🫠

フィッシング対策協議会「送信ドメイン認証・導入実施状況(2023–2024)」を実務に落とす:目的/背景/期待効果と即対応チェックリスト(2

に公開
Security
コンサルタント
idea

■CTA(下記でサブスク『セキュリティ論理思考トレーニング(週次)』提供しています。)
 Slackで毎週の訓練(テンプレ+添削)を体験:30日無料(カード登録)
→ 申込ページ:https://www.notion.so/270e2923c1ef80bfa4accbca9009d549

■タイトル
フィッシング対策協議会「送信ドメイン認証・導入実施状況(2023–2024)」を実務に落とす:目的/背景/期待効果と即対応チェックリスト(2025年9月)

■冒頭要約
協議会WGが、ISP・CATV・モバイル・フリーメール各社のSPF/DKIM/DMARC/BIMIの導入・設定状況を公表した。導入の“有無”だけでなく強度と運用の差が実害に直結する。本文を目的→背景→効果で整理し、今日からの是正手順を提示する。
一次情報リンク(出典)
• フィッシング対策協議会:送信ドメイン認証技術導入実施状況(2025-09-16)
https://www.antiphishing.jp/report/wg/cert_20250916.html
• JPCERT/CC WEEKLY REPORT(2025-09-25)
https://www.jpcert.or.jp/wr/

(1)公開する目的(Why now?)
• 国内メール基盤の実装強度の底上げ(導入・設定のばらつきを可視化して是正を促す)。
• 到達率×なりすまし抑止を“数値・設定粒度”で議論できる材料の提供。
• 事業者・利用組織が共通基準(どこまで強めるか)を持つための指標整備。
(2) 公開に至った背景(What’s going on?)
• 普及は進む一方、DMARCのポリシー強度(none/quarantine/reject)とレポート運用の成熟差が残存。
• 総務省要請や主要プロバイダの認証要件化が進み、“やる/やらない”から“いつまでにどの水準”へ。
• フィッシング増加により、受信側の**PCY(方針適用)/RPT(レポート)**を含む“面の対策”が不可欠。
(3) 公開により期待される効果(So what?)
• 送信経路棚卸・SPF include 是正・DKIM鍵長/ローテ・DMARC段階移行など、具体的是正行動が加速。
• 事業者間でPCY/RPTをそろえ、正当メール到達率の維持と偽装ブロックの両立。
• 「9/16公表」を社内稟議の根拠にし、p=reject化やBIMI導入の意思決定が前進。

■即対応チェックリスト(“今日やる”)

  1. 送信ドメイン棚卸:MA/CRM・請求通知・CSツール等の第三者送信を洗い出し、SPFのinclude漏れ/From整合を是正。
  2. DKIM強化:2048bit鍵・サブドメイン別鍵・定期ローテを標準化。転送/メーリス経路はARC検討。
  3. DMARC段階移行:p=none→quarantine→rejectを90日刻みで計画。RUA/RUFをSOCに集約し失敗原因を定例レビュー。
  4. 受信ポリシー整備:ゲートウェイ/クラウドで**PCY(方針尊重)/RPT(レポート送出)**を有効化し、送信側のp=rejectを尊重。
  5. BIMI導入の前提整備:主要通知ドメインをreject/quarantineに到達後、VMC準備→表示確認手順をヘルプに追加。
  6. 変更管理ルール:新規SaaS/委託配信/M&A/ドメイン新設時はDNS・送信経路CR必須を規程化。

■用語メモ(初級向け)
• PCY(Policy):受信側で送信者のDMARCポリシー(none/quarantine/reject)を適用すること。
• RPT(Report):受信側がDMARCレポートを送信者へ返す運用(集計=RUA/詳細=RUF)。失敗原因の可視化に必須。
• VMC(Verified Mark Certificate):検証済みブランドロゴ証明書。BIMI表示に用い、ユーザに正規性の視覚ヒントを与える。

■経営向け1枚サマリ
• 要旨(100字):導入の“有無”ではなく強度と運用差が被害・売上に直結。送信はp=reject化とRUA/RUF運用、受信はPCY/RPTの統一で面の守りを完成させる。9/16公表を稟議の根拠にせよ。
• 優先度:High(今期の全社KGI対象)
• Who/What/When
o 情シス(送信):全送信ドメイン棚卸→p=reject化計画(T+30日で主要通知ドメイン達成)。
o SOC/ゲートウェイ(受信):PCY/RPTを全ドメインで有効化、誤検知率と偽装検知KPIを四半期レビュー。
o 広報/ブランド:VMC取得とBIMI表示の運用ガイドを整備し、開封安全性の可視化を開始(T+60日)。
• 根拠URL:協議会WG本文(上掲)/JPCERT/CC Weekly(上掲)

■参考リンク
• フィッシング対策協議会:WGレポート本文
https://www.antiphishing.jp/report/wg/cert_20250916.html
• JPCERT/CC WEEKLY REPORT(2025-09-25)
https://www.jpcert.or.jp/wr/

Discussion