ドメインとペットは最後まで面倒を見ろ(No336)
ホームページ(Webページ)を公開する場合、ドメイン(なんちゃら.jpやなんちゃら.com)を利用することは皆さんご存知だと思います。
ドメインというのは、インターネット上の住所という表現をされることが多く、インターネットの世界で自分たちの組織やブランドを示す大切なものです。
ところが、このドメインの不適切な廃棄が後を絶ちません。
廃棄した自治体ドメインの悪用
ドメインの悪用、特に自治体などの公共機関が廃棄したドメインの悪用については、毎年のように警告が行われてきました。
2020年
自治体管理ドメイン悪用が相次ぎ発覚、「使い捨て感覚」脱せずアダルト転用も
https://xtech.nikkei.com/atcl/nxt/column/18/00989/120900041/
(日経クロステック)
2021年
期限切れドメイン悪用被害の実情 企業にできる対策とは
https://fusegu-kun.com/blog/2021/12/20/post-17.html
(CYBER SECURITY LAB)
2022年
自治体ホームページの偽サイトに関する注意喚起
https://www.j-lis.go.jp/about/announce/attention_20220614.html
(地方公共団体情報システム機構)
2023年
自治体の公式サイト、大丈夫ですか?脆弱なドメイン、ChatGPTでさらに偽造しやすく?
https://www.tokyo-np.co.jp/article/240464
(東京新聞)
さらに、2023年9月にコロナ関連で取得したドメインがオークションで高価格で落札され、改めて話題となっています。
厚労省の中古ドメイン320万円 コロナ関連、公的サイト出品続出
https://mainichi.jp/articles/20230929/k00/00m/040/088000c
(毎日新聞)
今回は、こういったドメインの取得から廃棄での注意点についてお話をします。
ドメインは早い者勝ち
ドメインの取得は早い者勝ちが基本です。
先に登録をした人だけに使用権が与えられます。
え?登録?
そうです。ドメインを使うには登録が必要です。
誰に?
全てのドメインは、レジストリとレジストラと呼ばれる団体が運営しています。
レジストリはドメインの管理者です。
jpドメインはJPRSが管理していますが、裏方ですので知名度は高くありません。
一方のレジストラは利用者の窓口ですので、よく宣伝を見ます。
「お名前ドットコム」などを聞いたことがある方もおられるでしょう。
ドメインを使うには、レジストラを経てレジストリへの登録が必要です。
つまり、レジストラに登録申請すればいいわけだ。
そうです。
多くのレジストラはインターネット上で申請を受け付けています。
逆に申請をして、登録されないとドメインは使えません。
先勝ちですから、アマゾンの森林保護のための会社を作り amazon.co.jp を使いたい思っても使えません。
既に通信販売のamazon がそれを使っているからです。
ドメインには維持費がかかる
ドメインの取得は早い者勝ちですが、同時にそのドメインを維持するには費用がかかります。費用はレジストラによっても違いますが、年間で数千円程度です。
利用しないと決めたドメインについては廃棄して無駄な費用を削減できます。
ところが、上でリンクを示した記事の通り、ドメインを廃棄するとそれを再利用したり悪用したりする者が現れます。
もちろん、正当な理由で再利用を行う場合もありますが、どちらかというと現行サイトの認知度を利用した怪しげなものが多い印象を受けます。
ドメインの悪用
悪用といっても様々な利用方法が考えられます。
まず、ありそうなのが、出自である公的な団体をかたってアクセスした人を騙そうとするサイトです。
例えば、今回高価格で落札されたコロナ関連のサイトは公的団体からのリンクが残ったままとなっていることを期待できます。
つまり、いかにも公的団体のお墨付きのサイトであるかのように振る舞えるわけです。
この誤解を利用して、効能のない物品をいかにも効能があるかのように販売したり、偽の情報発信を行うことが可能です。
他の詐欺師にそのサイトの一部を間貸しして費用を取ることも可能でしょう。
このような既設のリンクが多数あるのは中古ドメインの特徴で、新ドメインでは得られないメリットです。ですから、リンクが多数残っている中古ドメインは高価格で落札される傾向が強いようです。
リンク数が多いことを利用して、アダルトサイトや怪しげな商品の販売サイトに転用される場合もあります。
