放置すれば信用失墜 DMARCとWHOISが突きつける ドメイン管理の新常識(2025年7月号)

【ドメインニュース】放置すれば信用失墜――なりすましメール対策設定(DMARC)とWHOISが突きつけるドメイン管理の新常識(2025年7月号)

メールマガジン

【5分で読める】
企業ブランドを守るためのドメインセキュリティ、あなたの会社は万全ですか?

日経225のうち17社がなりすましメール対策設定(以下、DMARC)未導入という衝撃の調査結果が発表されました。導入済み企業でも多くが不十分な設定のままで、**“名ばかりDMARC”**が蔓延しています。
同時に、RDAP移行によるWHOIS管理の厳格化も始まっています。不正確な登録情報はドメイン停止リスクに直結し、ビジネスや信頼に大きな打撃を与えかねません。

今号では、
・DMARCが“推奨”から“必須”となった背景
・設定ミスによるリスクと対策

RDAP時代のWHOIS運用の注意点を中心に、最新TLD情報や登録統計も交えてわかりやすく解説します。

2025年7月18日(金)書籍『ブランドTLD徹底活用ガイド』発売

GMOブランドセキュリティが初めて手がけるブランドTLD専門書、『ブランドTLD徹底活用ガイド』が7月18日(金)に発売されます。ICANNの新gTLD申請受付が2026年に再開される今、企業が独自ドメイン「.ブランド名」を取得する絶好の機会が近づいています。

本書は、申請の流れや費用、導入事例、社内での活用ポイントまでを、経営層・法務・情報システム・広報などの実務担当者向けにわかりやすく整理。TLD導入を検討する企業の「はじめの一歩」を支える1冊です。

ブランドTLDは、いわばインターネット上の“銀座の一等地”に構える本店。信頼性と存在感を兼ね備えたオンライン資産であり、なりすまし対策やブランド統一にも有効です。

初版『ウェブブランドセキュリティの実務』に続き、当社網野圭亮による第2作目として刊行される本書は、オンラインブランド戦略の新しいスタンダードを提示します。企業の未来を守る“攻めのドメイン戦略”、今こそ一読の価値ありです。

ブランドTLDTLD徹底活用ガイド 網野圭亮

参考:<出版記念 特別号!>GMOブランドセキュリティが提唱する「ブランドTLD活用」

大企業の導入率92.4%。標的になるのはいまや大企業だけではない。あなたのDMARCは本当に機能していますか?

92.4%が導入済み。それでも「未導入の17社」が示す深刻な現実

2025年5月、株式会社TwoFiveの調査結果が、多くの企業に衝撃を与えました。
日本を代表する日経225企業のうち、実に208社(92.4%)が、なりすましメール対策の要である「DMARC」を導入しており、、未導入の企業は17社(7.6%)であることがわかりました。
一見すると「17社の大企業がやっていないなら、まだ大丈夫」と思ってしまいがちですが、実はその17社こそ“例外的な未対応”であり、いまや対応していないこと自体がリスクとなっているのが現実です。
この数字は、「うちは大企業ではないから」「専門的でよくわからない」といった理由で、対策を先送りにしている企業にとって、他人事ではなく“自分ごと”として考えるべき警告に他なりません。

本記事では、GoogleやGmailの要件を満たすため、という表面的な理由だけでなく、なぜ今、オンラインで事業を行うすべての組織がDMARCを導入すべきなのか、その本質的な理由を深掘りします。

DMARCは、なぜ「推奨」から「必須」になったのか?

