GMOブランドセキュリティ調査、国内大学の95%以上でメールセキュリティ対策に不備、なりすまし「高リスク」状態と判明

GMOブランドセキュリティは国内338大学を対象にメールセキュリティ調査を実施。その結果、なりすましメールを効果的に防ぐSPFとDMARCを適切に設定している大学はわずか4.1%に留まることが判明した。これは国内主要ブランドの導入率と同水準で、教育機関における対策の遅れが浮き彫りになった。8%の大学は全く無防備な状態であり、同社は大学のブランドと信頼を損なう経営課題として、早急な対策を提言している。
調査NQ 83/100出典:PR Times

📋 記事の処理履歴

  • 📰 発表: 2026年5月18日 22:30
  • 🔍 収集: 2026年5月18日 14:01
  • 🤖 AI分析完了: 2026年5月20日 05:23(収集から39時間22分後)
GMOインターネットグループのGMOブランドセキュリティ株式会社(代表取締役社長:中川 光昭)は、国内338大学(国立85校・公立93校・私立160校)が保有するドメインを対象に、なりすましメール対策技術である『SPF』および『DMARC』の導入状況に関する調査を実施しました。

調査の結果、SPFとDMARCの両方を有効な設定にした「適切」な状態の割合は、調査対象338大学中わずか4.1%にとどまることが判明しました。これはGMOブランドセキュリティが2026年4月に公表した国内Top50ブランドの適切率4.8%と同水準であり、日本の教育機関においてもメールセキュリティ対策の遅れが浮き彫りになりました。「適切」な状態にないドメインはSPF/DMARCの未設定または不備という脆弱な状態にあり、大学名を騙ったなりすましメールを容易に送信可能な「高リスク」状態にあることが明らかになりました。

【調査結果のサマリー】
1. 国内338大学の適切率は4.1%。国立・公立・私立いずれも低水準
適切に設定している大学は14校に過ぎず、設置区分を問わず極めて低水準です。
2. DMARCは「監視のみ」が大半。設定しても遮断できていない実態
実際に遮断可能な「reject」はわずか1.5%、「quarantine」は2.7%で、過半数が遮断効果のない「none(監視のみ)」でした。DMARCを導入しながらも実効性のある設定に移行できていない状況が浮き彫りになりました。
3. 27校が完全無防備。SPFもDMARCも未設定
SPFもDMARCも全く設定されていない大学が27校(8.0%)あり、フィッシング詐欺の踏み台として悪用されるリスクが極めて高い状況です。
4. 有効な設定が確認できた大学の一覧(2026年4月時点)
【国立】北海道大学、山形大学、東京大学、一橋大学、横浜国立大学
【公立】国際教養大学、横浜市立大学、大阪公立大学、長崎県立大学
【私立】学習院大学、芝浦工業大学、日本大学、玉川大学、同志社女子大学

【考察と提言】
今回の調査で、日本の大学におけるなりすましメール対策の深刻な遅れが明確になりました。SPF設定率は91.4%と高い一方、実効性のあるDMARC(reject/quarantine)設定率はわずか4.1%で、対策の「形式」と「実効性」に大きな乖離があります。
大学ドメインは学生、保護者、受験生などが信頼して利用するため、悪用されれば個人情報漏洩や金銭被害に加え、大学のブランドと信頼を根底から損ないます。これは情報システム部門だけでなく、大学の社会的責任として取り組むべき経営課題です。

GMOブランドセキュリティは以下の対策を提言します。
1. DMARCポリシーの早期強化:「none」で設定している178校は、早急に「quarantine」または「reject」へ移行を推奨。
2. 完全無防備ドメインへの即時対応:未設定の27校は、最低限「SPF: v=spf1 -all」と「DMARC: p=quarantine」の即時設定を強く推奨。
3. DMARCレポートによる継続的な監視:レポートを活用し不正利用を継続的に監視・分析する体制の構築が重要。
4. BIMIの導入による信頼性の可視化:DMARCの適切な運用を前提に、BIMIとVMCの取得でメールの正当性を視覚的に示せます。

【調査の背景】
近年、大学を騙ったフィッシングメールや標的型攻撃メールが急増しています。SPFは送信元を検出しますが、DMARCと組み合わせることで初めてなりすましメールを「遮断」できます。本調査は、国内大学の対策実態を可視化し、課題を明らかにしました。

よくある質問

この調査で明らかになった日本の大学におけるメールセキュリティの主な問題点は何ですか?

国内338大学のうち、なりすましメール対策技術であるSPFとDMARCを両方とも適切に設定している割合はわずか4.1%でした。また、DMARCを設定している大学の多くが「監視のみ(none)」のポリシーに留まり、実際に不正なメールを遮断できていない実態が明らかになりました。さらに、8.0%にあたる27校はSPFもDMARCも未設定の「完全無防備」な状態でした。

なりすましメール対策におけるSPFとDMARCの役割の違いは何ですか?

SPFは、送信元サーバーのIPアドレスを検証し、正当なサーバーから送られたメールかを判定する技術です。一方DMARCは、SPFやDKIMの認証が失敗した場合に、そのメールを「受信拒否(reject)」や「隔離(quarantine)」するかを送信側が指定する仕組みです。SPFだけでは不正を検知できても遮断はできず、DMARCと組み合わせることで初めて実効性のあるなりすまし対策が可能になります。

調査でメールセキュリティ対策が適切と判断された大学はありますか?

はい。2026年4月時点で、北海道大学、東京大学、一橋大学などの国立大学5校、国際教養大学、横浜市立大学などの公立大学4校、学習院大学、日本大学などの私立大学5校、合計14校で適切な設定が確認されました。

GMOブランドセキュリティは大学に対してどのような対策を提言していますか?

主に4つの対策を提言しています。1) DMARCポリシーを監視モード(none)から隔離(quarantine)または拒否(reject)へ早期に移行すること、2) 対策が未設定の大学は即時にSPFとDMARCの基本設定を行うこと、3) DMARCレポートを活用し継続的に監視・分析する体制を構築すること、4) 信頼性向上のためBIMIを導入すること、です。

なぜ大学のメールセキュリティ対策は重要なのでしょうか?

大学のドメインは学生、保護者、受験生、研究機関など多くの人々から高い信頼を寄せられています。このドメインが悪用されてなりすましメールが送信されると、フィッシング詐欺による個人情報漏洩や金銭被害につながるだけでなく、大学のブランドイメージや社会的信頼を根本から損なう重大なリスクがあるためです。

Newsroom 一覧に戻る (214)