• X
  • Facebook
  • LinkedIn

ニュース

GMOブランドセキュリティ調査、【国内大学・短期大学におけるメールセキュリティの実態】

~全国1,103校を調査、なりすましメールを遮断できる「SPF/DMARC」有効設定はわずか5.3%。BIMIを導入しているのは4校(0.4%)のみ~

  • お知らせ
  • シェア
    • X
    • Facebook
    • LinkedIn

 GMOインターネットグループのGMOブランドセキュリティ株式会社(代表取締役社長:中川 光昭、以下「GMOブランドセキュリティ」)は、全国の国立・公立・私立大学および短期大学1,103校が保有するドメインを対象に、なりすましメール対策技術である『SPF(※1)』『DMARC(※2)』および『BIMI(※3)』の導入状況に関する調査を実施いたしました。

 調査の結果、SPFとDMARCを実効性のある設定(p=quarantine または p=reject)で運用している大学・短大は、調査対象1,103校のうちわずか5.3%(58校)にとどまることが判明しました。GMOブランドセキュリティが2026年4月に公表した国内主要338大学を対象とした調査(※4)と同様、教育機関全体においてメールセキュリティ対策の遅れが改めて浮き彫りになりました。また、メールの正当性をブランドロゴで可視化するBIMIを導入しているのは全体のわずか0.4%(4校)にとどまり、大学のブランド保護・信頼性向上においても課題が残る結果となりました。

GMOブランドセキュリティによる全国1103大学・短大のメールセキュリティ調査 SPF/DMARC/BIMI導入率を調査

(※1)SPF(エスピーエフ) 送信元サーバーのIPアドレスをあらかじめ公開し、正しい場所から送られたメールかを判定する技術。導入が比較的容易な反面、メールが転送されると認証に失敗しやすいという弱点があります。
(※2)DMARC(ディーマーク) SPF・DKIMの認証失敗時に「メールを遮断するか」等の処理を送信者が指示する仕組み。none(監視のみ)、quarantine(隔離)、reject(拒否)の3段階があり、なりすまし防止の要となります。
(※3)BIMI(ビミ) DMARCと連携し、受信者のメールクライアント上に送信者の企業・組織ロゴを表示させる技術。視覚的にメールの正当性を示すことができます。
(※4)GMOブランドセキュリティ調査、【国内大学におけるメールセキュリティの実態】https://brandsecurity.gmo/news/post/post-20260518/

【調査結果のサマリー】

1. 全国1,103校のなりすましメール遮断の実効率は5.3%。

 全国1,103校のうち、実際になりすましメールを遮断できる設定(DMARC p=quarantine または p=reject)を導入しているのはわずか58校(5.3%)にとどまります。設置区分別に見ると、国立大学が7.1%(6校)で最も高いものの、短期大学は3.4%(10校)と最も低く、セキュリティ対策への取り組みに設置区分間で差が生じていることが明らかになりました。

設置区分

校数

DMARC設定率

DMARC実効率(quarantine以上)

全体

1,103校

44.7%

5.3%(58校)

国立大学

85校

63.5%

7.1%(6校)

公立大学

102校

43.1%

5.9%(6校)

私立大学

626校

48.9%

5.8%(36校)

短期大学

290校

30.7%

3.4%(10校)

2. DMARCは「監視のみ」が大半。設定しても遮断できていない実態

 DMARC設定済みの493校のうち、88.2%にあたる435校が「p=none(監視のみ)」の設定にとどまり、実際になりすましメールを遮断できない状態です。実効性のある「reject(拒否)」を設定しているのはわずか19校(全体の1.7%)、「quarantine(隔離)」は39校(3.5%)にすぎません。DMARCを導入しながらも実効性のある設定に移行できていない状況が浮き彫りになりました。

DMARCポリシー

件数

全体に占める割合

説明

p=none

435校

39.4%

監視のみ(不正メールは届く)

p=quarantine

39校

3.5%

不正メールを迷惑メールフォルダへ

p=reject

19校

1.7%

不正メールを拒否(最も厳格)