DMARC(Domain-based Message Authentication, Reporting, and Conformance)とは、メールの送信元ドメインが本物であるかを検証する「送信ドメイン認証技術」の一つです。これがなぜ重要視されるのか、その理由は、なりすましメールの手口が年々巧妙化し、企業や顧客に深刻なダメージを与えるケースが後を絶たないからです。

あなたの会社が「攻撃の踏み台」にされるリスク

なりすましの脅威は、単に迷惑メールが届くというレベルの話ではありません。
例えば、

ビジネスメール詐欺(BEC)
企業や取引先を装い、偽の請求書や送金指示を送信。
→ 気づかぬうちに多額の資金が詐取される。

ブランド価値の毀損
自社のドメインを使ったフィッシング詐欺メールがばらまかれる。
→ 社会的信用を失い、顧客からの信頼回復には膨大なコストと時間がかかる。

マルウェア感染の入り口として悪用
「請求書」「重要なお知らせ」などの件名で送られるなりすましメールの添付ファイルに注意。
→ ランサムウェアなどが組織内部に侵入する古典的かつ非常に効果的な手口。

このように、DMARCを導入していないということは「どうぞご自由になりすましに使ってください」と、自社ドメインを攻撃者に差し出しているのと同じ状態なのです。

導入だけで満足していないか?レポートが示す「名ばかりDMARC」の罠

今回の調査では、もう一つ見過ごせない事実が明らかになりました。DMARCを導入している日経225企業のうち、なりすましメールをブロックする強制力のあるポリシー(p=quarantineまたはp=reject)を設定しているのは、全体の55.1%に過ぎないのです。
さらにドメイン数で見ると、強制力のあるポリシーが設定されているのはわずか19.1%。大半のドメインはp=noneという「監視・報告のみ」のモードで運用されています。
p=noneは、あくまでDMARC導入の第一歩です。自社ドメインからどのようなメールが送られているかを可視化する上で重要ですが、それだけでは不正なメールを止めることはできません。監視で見つかった問題を分析し、p=quarantine(疑わしいメールを迷惑メールフォルダへ隔離)やp=reject(正規でないメールを完全に拒否)へとポリシーを強化していくことが、DMARCの本質的な目的です。

p=noneのまま放置することは、玄関に監視カメラを付けただけで、鍵をかけていないのと同じ。泥棒の侵入をただ眺めているだけの状態では、セキュリティ対策として不十分です。

大企業だけの問題ではない。狙われるセキュリティの「空白地帯」

今回の調査では大学の導入状況も報告されており、1,075校のうちDMARC導入率は45.1%と、企業の92.4%に比べて著しく低い水準にあります。
こうした機関は、情報発信の信頼性が重要である一方で、セキュリティ対策が後回しになりやすく、攻撃者にとっては格好のターゲットとなります。これは、攻撃者が常にセキュリティの「空白地帯」や「手薄な場所」を狙っていることの証左です。十分なリソースをセキュリティに割ける体力のある大企業に比べて、中小企業や各種団体は対策が手薄になりがちであり、攻撃者にとって狙いやすい存在です。オンラインで顧客や取引先とやり取りを行う以上、事業規模にかかわらず、DMARCはビジネスの信頼性を守るために欠かせない基盤と言えるでしょう。

まとめ

DMARCの設定は、もはや単なるIT部門のタスクではありません。
今やメールを使ってビジネスを行う企業として、最低限おさえておくべき常識の一つです。
顧客や取引先との信頼を守り、自社ブランドの信用を損なわないために、DMARCは「デジタル時代の身分証明」として不可欠な仕組みとなっています。
Googleがそう言っているから、という理由ではなく信頼ある企業としての当然の備えとして捉えるべきでしょう。

自社のドメインが知らぬ間に第三者に悪用され、なりすましメールの温床となってしまう前に、 今こそ自社のDMARC設定を見直し、「p=reject」の導入を見据えた具体的な対応を進めていく必要があります。

|引用|
ScanNetSecurity.(外部サイト)“日経 225 企業、DMARC を導入していないのは 17 社”.ScanNetSecurity.2025-05-27,https://scan.netsecurity.ne.jp/article/2025/05/27/52919.html,(参照 2025-07-03).

