新研究:マサチューセッツ州の大手組織でDMARCを完全施行しているのはわずか42%
Red Siftが2026年4月に発表した調査が、マサチューセッツ州におけるDMARC施行の深刻な実態を明らかにしました。あなたのメールセキュリティと到達率への影響を確認してください。
James Chen
2026年4月5日
マサチューセッツ州の大手組織の半数以上が、いまだフィッシングやドメインなりすましのリスクにさらされています。メール認証の標準規格を完全に施行していないためです。最新のサイバーセキュリティ分析がその実態を数字で明らかにし、企業ドメインからメールを送信するすべての経営者・マーケター・セキュリティ担当者にとって、見過ごせない警告となっています。
調査結果:依然として過半数がリスクにさらされている
サイバーセキュリティ企業Red Siftの調査によると、マサチューセッツ州の大企業・非営利団体・公的機関の上位100組織のうち、メール認証標準規格であるDMARCを完全に施行しているのはわずか**42%**にとどまっています。
Axios Bostonによると、マサチューセッツ州のサンプルの内訳は以下の通りです:
- 26% が、疑わしいメールの隔離など、部分的な施行を実施している。
- 28% は
DMARCを実質的に施行しておらず、不正メールの受動的なモニタリングと報告のみを行っている。 - 4% はメールセキュリティのプロトコル自体を一切導入していない。
この傾向はマサチューセッツ州にとどまりません。Red Siftが7州にわたる700ドメインを分析した結果、43%がDMARCプロトコルを施行していないか、そもそも導入していないことが判明しました。完全施行に達していたのはわずか35%でした。
とりわけマサチューセッツ州において、このギャップは重大な意味を持ちます。同州は医療・バイオテクノロジー・高等教育・金融サービス・防衛産業の中枢であり、これらの分野では信頼を前提とした重要なビジネスコミュニケーションがメールに大きく依存しているからです。
「メールを送っている組織は、すべてが攻撃の標的になり得る」と、Red SiftのアライアンスおよびパートナーシップVP、Brian Westnedge氏は警告しています。
「部分的な」施行では不十分な理由
DMARC(Domain-based Message Authentication, Reporting and Conformance)は、認証チェックに失敗したメールの取り扱い方を受信メールサーバーに指示するDNSポリシーです。なりすましメールを拒否または隔離し、受信トレイに届くメールが本当に正規の送信元から来たものであることを保証します。
問題は、DMARCレコードを公開することと、それを実際に施行することは別物だという点です。多くの組織がp=noneポリシーでDMARCレコードを公開していますが、これは可視化にはなるものの、なりすましメールが受信トレイに届くのを防ぐことはできません。
多くの組織は妥協案として、認証に失敗したメールを拒否せずスパムフォルダに振り分ける「隔離モード」のまま運用しています。しかし専門家はこれを真の防護策とは見なしていません。特に信頼できる連絡先から届いたように見えるメールの場合、ユーザーは迷惑メールフォルダを確認し、そのメールを開いてしまうことが少なくないからです。これがフィッシングや詐欺の成功につながる継続的なリスクとなっています。
より広範な認証危機の実態
マサチューセッツ州の調査は例外的な事例ではなく、世界規模の構造的な問題を反映しています。2025年第2四半期の分析では、世界で最も多くアクセスされる1,000万ドメインのうち、有効なDMARCレコードを公開しているのはわずか約**18%にすぎず、拒否ポリシーを完全施行しているのは約4%**にとどまっています。
明確な成熟度格差も生じています。大企業は施行に向けて着実に前進している一方、多くの成長途上の企業はモニタリングのみの段階に留まっています。Fortune 500企業においても、500社中475社が導入しているものの、施行レベルのポリシーに達しているのは80%超——つまり上位企業でさえ、5社に1社は施行の閾値を超えていないのが実情です。
