GMOブランドセキュリティ調査、国内大学の95%以上でメールセキュリティ対策に不備、なりすまし「高リスク」状態と判明

よくある質問

Q: この調査で明らかになった日本の大学におけるメールセキュリティの主な問題点は何ですか？

A: 国内338大学のうち、なりすましメール対策技術であるSPFとDMARCを両方とも適切に設定している割合はわずか4.1%でした。また、DMARCを設定している大学の多くが「監視のみ(none)」のポリシーに留まり、実際に不正なメールを遮断できていない実態が明らかになりました。さらに、8.0%にあたる27校はSPFもDMARCも未設定の「完全無防備」な状態でした。

Q: なりすましメール対策におけるSPFとDMARCの役割の違いは何ですか？

A: SPFは、送信元サーバーのIPアドレスを検証し、正当なサーバーから送られたメールかを判定する技術です。一方DMARCは、SPFやDKIMの認証が失敗した場合に、そのメールを「受信拒否(reject)」や「隔離(quarantine)」するかを送信側が指定する仕組みです。SPFだけでは不正を検知できても遮断はできず、DMARCと組み合わせることで初めて実効性のあるなりすまし対策が可能になります。

Q: 調査でメールセキュリティ対策が適切と判断された大学はありますか？

A: はい。2026年4月時点で、北海道大学、東京大学、一橋大学などの国立大学5校、国際教養大学、横浜市立大学などの公立大学4校、学習院大学、日本大学などの私立大学5校、合計14校で適切な設定が確認されました。

Q: GMOブランドセキュリティは大学に対してどのような対策を提言していますか？

A: 主に4つの対策を提言しています。1) DMARCポリシーを監視モード(none)から隔離(quarantine)または拒否(reject)へ早期に移行すること、2) 対策が未設定の大学は即時にSPFとDMARCの基本設定を行うこと、3) DMARCレポートを活用し継続的に監視・分析する体制を構築すること、4) 信頼性向上のためBIMIを導入すること、です。

Q: なぜ大学のメールセキュリティ対策は重要なのでしょうか？

A: 大学のドメインは学生、保護者、受験生、研究機関など多くの人々から高い信頼を寄せられています。このドメインが悪用されてなりすましメールが送信されると、フィッシング詐欺による個人情報漏洩や金銭被害につながるだけでなく、大学のブランドイメージや社会的信頼を根本から損なう重大なリスクがあるためです。