ビジネス成功の極意:WHOIS情報の管理、プライバシー保護の重要性

RDAP時代のドメイン登録情報管理。WHOISの正確性とプライバシー保護の重要性

2025年1月28日をもって、ICANNはgTLDにおける旧来のWHOISプロトコルの提供義務を終了し、正式にRDAP(Registration Data Access Protocol)へと移行しました。RDAPは、ドメイン名やIPアドレスの登録情報(Whois情報)を取得するための新しいプロトコルです。従来の「Whois」に代わる、よりセキュアで柔軟な仕組みとして使われています。これにより、ドメイン登録情報の取得方法は大きく変わりましたが、ドメイン所有者に求められる管理責任はむしろ強化されています。

RDAPはより安全で標準化された情報提供を実現する一方で、登録情報の正確性がこれまで以上に重視されるようになりました。情報が不正確であると判断された場合、ドメインが予告なく停止されるリスクがあります。

現時点では、gTLD(.comや.netなど)を中心にRDAPへの対応が進められており、ccTLD(国別ドメイン)についてはTLDごとの対応状況にばらつきがあります。ただし、ICANNの方針としては、将来的にすべてのTLDでRDAPが標準的な情報提供手段となることを目指しています。このため、今後より多くのTLDでRDAP対応が拡大される見込みです。

正確性の義務と停止リスク

ICANNの新しい契約要件により、レジストラは以下の情報について情報の確認および検証を義務付けています。

  • 氏名
  • 組織名
  • メールアドレス
  • 住所
  • 電話番号

これらの情報に誤りがある、または登録者が確認要請に15日以内に応答しない場合、そのドメインは一時停止(Suspension)され、利用できなくなる可能性があります。

ドメインが停止されると、ウェブサイトやメールなどのサービスが一斉に機能しなくなり、事業活動やブランドに深刻な影響を与えることがあります。

また、2024年8月からは、レジストラからの定期的な登録情報確認通知(いわゆる「年次確認メール」)への対応がより厳格に求められるようになっています。

プライバシー保護と代理公開サービスの注意点

RDAPへの移行後も、登録情報のプライバシーに対する関心は依然として高いままです。特にGDPR(一般データ保護規則)の影響により、多くのレジストラでは登録者情報が自動的に非公開となっています。

しかし、これを理由に登録情報を手動で「Not Disclosed」や「Privacy Protection Service」と記入して隠そうとすると、以下のようなリスクがあります。

  • ICANN上では不正確な登録情報と見なされる可能性があります。
  • ドメイン停止などのリスクがあるため、十分な注意が必要です。

登録者が取るべき実践的対策

  • 登録情報(氏名、組織名、メールアドレス、電話番号、住所)を常に最新で正確に保つ
  • 公開を避けたい場合は、正規の代理公開・プライバシーサービスを利用する
  • レジストラからの確認メールを見逃さず、迅速に対応する
  • 公開情報の確認にはRDAPを利用し、定期的に自身のドメイン情報を監査する
  • 社内の担当者変更や組織再編があった際には、ドメイン情報も見直す

今後に向けて

RDAPの導入により、ドメイン登録情報の管理はより堅牢かつ構造化されたものになりましたが、それだけに「見えにくくなった」ことで誤情報を放置してしまうリスクも高まっています。ドメイン登録情報は、SSL証明書や商標と同様に重要なデジタル資産として、定期的に監査・管理すべき対象です。

正確かつプライバシーに配慮した登録情報の維持は、2025年以降の企業活動において欠かせないリスクマネジメントの一環と言えるでしょう。

統計情報

TLD別ドメイン登録件数

TLD種別 TLD数※(対前増減数) ドメイン登録件数(対前月増減率) 内訳比(対前月比)
gTLD 22(±0) 186,138,875(+0.28%) 51.48%(-0.06%)
ccTLD 309(±0) 127,941,849(+0.25%) 35.38%(-0.05%)
新gTLD 1,253(±0) 47,516,685(+1.19%) 13.14%(0.10%)
Total 1,584(±0) 361,597,409(+0.39%) 100.00%

