【CSIJコラム16(2024,1,25)】
「ドメインの“整理整頓”していますか?」
株式会社ラック
櫻井 祐輔
2024年になりました。本年もどうぞよろしくお願いいたします。
私事ではありますが、年末年始に自宅の大掃除をいたしました。すると奥の方からいつ買ったのかも覚えていないような、まったく使っていない物が大量に出土…。予想以上の大がかりな作業となってしまい、日頃の整理整頓の重要性を痛感することとなりました。
さて、常日頃からの整理整頓が重要といえば、昨年「運用停止をしたドメインを第三者に取得されてしまい、悪用される」といったニュースを多く目にしました。これらの事例は、組織で保有するドメインの更新手続きが行われなかった場合に発生します。中には「手放すつもりはなかったが、ドメイン有効期限や更新手続きを失念してしまっていた」といった事例もあるようです。自治体においても、2024年に入ってから島根県や鹿児島県など複数の自治体が同様の事例を公表しています。
※参考URL
(島根県):
https://www.pref.shimane.lg.jp/life/information/joho/densi_jichitai/domein.html
(鹿児島県):
https://www.pref.kagoshima.jp/aa02/kohokocho/homepage/domein/index.html
このような行為は一般的に「ドメインドロップキャッチ」などと呼ばれますが、なぜ他の組織の中古のドメインの取得を狙う人々がいるのでしょうか。様々な理由が考えられますが、「元々の所有者の持つネームバリューを利用したい」といった意図が根底にあると思われます。ドメインには組織名や提供している(していた)商品名・サービス名などが含まれる場合が多く、それらの知名度を悪用しようと考えているケースがみられます。
ドメインが第三者の手に渡ったからといって、各種検索エンジンにもその情報が即時に反映されるわけではなく、検索結果の更新にはタイムラグがあり、一定期間は前所有者のページとして検索結果一覧に表示されることが一般的です。そのため、「自組織の商品やサービスについて検索した顧客が、すでに第三者の手に渡っているドメインのウェブページに気づかずにアクセスしてしまう」といった事態が起こり得ます。ウェブページの内容によっては自組織のレピュテーションリスクに繋がる可能性や、顧客が詐欺・マルウェア感染などの被害を受ける恐れもあります。
自組織や顧客を守るためにも、保有するドメインの管理を適切に行う必要があります。
「ドメインドロップキャッチ」を防ぐためのポイントとして、「必要以上のドメインを取得しない」ことが根本的な対策となります。例えば、一時的なキャンペーンのウェブページを開設するために専用のドメインを取得した後、利用終了したドメインが残置され、悪用されるケースが見られます。可能な限り既存のドメインにてウェブページを開設することが望ましいです。また、保有しているドメインの利用を終了した際に、当該ドメイン上で利用終了の旨を一定期間告知する、組織のメインページへリダイレクトする、等の対策も有効です。
以上より、本記事で紹介した被害を防ぐために、日頃からドメインについても“整理整頓”が重要であると感じます。
CSIJでは、このようなインターネットサービス・セキュリティ全般の活用に関し、社会啓発活動を行っております。興味がある方はぜひご連絡下さい。
※参考URL(CSIJホームページ):https://www.csi-japan.org/evaluation
私が所属する株式会社ラックでもコンサルティングサービスにて、このような運用方法についてのご支援をしておりますので、ご興味がございましたらお気軽にご連絡いただけますと幸いです。
これを機に自社ドメインの“整理整頓”をしてみませんか?