DMARC未設定

610校

55.3%

なりすまし対策なし

3. 130校がSPF未設定、610校がDMARC未設定。設置区分を問わず対策が急務

 SPFを設定していない大学・短大は130校(11.8%)、DMARCを設定していない大学・短大は610校(55.3%)にのぼります。特に短期大学ではSPF未設定の学校が多く残るとともに、DMARC設定率も30.7%にとどまっており、引き続き対応が求められます。SPF・DMARC双方が未設定の大学・短大も一定数存在しており、第三者がドメインを詐称したなりすましメールを容易に送信できる「高リスク」状態にあります。

設置区分

校数

SPF設定率

DMARC設定率

BIMI設定率

国立大学

85校

89.4%

63.5%

2.4%(2校)

公立大学

102校

91.2%

43.1%

0.0%

私立大学

626校

90.6%

48.9%

0.3%(2校)

短期大学

290校

81.7%

30.7%

0.0%

4. BIMIを導入しているのは全国でわずか4校(0.4%)

 メールの正当性をブランドロゴで視覚的に示すBIMIを導入しているのは、全1,103校中わずか4校(0.4%)です。これら4校はDMARCを強化した上でBIMIを実装する先進事例として注目されます。

大学名

設置区分

ドメイン

DMARCポリシー

北海道大学

国立

hokudai.ac.jp

quarantine

一橋大学

国立

hit-u.ac.jp

reject

大阪観光大学

私立

tourism.ac.jp

reject

八洲学園大学

私立

yashima.ac.jp

none

5. 実効的な設定が確認できた大学の一覧(2026年5月時点)

以下の大学・短期大学において、DMARC p=reject(拒否)またはp=quarantine(隔離)による適切なメールセキュリティの運用が確認されました。

【国立】
・北海道大学(quarantine) 
・山形大学(reject) 
・一橋大学(reject) 
・東京大学(reject) 
・横浜国立大学(reject) 
・九州大学(quarantine)

【公立】
・国際教養大学(quarantine) 
・千葉県立保健医療大学(quarantine) 
・横浜市立大学(quarantine) 
・情報科学芸術大学院大学(quarantine) 
・大阪公立大学(quarantine) 
・長崎県立大学(quarantine)

【私立】
・仙台白百合女子大学(reject) 
・仙台青葉学院大学(quarantine) 
・北海道情報大学(quarantine) 
・弘前医療福祉大学(quarantine) 
・日本赤十字秋田看護大学(quarantine) 
・国立音楽大学(quarantine) 
・学習院大学(quarantine) 
・新潟経営大学(quarantine) 
・日本大学(quarantine) 
・日本工業大学(quarantine) 
・東京有明医療大学(quarantine) 
・桐蔭横浜大学(quarantine) 
・田園調布学園大学(quarantine) 
・秀明大学(quarantine) 
・芝浦工業大学(quarantine) 
・大妻女子大学(reject) 
・東京神学大学(reject) 
・湘南医療大学(reject) 
・玉川大学(reject) 
・椙山女学園大学(quarantine) 
・浜松学院大学(quarantine) 
・静岡理工科大学(quarantine) 
・京都産業大学(quarantine) 
・京都情報大学院大学(reject) 
・同志社女子大学(quarantine) 
・神戸女子大学(quarantine) 
・関西福祉科学大学(quarantine) 
・高野山大学(quarantine) 
・大阪河﨑リハビリテーション大学(reject) 
・大阪物療大学(reject) 
・大阪観光大学(reject) 
・神戸親和大学(reject) 
・東亜大学(quarantine) 
・高松大学(quarantine) 
・高知学園大学(quarantine) 
・九州栄養福祉大学(reject)

【短期大学】
・仙台青葉学院短期大学(quarantine) 
・弘前医療福祉大学短期大学部(quarantine) 
・茨城女子短期大学(reject) 
・浜松学院大学短期大学部(quarantine) 
・神戸女子短期大学(quarantine) 
・関西女子短期大学(quarantine) 
・産業技術短期大学(reject) 
・高松短期大学(quarantine) 
・別府溝部学園短期大学(reject) 
・東筑紫短期大学(reject)

