GMOブランドセキュリティ調査、【国内大学におけるメールセキュリティの実態】

　 GMOインターネットグループのGMOブランドセキュリティ株式会社（代表取締役社長：中川 光昭、以下「GMOブランドセキュリティ」）は、国内338大学（国立85校・公立93校・私立160校）が保有するドメインを対象に、なりすましメール対策技術である『SPF（※1）』および『DMARC（※2）』の導入状況に関する調査を実施いたしました。

　調査の結果、SPFとDMARCの両方を有効な設定にした「適切」な状態の割合（以下、適切率）は、調査対象338大学中わずか4.1%にとどまることが判明しました。GMOブランドセキュリティが2026年4月に公表した国内Top50ブランドの適切率4.8%（※3）と同水準であり、日本の教育機関においてもメールセキュリティ対策の遅れが浮き彫りになりました。「適切」な状態にないドメインはSPF/DMARCの未設定または不備という脆弱な状態にあり、大学名を騙ったなりすましメールを容易に送信可能な「高リスク」状態にあることが明らかになりました。

（※1）SPF（エスピーエフ）

送信元サーバーのIPアドレスをあらかじめ公開し、正しい場所から送られたメールかを判定する技術。導入が比較的容易な反面、メールが転送されると認証に失敗しやすいという弱点があります。

（※2）DMARC（ディーマーク）

SPF・DKIMの認証失敗時に「メールを遮断するか」等の処理を送信者が指示する仕組み。none（監視のみ）、quarantine（隔離）、reject（拒否）の3段階があり、なりすまし防止の要となります。

（※3）GMOブランドセキュリティ調査、【主要ブランドにおけるメールセキュリティの実態】

 https://brandsecurity.gmo/news/post/post-20260406/

【調査結果のサマリー】

１．国内338大学の適切率は4.1%。国立・公立・私立いずれも低水準

　国内338大学の適切率はわずか4.1%にとどまり、設置区分を問わず極めて低水準です。SPFとDMARCを適切に設定している大学は14校に過ぎず、国立・公立・私立いずれも5%前後にとどまります。

2. DMARCは「監視のみ」が大半。設定しても遮断できていない実態

　DMARC設定大学の大半は「監視のみ」に留まり、遮断できていない実態が明らかになりました。 実際に遮断可能な「reject」はわずか1.5%、「quarantine」は2.7%にとどまり、 過半数が「none（監視のみ）」と、なりすましメールの遮断効果がない状態です。DMARCを導入しながらも実効性のある設定に移行できていない状況が浮き彫りになりました。

3. 27校が完全無防備。SPFもDMARCも未設定

　SPFもDMARCも全く設定されていない「完全無防備」な状態の大学も27校（8.0%）あります。これらの大学のドメインは、第三者がそのドメインを詐称してメールを送信することが技術的に容易であり、学生・保護者・取引先に対するフィッシング詐欺の踏み台として悪用されるリスクが極めて高い状況です。

4. 有効な設定が確認できた大学の一覧（2026年４月時点）

　以下の大学において適切なメールセキュリティの運用が確認されました。

【国立】

• 北海道大学

• 山形大学

• 東京大学

• 一橋大学

• 横浜国立大学

【公立】

• 国際教養大学

• 横浜市立大学

• 大阪公立大学

• 長崎県立大学

【私立】

• 学習院大学

• 芝浦工業大学

• 日本大学

• 玉川大学

• 同志社女子大学

【考察と提言】

　今回の調査で、日本の大学においてもなりすましメール対策の深刻な遅れが数字として明確になりました。SPFの設定率は91.4%と比較的高い一方で、実際に遮断効果を持つDMARC（reject/quarantine）の設定率はわずか4.1%にとどまり、対策の「形式」と「実効性」の間に大きな乖離が存在します。

　大学のドメインは、学生・保護者・受験生・研究機関など多くのステークホルダーが日常的に信頼して利用するものです。このドメインを悪用したなりすましメールは、個人情報の漏えいや金銭被害のみならず、大学のブランドと信頼性を根底から損なうリスクがあります。もはやメールセキュリティは情報システム部門の課題に留まらず、大学の社会的責任として取り組むべき経営課題です。