2025年6月25日時点:GMOブランドセキュリティ調べ

gTLD/ccTLD/新gTLDの3つのTLD種別における全体のドメイン登録件数とその内訳を示しています。カッコ内の数字は前月との比較となります。gTLD、ccTLDおよび新gTLDは前月に比べわずかに増加しました。Totalでは0.39%(361,597,409件)増加した結果となりました。

TLD情報

以下のTLDについて、優先登録・事前受付・期間限定受付など、各種登録受付が順次開始されています。詳細未定の項目については、今後情報が更新され次第ご案内いたします。関心のある方はお気軽にご相談ください。
※文字列によりプレミアム価格が適用される場合があります。

優先登録開始予定の新gTLD 一覧

TLD優先登録受付期間登録要件(優先)商標権者登録受付期間一般登録開始日登録要件(一般)
.you2025-08-26~2025-09-25TMCHのSMDファイル保持者のみ未定未定
.talk
.fast

事前登録受付中の新gTLD

TLD事前登録受付期間一般登録開始日登録要件(一般)
.med~2025-09-012025-09-02
登録対象者 医療・ヘルスケア関連事業者全般
(病院、医療機関、製薬・バイオ企業、医療機器メーカー、保険会社、
デジタルヘルス、フィットネス、研究者、教育機関、歯科、獣医など)
対象ドメイン 医療業界用語、医薬品名、地域名・企業名、
1~3文字のプレミアムドメインなど

期間限定受付(ccTLD)

タイの「.th」セカンドレベルドメインの第2ラウンドの申請受付が開始されています
.thドメインを登録できるのは、THNICレジストリが定めたスケジュールの限定期限内のみになります。現在、第2ラウンドを以下のスケジュールで登録受付中です。

申請期間

第1ラウンド2025年2月1日 ~ 2025年3月31日
第2ラウンド2025年6月1日 ~ 2025年7月31日
第3ラウンド2025年10月1日 ~ 2025年11月30日

※当社の受付締切は2025年7月25日となります。

登録要件

登録の優先順位は下記のカテゴリーの順番で決定し、複数の申請があった場合は、
1、2、3の順番で優先されます。

  1. タイ商標権者
  2. 既存サードレベルドメインネームの権利者向け
  3. タイ現地法人

申請をご希望の方は、2025年7月25日(金)までに当社受付までご依頼ください

詳細はこちら▶https://brandtoday.media/2025/06/03/tld_20250603/

登録開始(ccTLD)

ヨルダン(.jo)のレジストリが、単文字・二文字ドメインの登録を開始しました。

登録可能

アルファベット1文字/2文字
数字1桁/2桁
アルファベット+数字(例: a1, 1b)

登録要件

外国法人の場合:
・商標登録証(任意国発行でOK、PDF)
・署名入り委任状(PDF、簡易署名OK)
※場合により商業登記簿の提出依頼あり(必須ではなくケースバイケース)

編集後記

暑い日が続いていますが、皆さんいかがお過ごしでしょうか?
先日、息子の3歳の誕生日祝いに鈴鹿サーキットへ行ってきました🏎️✨ パーク内のアトラクションは子ども向けから大人向けまでバリエーション豊かで、実際のレースコースをカートで走れる体験には大人の私も大興奮!
息子は「自分で運転したい!」という気持ちが抑えきれず、大人しか運転できない乗り物を前に大泣きする一幕もありましたが、全体的にはとても楽しい2日間となりました!

今は7月末に控えた3泊4日のクルーズ旅行を心待ちにしています🚢
皆さまも、どうぞ体調に気をつけて、素敵な夏をお過ごしください。

ライター

トピック:グレゴリー モレル
ビジネス成功の極意:グレゴリー モレル
統計情報:范 渝絢
TLD情報:藤原 恵利
編集後記:藤原 恵利
発行責任者:矢島 崇成