【考察と提言】

 今回の調査で、日本の大学・短期大学において、なりすましメール対策の深刻な遅れが改めて数字として明確になりました。SPFの設定率は88.2%と比較的高い一方で、実際に遮断効果を持つDMARC(reject/quarantine)の設定率は5.3%にとどまり、対策の「形式」と「実効性」の間に大きな乖離が存在します。特に短期大学ではDMARC設定率が30.7%にとどまっており、調査対象を広げるほど未設定の学校が多く残ることが明らかになりました。

 大学のドメインは、学生・保護者・受験生・研究機関など多くのステークホルダーが日常的に信頼して利用するものです。このドメインを悪用したなりすましメールは、個人情報の漏えいや金銭被害のみならず、大学のブランドと信頼性を根底から損なうリスクがあります。もはやメールセキュリティは情報システム部門の課題に留まらず、大学の社会的責任として取り組むべき経営課題です。

 GMOブランドセキュリティは、大学・教育機関に対して以下の対策を提言します。

  • SPF/DMARCの「拒否設定」への早期移行 
    DMARCを「none」で設定している435校は、早急に「quarantine(隔離)」または「reject(拒否)」へ移行することを推奨します。監視で得たレポートをもとに段階的な設定強化が可能です。
  • 未設定ドメインへの即時対応 
    SPF・DMARC未設定の学校は、最低限「SPF: v=spf1 -all(拒否設定)」および「DMARC: p=quarantine」を早期に設定することを強く推奨します。
  • DMARCレポートによる継続的な監視 
    DMARCは設定して終わりではなく、レポートを活用し不正利用を継続的に監視・分析する体制の構築が重要です。
  • BIMIの導入による信頼性の可視化 
    DMARCの適切な運用を前提に、BIMIと企業ロゴ所有証明書(VMC)の取得により、受信者に対してメールの正当性を視覚的に示すことができます。

【調査概要】

  • 調査期間:2026年5月27日(水)
  • 調査主体:GMOブランドセキュリティ株式会社
  • データソース:文部科学省「大学・短期大学・高等専門学校及び専修学校の学校数、在学者数等」をもとに作成
  • 調査対象:全国1,103校(国立85校・公立102校・私立626校・短期大学290校)が保有する「.ac.jp」「.jp」等の公式ドメイン
  • 調査方法:各大学公式サイトのURLからドメインを抽出し、パブリックDNSを使用してDNS TXTレコード(SPF・DMARC・BIMI)を調査・集計
  • 判定基準:実効的な対策の基準は、DMARC: p=reject(拒否)または p=quarantine(隔離)とした

【調査の背景】

 近年、大学を騙ったフィッシングメールや、学生・教職員を標的とした標的型攻撃メールが急増しています。大学のドメインは学生・保護者・受験生が高い信頼を寄せるため、ひとたび悪用されれば甚大な被害につながりかねません。東京都立大学(2026年5月)広島大学(2026年4月)日本大学(2026年2月)をはじめ、フィッシング被害や個人情報漏えいが各地の大学で相次いで報告されています。

 SPFは送信元IPアドレスを事前に登録し不正な送信元を検出する仕組みですが、DMARC(p=reject/quarantine)と組み合わせることで初めて「実際になりすましメールを遮断する」実効性を持ちます。SPFだけでは「不正を検出」できても「遮断」はできないため、DMARCとの併用が不可欠です。さらにBIMIを導入することで、受信者側のメールクライアントに組織のロゴを表示し、正規メールであることを視覚的に示すことが可能になります。

 本調査では、前回(2026年4月)の338校から対象を全国1,103校へと大幅に拡大し、短期大学を含む教育機関全体のメールセキュリティ設定実態を可視化しました。

【GMOブランドセキュリティについて】(URL:https://brandsecurity.gmo

 GMOブランドセキュリティは、"すべてのブランドにセキュリティを"というスローガンのもと、ブランド侵害リスクに対して、インターネットを中心に監視サービスや権利行使のサポートを提供しています。また、権利行使の前提となる商標やドメインネームの取得支援や管理サービスも提供しており、ワンストップでブランドを安心・安全な状態に導きます。  GMOブランドセキュリティが提供するサービスは、国内を代表するグローバル企業をはじめ、2026年12月時点で約1,200社にご利用いただいています。

ニュース一覧へ

GMOなりすましZERO