Go to Qiita Advent Calendar Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@Intect-i(山崎 祐介)

フィッシング対策協議会「送信ドメイン認証・導入実施状況(2023–2024)」を実務に落とす:目的/背景/期待効果と即対応チェックリスト(2025年9月)

Posted at

■CTA(下記でサブスク『セキュリティ論理思考トレーニング(週次)』提供しています。)
Slackで毎週の訓練(テンプレ+添削)を体験:30日無料(カード登録)
→ 申込ページ:https://www.notion.so/270e2923c1ef80bfa4accbca9009d549

■タイトル
フィッシング対策協議会「送信ドメイン認証・導入実施状況(2023–2024)」を実務に落とす:目的/背景/期待効果と即対応チェックリスト(2025年9月)

■冒頭要約
協議会WGが、ISP・CATV・モバイル・フリーメール各社のSPF/DKIM/DMARC/BIMIの導入・設定状況を公表した。導入の“有無”だけでなく強度と運用の差が実害に直結する。本文を目的→背景→効果で整理し、今日からの是正手順を提示する。
一次情報リンク(出典)
• フィッシング対策協議会:送信ドメイン認証技術導入実施状況(2025-09-16)
https://www.antiphishing.jp/report/wg/cert_20250916.html
• JPCERT/CC WEEKLY REPORT(2025-09-25)
https://www.jpcert.or.jp/wr/

(1)公開する目的(Why now?)
• 国内メール基盤の実装強度の底上げ(導入・設定のばらつきを可視化して是正を促す)。
• 到達率×なりすまし抑止を“数値・設定粒度”で議論できる材料の提供。
• 事業者・利用組織が共通基準(どこまで強めるか)を持つための指標整備。
(2)公開に至った背景(What’s going on?)
• 普及は進む一方、DMARCのポリシー強度(none/quarantine/reject)とレポート運用の成熟差が残存。
• 総務省要請や主要プロバイダの認証要件化が進み、“やる/やらない”から“いつまでにどの水準”へ。
• フィッシング増加により、受信側の**PCY(方針適用)/RPT(レポート)**を含む“面の対策”が不可欠。
(3)公開により期待される効果(So what?)
• 送信経路棚卸・SPF include 是正・DKIM鍵長/ローテ・DMARC段階移行など、具体的是正行動が加速。
• 事業者間でPCY/RPTをそろえ、正当メール到達率の維持と偽装ブロックの両立。
• 「9/16公表」を社内稟議の根拠にし、p=reject化やBIMI導入の意思決定が前進。

■即対応チェックリスト(“今日やる”)

  1. 送信ドメイン棚卸:MA/CRM・請求通知・CSツール等の第三者送信を洗い出し、SPFのinclude漏れ/From整合を是正。
  2. DKIM強化:2048bit鍵・サブドメイン別鍵・定期ローテを標準化。転送/メーリス経路はARC検討。
  3. DMARC段階移行:p=none→quarantine→rejectを90日刻みで計画。RUA/RUFをSOCに集約し失敗原因を定例レビュー。
  4. 受信ポリシー整備:ゲートウェイ/クラウドで**PCY(方針尊重)/RPT(レポート送出)**を有効化し、送信側のp=rejectを尊重。
  5. BIMI導入の前提整備:主要通知ドメインをreject/quarantineに到達後、VMC準備→表示確認手順をヘルプに追加。
  6. 変更管理ルール:新規SaaS/委託配信/M&A/ドメイン新設時はDNS・送信経路CR必須を規程化。

■用語メモ(初級向け)
• PCY(Policy):受信側で送信者のDMARCポリシー(none/quarantine/reject)を適用すること。
• RPT(Report):受信側がDMARCレポートを送信者へ返す運用(集計=RUA/詳細=RUF)。失敗原因の可視化に必須。
• VMC(Verified Mark Certificate):検証済みブランドロゴ証明書。BIMI表示に用い、ユーザに正規性の視覚ヒントを与える。

■経営向け1枚サマリ
• 要旨(100字):導入の“有無”ではなく強度と運用差が被害・売上に直結。送信はp=reject化とRUA/RUF運用、受信はPCY/RPTの統一で面の守りを完成させる。9/16公表を稟議の根拠にせよ。
• 優先度:High(今期の全社KGI対象)
• Who/What/When
 o 情シス(送信):全送信ドメイン棚卸→p=reject化計画(T+30日で主要通知ドメイン達成)。
 o SOC/ゲートウェイ(受信):PCY/RPTを全ドメインで有効化、誤検知率と偽装検知KPIを四半期レビュー。
 o 広報/ブランド:VMC取得とBIMI表示の運用ガイドを整備し、開封安全性の可視化を開始(T+60日)。
• 根拠URL:協議会WG本文(上掲)/JPCERT/CC Weekly(上掲)

■参考リンク
• フィッシング対策協議会:WGレポート本文
https://www.antiphishing.jp/report/wg/cert_20250916.html
• JPCERT/CC WEEKLY REPORT(2025-09-25)
https://www.jpcert.or.jp/wr/

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?