カード会社によるDMARC設定は59.2%に上昇するも 最も厳しい設定ポリシー「reject(拒否)」はわずか19.6%|キャッシュレスセキュリティレポート2024年1-3月版より
- BLOGトップ
- カード会社によるDMARC設定は59.2%に上昇するも 最も厳しい設定ポリシー「reject(拒否)」はわずか19.6%|キャッシュレスセキュリティレポート2024年1-3月版より
株式会社リンクとかっこ株式会社は、クレジットカード情報流出事件に関する統計とECに関する不正利用傾向に関するレポート「キャッシュレスセキュリティレポート(2024年1-3月版)」を公開いたしました。
「キャッシュレスセキュリティレポート(2024年1月-3月版)」 ダウンロードはこちらから
(2)業種/商材別・情報流出期間別の事件数・流出件数
(3)カード情報流出事件のトピック:旧サイトからの情報流出に注意
(4)カード情報保護 国内政策の動向
*2025年4月から全てのEC加盟店を対象に実施する『セキュリティ・チェックリスト』をとりまとめ
(2)ECサイト不正利用の傾向
(3)国内のカード発行会社(イシュア)におけるDMARC設定状況
(4)不正利用のトピック 生成AI活用による手口の巧妙化
(5)不正利用対策 国内政策の動向
①MO・TO加盟店の不正利用対策を取りまとめ
②クレジットカード不正利用防止における警察庁とECサイト間の連携
カード会社は割賦販売法で「登録包括信用購入あっせん事業者」として登録が義務付けられており、その一覧が経済産業省のWebサイトで公開されています。リンクは、経済産業省のWebサイトで公開されているイシュア246社を対象に、DMARCの導入状況を調べました。
2024年3月末時点で、イシュアがメール送信に利用しているドメイン395件のうち、有効なDMARCレコードが設定されているのは234件(59.2%)と、2023年8月の調査開始以来、初めて5割を超えました。経済産業省、警察庁および総務省からの要請に基づきDMARC導入を進めてきた企業によって、導入率が上昇したものと思われます。
一方で、フィッシングメール対策としてのDMARCの実効性を持たせるためには、ポリシーを「reject(拒否)」もしくは「quarantine(検疫)」に設定して運用することが求められていますが、最も厳しい「reject」ポリシーが設定されているドメインは46件(19.6%)で、160件(68.4%)はポリシーを「none(何もしない)」にして運用している状況です。
キャッシュレスセキュリティレポート内には、DMARC導入に関するより詳しい調査結果や直近のカード情報流出事件のトレンド、不正利用のトレンドに関する解説を掲載しています。
・自社の不正被害が、他社と比較して多いのかどうかを知りたい。
・最新の不正手口を知りたい。
【免責事項】 本レポートの作成にあたり、かっこ株式会社と株式会社リンクは、可能な限り情報の正確性を心がけていますが、確実な情報提供を保証するものではありません。本レポートの掲載内容をもとに生じた損害に対して、かっこ株式会社と株式会社リンクは一切の責任を負いません。
【データの利用について】本レポート内の数表やグラフ、および記載されているデータ等を使用される際は、出典として「かっこ株式会社・株式会社リンク『キャッシュレスセキュリティレポート(2024年1-3月版 ) 』を明記下さい。
「キャッシュレスセキュリティレポート(2024年1月-3月版)」 ダウンロードはこちらから
「キャッシュレスセキュリティレポート(2024年1月-3月版)」 ダウンロードはこちらから
キャッシュレスセキュリティレポート概要
カード情報流出事件の概況
(1)カード情報流出事件数・情報流出件数の推移(2)業種/商材別・情報流出期間別の事件数・流出件数
(3)カード情報流出事件のトピック:旧サイトからの情報流出に注意
(4)カード情報保護 国内政策の動向
*2025年4月から全てのEC加盟店を対象に実施する『セキュリティ・チェックリスト』をとりまとめ
ECにおける不正利用の概況
(1)クレジットカード不正利用被害額の推移(2)ECサイト不正利用の傾向
(3)国内のカード発行会社(イシュア)におけるDMARC設定状況
(4)不正利用のトピック 生成AI活用による手口の巧妙化
(5)不正利用対策 国内政策の動向
①MO・TO加盟店の不正利用対策を取りまとめ
②クレジットカード不正利用防止における警察庁とECサイト間の連携
DMARC設定状況 調査のハイライト
フィッシング攻撃によって窃取されたカード情報の不正利用が増加していることを受け、2023年3月に経済産業省・警察庁・総務省が連名で、カード会社に対して、DMARC導入をはじめとしたメールによるなりすまし対策を要請しました。カード会社は割賦販売法で「登録包括信用購入あっせん事業者」として登録が義務付けられており、その一覧が経済産業省のWebサイトで公開されています。リンクは、経済産業省のWebサイトで公開されているイシュア246社を対象に、DMARCの導入状況を調べました。
2024年3月末時点で、イシュアがメール送信に利用しているドメイン395件のうち、有効なDMARCレコードが設定されているのは234件(59.2%)と、2023年8月の調査開始以来、初めて5割を超えました。経済産業省、警察庁および総務省からの要請に基づきDMARC導入を進めてきた企業によって、導入率が上昇したものと思われます。一方で、フィッシングメール対策としてのDMARCの実効性を持たせるためには、ポリシーを「reject(拒否)」もしくは「quarantine(検疫)」に設定して運用することが求められていますが、最も厳しい「reject」ポリシーが設定されているドメインは46件(19.6%)で、160件(68.4%)はポリシーを「none(何もしない)」にして運用している状況です。
キャッシュレスセキュリティレポート内には、DMARC導入に関するより詳しい調査結果や直近のカード情報流出事件のトレンド、不正利用のトレンドに関する解説を掲載しています。
キャッシュレスセキュリティレポート 対象ユーザ
・カード情報漏えいやクレジットカード不正などのECにおける不正利用の実態を知りたい。・自社の不正被害が、他社と比較して多いのかどうかを知りたい。
・最新の不正手口を知りたい。
本レポートに関するお問い合わせ
セキュリティプラットフォーム事業部 担当:滝村・加藤・相原【免責事項】 本レポートの作成にあたり、かっこ株式会社と株式会社リンクは、可能な限り情報の正確性を心がけていますが、確実な情報提供を保証するものではありません。本レポートの掲載内容をもとに生じた損害に対して、かっこ株式会社と株式会社リンクは一切の責任を負いません。
【データの利用について】本レポート内の数表やグラフ、および記載されているデータ等を使用される際は、出典として「かっこ株式会社・株式会社リンク『キャッシュレスセキュリティレポート(2024年1-3月版 ) 』を明記下さい。
「キャッシュレスセキュリティレポート(2024年1月-3月版)」 ダウンロードはこちらから
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.