態では、なりすましメールを一切遮断できていません。 SPF/DKIMの設定状況を確認し、正規メール送信源(ESP、CRM、基幹システム、SFAなど)を完全に棚卸しします。 棚卸し完了後、DMARCを`p=none(監視のみ)`に設定し、DMARCレポート(rua/rufタグ)の受信を開始します。 毎週レポートを参照しながら認証の整合性(アライメント(※6))を確認し、問題がなければ`p=quarantine`(隔離)から`p=reject`(完全遮断)へ段階的に移行します。(※5)MXレコード「そのドメイン宛のメールを、どのメールサーバーに配送するか」を指定するための設定(DNSレコード)です。私たちが手紙を送るときに住所が必要なように、インターネット上でメールを送る際にも「配送先」を知る必要があります。MXレコードはその「住所録」の役割を果たします。(※6)アライメントメールの表示上の差出人(Header From)と、SPF/DKIMで認証されたドメインが一致していること。SPFとDKIMの両方がアライメント不一致(または認証失敗)となった場合、DMARCは「失敗」と判定されます。ポリシー(p=)なりすまし遮断効果推奨用途noneなし(監視のみ)初期の送信環境把握フェーズquarantine部分的(迷惑メール振り分け)none→rejectへの移行中reject完全遮断目標とすべき最終設定注意点:`p=reject`へ移行する前に、すべての正規送信源がSPF/DKIMのアライメントを満たしていることを確認してください。確認を怠ると正規メールが遮断される恐れがあります。貴社のDMARCポリシーの状況は「GMOなりすましZERO」から診断できます。② アクティブ非メールドメインへの即時SPF/DMARC強化Aレコード(※7)は存在するがMXレコードがない(Webサイトとして使用しているがメールは送信していない)ドメインも、放置すれば即座になりすましに悪用される可能性があります。SPF: v=spf1 -all(拒否設定)を設定します。DMARC: p=rejectを設定します。メールを送受信していないドメインへのレポート受信先(rua(※8))の設定は必須ではありませんが、監視目的で設定しておくことが望ましいです。「使っていないから大丈夫」という認識がこのカテゴリの最大のリスクです。アクティブドメインの対策と並行して進める価値があります。(※7)Aレコード(エーレコード)ドメイン名を数値で表されたIPアドレスに変換し、通信の宛先を指定する設定。WEBサイトの表示やメール送受信の際に、どのサーバーへ接続すべきかを指し示すインターネット上の「住所録」のような役割を果たします。全てのドメイン運用の基本であり、SPFなどの認証技術が正しく機能するための土台としても不可欠な要素です。(※8)rua(DMARC集計レポート)自社ドメインを名乗るメールの「認証結果」や「送信元IPアドレス」をまとめたレポートの送信先を指定する設定です。これにより、世界中でのなりすまし発生状況や、自社システムの認証成功率を可視化できます。PRIORITY 2 — 3ヶ月以内休眠ドメインの一括対応と、ドメインポートフォリオ全体の棚卸しを3ヶ月以内に完了させます。③ 非アクティブドメインの一括SPF/DMARC強化AレコードとMXレコードも存在しない休眠ドメインへの対応です。今回の調査で国内ブランドの休眠ドメイン適切率が1.3%にとどまっていたように、このカテゴリは最も手薄になりやすい箇所です。自社が保有する全ドメインをTLD別(主要gTLD・新gTLD・主要ccTLD含む)に棚卸しします。全休眠ドメインに`v=spf1 -all`と`p=reject`を設定します。設定後は定期的なDNS確認により、設定が維持されているかを確認します。グローバル最高水準のAmazon(適切率96.4%)は、アクティブ・非アクティブを問わず全ドメインに`v=spf1 -all`と`p=reject`を徹底する「ゼロトレランス管理」を実践しています。これが目指すべき水準です。④ ドメインポートフォリオの棚卸しと防衛取得自社が保有していない「自社ブランド名+TLD」の組み合わせは、第三者に取得されてなりすましに使われるリスクがあります。主要gTLD・新gTLD・主要ccTLDを対象に、自社ブランド名の組み合わせで未取得のドメインを洗い出します。悪用リスクの高い順(知名度・類似性)に防衛取得を検討します。取得後は即座に`v=spf1 -all`と`p=reject`を設定します。 PRIORITY 3 — 継続対応全ドメインの設定状況を定期的に監視し、グローバル水準との比較を継続します。⑤ 定期的なDNSモニタリング体制の確立DMARCは設定して終わりではなく、継続的な監視が不可欠です。設定の陳腐化・送信源の変更・不正利用のいずれも、モニタリングなしには発見できません。DMARCの集約レポート(rua)と障害レポート(ruf(※9))を定期的に確認できる体制を整えます。不正なドメイン利用が検知された場合に担当者へ自動通知が届くアラートフローを構築します。SPFレコードの送信元IPも定期的に見直し、不要な送信源が残存していないか確認します。複数ドメインのレポートを一元管理できるDMARC管理ツールの活用も有効です。(※9)ruf(DMARC失敗レポート)認証に失敗した個別のメールごとに発行される詳細レポートです。失敗したメールのヘッダー情報や送信元など、具体的な内容を確認できるため、なりすましの詳細調査や設定ミスの原因究明に役立ちます。⑥ グローバルベンチマークとの継続比較自社の対策水準を客観的に評価し続けることが、継続的な改善につながります。Amazon(96.4%)やGoogle(89.7%)が高い割合で実現している v=spf1 -all(SPF)および p=reject(DMARC)の適用水準をベンチマークとして設定し、これらグローバル企業の導入水準と自社の現状を半年ごとに比較し、対策の進捗を管理します。最終目標:アクティブドメインの適切率96%以上(Amazonの現在水準)を長期目標として設定し、BIMI/VMCの導入でブランドの信頼を受信トレイ上で可視化します。まとめ:メールセキュリティはブランドを守る「経営責任」なりすましメールによるフィッシング被害は、消費者・取引先への直接的な金銭的・情報的損害にとどまらず、長年築いたブランドへの信頼を根底から覆しかねない経営リスクです。メールセキュリティはIT部門の技術課題ではなく、ブランドを守るための経営責任として位置づけ直す必要があります。対応の優先順位は明確です。まずメール利用ドメインと非メールアクティブドメインへの即時対応、次いで休眠ドメインの一括強化とポートフォリオ整理、そして継続的なモニタリングとグローバル水準との比較です。今日できることは、自社が保有する全ドメインのSPF/DMARC設定状況を確認することです。出典:GMOブランドセキュリティ株式会社「主要ブランドにおけるメールセキュリティの実態」(2026年4月7日公開) お問い合わせこちら