　GMOブランドセキュリティは、大学・教育機関に対して以下の対策を提言します。

1.SPF/DMARCの「拒否設定」の早期徹底：SPF/DMARCの「拒否設定」への早期移行：DMARCを「none」で設定している178校は、早急に「quarantine（隔離）」または「reject（拒否）」へ移行することを推奨します。監視で得たレポートをもとに段階的な設定強化が可能です。

2.完全無防備ドメインへの即時対応：SPF/DMARC未設定の27校は、最低限「SPF: v=spf1 -all（拒否設定）」および「DMARC: p=quarantine」を即時設定することを強く推奨します。

3.DMARCレポートによる継続的な監視：DMARCは設定して終わりではなく、レポートを活用し不正利用を継続的に監視・分析する体制の構築が重要です。

4.BIMIの導入による信頼性の可視化：DMARC の適切な運用を前提に、BIMIと企業ロゴ所有証明書（VMC）の取得により、受信者に対してメールの正当性を視覚的に示すことができます。

【調査概要】

• 調査期間：2026年4月6日（月）

• 調査主体 ：GMOブランドセキュリティ株式会社

• データソース：文部科学省「大学・短期大学・高等専門学校及び専修学校の学校数、在学者数等」をもとに作成

• 調査対象：国内大学338校（国立85校・公立93校・私立160校）が保有する「.ac.jp」や「.jp」ドメイン

• 調査方法：パブリックDNS（Google: 8.8.8.8 / Cloudflare: 1.1.1.1）を使用し、DNS公開情報を調査・集計

• 判定基準：全体適切である状態の基準は、SPF: v=spf1 -all（拒否設定）、DMARC: p=reject（拒否） または p=quarantine（隔離）とした。

【調査の背景】

　近年、大学を騙ったフィッシングメールや、学生・教職員を標的とした標的型攻撃メールが急増しています。大学のドメインは学生・保護者・受験生が高い信頼を寄せるため、ひとたび悪用されれば甚大な被害につながりかねません。

　SPFは送信元IPアドレスを事前に登録し不正な送信元を検出する仕組みですが、DMARC（p= reject/ quarantine）と組み合わせることで初めて「実際になりすましメールを遮断する」実効性を持ちます。SPFだけでは「不正を検出」できても「遮断」はできないため、DMARCとの併用が不可欠です。

　本調査では、国内大学が運用するメインドメインにおける設定実態を可視化し、なりすましメール対策の現状と課題を明らかにしました。

【GMOブランドセキュリティについて】
（URL：https://brandsecurity.gmo）

　GMOブランドセキュリティは、”すべてのブランドにセキュリティを”というスローガンのもと、ブランド侵害リスクに対して、インターネットを中心に監視サービスや権利行使のサポートを提供しています。また、権利行使の前提となる商標やドメインネームの取得支援や管理サービスも提供しており、ワンストップでブランドを安心・安全な状態に導きます。
　GMOブランドセキュリティが提供するサービスは、国内を代表するグローバル企業をはじめ、2025年8月時点で約2,000社にご利用いただいています。

以上

【サービスに関するお問い合わせ先】

●GMOブランドセキュリティ株式会社　営業・マーケティング事業本部　マーケティング部　藤田

TEL：03-5784-1069

E-mail：mrk@brandsecurity.gmo

【 GMOブランドセキュリティ株式会社】（URL：https://brandsecurity.gmo）

所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー

代表者　　代表取締役社長　中川　光昭

事業内容　■企業ブランドの構築支援コンサルティング

　　　　　■ドメイン登録・更新・管理適正化
　　　　　■ドメインネーム権利者・使用実態調査及びリスク対策
　　　　　■商標登録支援等ブランド保護
　　　　　■商標権利者・使用実態調査及びリスク対策
　　　　　■模倣品・模倣サイト監視等リスク対策
　　　　　■ブランドTLD登録・活用支援

資本金　　1億円

【GMOインターネットグループ株式会社】（URL：https://group.gmo/）

会社名　　GMOインターネットグループ株式会社　（東証プライム市場　証券コード：9449）

所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー

代表者　　代表取締役グループ代表　熊谷　正寿

事業内容　持株会社（グループ経営機能）

　　　　　■グループの事業内容
　　　　　　インターネットインフラ事業
　　　　　　インターネットセキュリティ事業
　　　　　　インターネット広告・メディア事業
　　　　　　インターネット金融事業
　　　　　　暗号資産事業

資本金　　50億円

(C）2026 GMO BRAND SECURITY Inc. All Rights Reserved.