なりすましメールを遮断できる「DMARC」有効設定はわずか1.9%
GMOインターネットグループのGMOブランドセキュリティ株式会社(代表取締役社長:中川 光昭、以下「GMOブランドセキュリティ」)は、全国の自治体(47都道府県および815市区(政令指定都市20+772市+東京23区)が保有する、ドメイン末尾が「.lg.jp」である計862団体を対象に、送信ドメイン認証技術『DMARC(※1)(Domain-based Message Authentication, Reporting, and Conformance)』の導入状況に関する調査を実施いたしました。
調査の結果、全体の約3分の2(66.9%)にあたる577団体がDMARC未導入であり、多くの自治体がなりすましメールのリスクにさらされている実態が判明しました。さらに、導入済み自治体であっても9割以上が監視のみの設定に留まっており、不正メールを実際に遮断できる「quarantine」「reject」設定を実施している自治体はわずか1.9%に留まっていることが分かりました。
■調査結果のサマリー
1.
全体の66.9%(577団体)がDMARC未導入。 依然として多くの自治体がなりすましメールを送られ放題の「高リスク」状態にある。
2.
自治体の種別により導入状況が二極化。政令指定都市(70.0%)、都道府県(68.1%)に対し、東京23区は30.4%、市は30.1%と、導入状況に
2倍以上の格差がある。
3.
「none(監視のみ)」設定が9割以上。 導入済みの285団体のうち、94.3%(269団体)が監視のみ実施する「none」設定であり、不正メールを遮断する強制力を持っていない。
4.
実効性のある「quarantine(隔離)/ reject(拒否)」設定はわずか1.9%。 全862団体のうち、住民を保護できる設定「quarantine(隔離)/ reject(拒否)」を行っているのは16団体に留まる。
■調査概要
・ 調査期間 :2026年2月23日(月・祝)
・ 調査主体 :GMOブランドセキュリティ株式会社
・ 調査対象 :
全国の自治体(47都道府県および815市区(政令指定都市20+772市+東京23区))計862団体
・ 調査テーマ :「自治体DMARC導入状況」実態調査
・ 調査方法:インターネット上に公開されているドメイン情報を自社ツールで調査し集計
【調査の背景】
近年のデジタル化に伴い、自治体を装ったフィッシングメールやなりすましメールが急増しており、住民の個人情報漏洩や金銭被害が深刻な課題となっています。DMARCは、SPF(※2)やDKIM(※3)といった認証を補完し、なりすましメールを「quarantine(隔離)」や「reject(拒否)」することで、悪意のあるメールが住民に届くのを防ぐ極めて有効な技術です。またDMARCを「quarantine(隔離)」に設定することで、視覚的に公式なメールが判別しやすくなる「自治体ロゴ付きメール(BIMI(※4))」の導入が可能となる重要な技術でもあります。
本調査では、全国自治体のDMARC導入状況を可視化し、メールセキュリティ対策の現状を明らかにしました。
(※1)DMARC(ディーマーク)
SPF・DKIMの認証失敗時に「メールを遮断するか」等の処理を送信者が指示する仕組み。none(監視のみ)、quarantine(隔離)、reject(拒否)の3段階があり、なりすまし防止の要となります。
(※2)SPF(エスピーエフ)
送信元サーバーのIPアドレスをあらかじめ公開し、正しい場所から送られたメールかを判定する技術。導入が比較的容易な反面、メールが転送されると認証に失敗しやすいという弱点があります。
(※3)DKIM(ディーキム)
メールに電子署名を付与し、送信者の正当性と内容の改ざんがないことを証明する技術。数学的な鍵(公開鍵暗号)を用いるため信頼性が高く、SPFが苦手な転送時でも正しく認証を維持できる強みがあります。
(※4)BIMI(ビミ)
DMARCで厳格な拒否設定を行っている場合に、受信画面で公式ロゴを表示させる規格。一目で本物と判断できるため、なりすまし被害を抑止し、自治体や企業のブランド信頼性とメール開封率を向上させます。
【調査結果の詳細】
1.自治体種別ごとのDMARC導入率
調査の結果、政令指定都市の導入率が70.0%と最も高い数値を示しました。都道府県と並び対策が進んでいる一方で、東京23区や一般市では3割に留まっており、自治体の種別間におけるセキュリティ格差が鮮明になりました。
2.DMARCポリシー設定の内訳
DMARCを導入していても、その「ポリシー(設定内容)」が適切でなければ、なりすましメールは住民に届き続けます。今回の調査では、導入自治体のほとんどが初期段階である「none(監視のみ)」に留まっていることが判明しました。
