ScanNetSecurityの調査によると、国内の大学のうちSPF(Sender Policy Framework)とDMARCを共に有効な設定で運用しているのはわずか14校、全体の4.1%にとどまることが判明した。送信ドメイン認証は10年以上前から普及している基礎技術だが、教育機関での実装は依然として進んでいない実態が浮き彫りになった。
なぜ大学が狙われやすいのか #
大学ドメインは入試案内、奨学金通知、学生/教員宛の業務連絡など、外部に対して信用度が高い。SPF/DMARCで保護されていなければ、攻撃者は「○○大学」を名乗るメールを自由に送出でき、受験生・学生・取引業者を標的にしたフィッシングや業務メール詐欺の温床になる。総務省も送信ドメイン認証を強く推奨してきたが、運営費が逼迫する中小規模大学では導入の優先順位が下がりがちだ。
「設定だけ」では止められない #
DMARCのポリシーは none → quarantine → reject と段階的に強められるが、none のままでは受信側がレポートを集めるだけで偽装メールは弾かれない。今回の4.1%という数字は、宣言の有無だけでなく運用の質まで踏み込んで初めて意味を持つ。被害が顕在化していなくても、自ドメインがフィッシング配信の踏み台に使われている可能性は十分にある。導入済みの大学も、DMARCレポートを定期的に確認し、段階的にポリシーを強化する運用へ移行すべきだ。
なお自ドメインの設定状況は dig TXT _dmarc.example.ac.jp などで誰でも確認できる。公開情報なので、サプライチェーン側の担当者が取引先大学の認証状況を点検し、ハイリスク先はメール経由の依頼を電話やWeb経由に切り替える、といった防衛策も現実的だ。
COMMENTS 0
No comments yet — be the first to leave one.