GMOインターネットグループの GMOブランドセキュリティは2026年5月18日、国内338大学が保有するドメインを対象とした、メールセキュリティ導入状況の調査結果を公表した。なりすまし対策であるSPFとDMARCの両方を適切に設定していた大学は、全体のわずか4.1%にあたる14校にとどまることが判明。日本の教育機関における対策の遅れが明らかになった。
背景には、大学ドメインを詐称したフィッシング詐欺や標的型攻撃メールの急増がある。送信元を判定する技術であるSPFは91.4%の大学が導入しているが、これだけでは不正メールの遮断はできない。受信側で遮断や隔離を指示するDMARCとの併用が不可欠だが、今回の調査では設置区分を問わず、適切に運用できている大学はきわめて低水準であることがわかった。
DMARCを導入している大学であっても、その大半は「監視のみ(none)」の設定にとどまっており、実際になりすましメールを遮断できる「拒否(reject)」は1.5%、「隔離(quarantine)」は2.7%と実効性に乏しい実態がある。また、SPFもDMARCも未設定で「完全無防備」な状態の大学が27校(8.0%)存在しており、フィッシング詐欺の踏み台として悪用されるリスクが高い状況だ。
適切な運用が確認されたのは、国立では東京大学や一橋大学など5校、公立では国際教養大学など4校、私立では日本大学や同志社女子大学など5校の計14校であった。大学ドメインは多くのステークホルダーが信頼して利用するものであり、その悪用は大学のブランドを根底から損なう恐れがある。
GMOブランドセキュリティは、大学側に対し、DMARCの「拒否設定」への早期移行や、レポートを活用した継続的な監視体制の構築を提言している。また、DMARCの適切な運用を前提に、送信者の正当性を視覚的に示す「BIMI」の導入も、信頼性向上のための有効な手段として挙げられている。
同調査は2026年4月6日に実施。文部科学省の学校数データなどをもとに、国立85校、公立93校、私立160校の計338校が保有するドメインのDNS公開情報を集計・判定した。
◆有効な設定が確認できた大学の一覧(2026年4月時点)
【国立】
北海道大学
山形大学
東京大学
一橋大学
横浜国立大学
【公立】
国際教養大学
横浜市立大学
大阪公立大学
長崎県立大学
【私立】
学習院大学
芝浦工業大学
日本大学
玉川大学
同志社女子大学