●
未導入:577団体(66.9%) 【非常に高いリスク】
DMARCレコード自体が存在しません。第三者がその自治体のドメインを名乗ってメールを送っても、受信側で偽物と判断することが困難です。
●
none(監視のみ):269団体(31.2%) 【対策途上】
「なりすまし」を検知しても、メールはそのまま受信者に届きます。現状把握には有効ですが、防御力はありません。
●
quarantine(隔離)/ reject(拒否):16団体(1.9%) 【有効な対策】
不正なメールを自動的に迷惑メールフォルダへ隔離、あるいは受信そのものを拒否します。住民を直接的に保護できる、DMARC本来の目的を達成している状態です。
【本調査結果からの考察と提言】
今回の調査で、都道府県や政令指定都市といった基幹自治体において導入が進んでいることは、一定の成果と言えます。しかし、多くの自治体が「none(監視のみ)」設定から先へ進めていない点は、深刻な課題です。
DMARC導入のゴールは「none」ではなく、不正メールを遮断する「quarantine(隔離)」や「reject(拒否)」の適用(エンフォースメント)にあります。特に住民との接点が多い一般市において、導入率が3割に留まっている現状は、地域住民がフィッシング詐欺の標的になるリスクを放置しているとも捉えかねられません。
自治体には早期のDMARC導入とともに、段階的にポリシーを引き上げ、BIMIも導入しメールセキュリティを可視化し、住民が安心して行政サービスを受けられる環境を構築することが強く求められています。
【自治体ロゴ付きメール(BIMI)/ 行政ロゴ所有証明書(GMC)について】(URL:https://brandsecurity.gmo/security/service/bimi_vmc/)
BIMIは、DMARC(送信ドメイン認証技術)によって認証された正規のメールに、県章や市章などの公式ロゴをメール受信箱に表示させる仕組みです。受信者はロゴを見るだけで、そのメールがなりすましではないことを視覚的に確認できます。GMCは、そのロゴが正当な団体によって使用されていることを証明する電子証明書であり、BIMIを実現するための重要な要素です。これにより、フィッシング詐欺のリスクを低減させると同時に、メールの開封率向上や地域ブランドの信頼性強化に繋がります。
【GMOブランドセキュリティについて】(URL:https://brandsecurity.gmo)
GMOブランドセキュリティは、”すべてのブランドにセキュリティを”というスローガンのもと、ブランド侵害リスクに対して、インターネットを中心に監視サービスや権利行使のサポートを提供しています。また、権利行使の前提となる商標やドメインネームの取得支援や管理サービスも提供しており、ワンストップでブランドを安心・安全な状態に導きます。
GMOブランドセキュリティが提供するサービスは、国内を代表するグローバル企業をはじめ、2025年12月時点で約1,200社にご利用いただいています。
以上
【サービスに関するお問い合わせ先】
●GMOブランドセキュリティ株式会社
営業・マーケティング事業本部 マーケティング部 藤田
TEL:03-5784-1069
E-mail:mrk@brandsecurity.gmo
【 GMOブランドセキュリティ株式会社】(URL:https://brandsecurity.gmo)
所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
代表者 代表取締役社長 中川 光昭
事業内容 ■企業ブランドの構築支援コンサルティング
■ドメイン登録・更新・管理適正化
■ドメインネーム権利者・使用実態調査及びリスク対策
■商標登録支援等ブランド保護
■商標権利者・使用実態調査及びリスク対策
■模倣品・模倣サイト監視等リスク対策
■ブランドTLD登録・活用支援
資本金 1億円
【GMOインターネットグループ株式会社】(URL:https://group.gmo/)
会社名 GMOインターネットグループ株式会社 (東証プライム市場 証券コード:9449)
所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
代表者 代表取締役グループ代表 熊谷 正寿
事業内容 持株会社(グループ経営機能)
■グループの事業内容
インターネットインフラ事業
インターネットセキュリティ事業
インターネット広告・メディア事業
インターネット金融事業
暗号資産事業
資本金 50億円
(C)2026 GMO BRAND SECURITY Inc. All Rights Reserved.