フィッシングに使われると最悪
まだ、実際の事例は確認されていないようですが、このような中古サイトがフィッシング目的やマルウェア(ウイルス)の拡散目的で取得されると最悪です。
これをやられると、通常のインターネットスキルを持つ方(筆者を含む)でもだまされてしまいそうです。
例えば、元のドメインで公開していた全内容をコピーして公開しておき、トップページには「キャンペーンでリンク付きメールを発信しています」とかのウソのリリース記事を作成しておきます。
この状態でマルウェアへの誘導リンク付きのメールを大量送信します。
もちろん、メールの発信元アドレスは取得した中古ドメインにしておきます。
このメールアドレスは詐称ではなく、技術的にはごく正当なアドレスとなります。
受信した側は怪しげには思うものの、メール発信元のサイトは明らかに公的な団体のページですし、さらに「リンク付きメールを発信しています」とまで書かれています。
こんなのを見ると「あれ?これまともな団体からのメールなのかな?」とリンク先を開いく人が続出するのは間違いありません。
例え内容が詐欺メールであっても、ドメイン保有者が送ってきているメールで技術的には何も問題ない正当なメールです。
こんなの見抜くことなんてできません。
いや、方法はあるのですが、そこまでやる人はまずいないと思います。
「whois(フーイズ)」サービスを使ってドメイン管理者情報を確認すれば可能です。
whoisでのドメイン取得日付と実際のコンテンツの日付を比較すれば、矛盾しているはずですから、詐欺サイトであることはおそらくわかります。
ですが、そこまで手間をかけて調べる方はごく少数でしょう。
筆者自身もそこまでするとは思えません。
このような恐い事例が現れないことを祈ります。
ドメインを取るのは慎重に
さて、このような事態に陥らないための対策は極めてシンプルです。
「不要なドメインを取るな」
これだけです。
実際に、この主張をされているサイトがあります。
http://henna-domain-toruna.net/
「変なドメイン取るな.net」
ごく一部だと思うのですが、新サイトを起こす時(特にイベント用)に新ドメインの積極的な取得をすすめる業者がいるようなのです。
ドメインは上でも書いたように数千円程度で取得できますので、大したコストではありません。
ですが、悪用されてしまうことを考えると気楽に取得して良いものでは全くありません。
一度取ると決めれば、その組織が存続する限り面倒を見続けるという覚悟を持って取得すべきものです。「ペットとドメインは最後まで面倒を見続ける覚悟で飼え(取得しろ)」などと言うくらいですから。
それでも目立つURLにしたいなら方法はあります。
既存の組織用のドメインのサブドメインにすることです。
例:
ドメインegao-it.comが新イベント(餅つきするぞ2023)のサイトを作る場合
× https://mochitsuki-suruzo-2023.com
○ https://mochitsuki-suruzo-2023.egao-it.com
×の方は新ドメインですが、○の方はegao-it.com という自身が運営するドメインのサブドメインとなっています。
サブドメインは新たに取得する必要はありません。
ドメイン取得者はサブドメインをいつでも作成/廃棄ができます。
そもそも登録するものではありませんので、他人に取られる心配もありません。
その代わり、末尾は必ずその組織のドメイン名にする必要があります。
この方式であれば、絶対に悪用されることがありません。
確かに、URLは少し長くなりますが、悪用されない方がはるかに重要です。
前任者が取っちゃったよ...な場合
とはいえ、「えええ、既に前任者がイベント専用ドメインとっちゃったよ」な場合も少なからずあるはずです。
こんな場合はどうすればいいのでしょうか?
結論は「一定期間は保持するしかない」のですが、いくつか工夫すべき点があります。
まず、廃棄すると決めた時点でそのサイトのコンテンツを全て削除しておきます。
その上で「このサイトは廃棄済です」という主旨のページだけを作成しておきます。
また、アクセスがある都度、担当者にメールを送信するように仕込んでおきます。
このメールにはリファラ(どこからアクセスが来たか)を書いておきます。
受け取った担当者は、そのアクセス元のサイト運営者に「当サイトは削除済なのでリンクを消してください」とメールなどでお願いします。
この作業を1年間続けます。
当然、この作業にはコストが要りますが、ドメイン取得した前任者の尻ぬぐいコストとして計上してください。(ドメイン廃棄にはコストがかかる、と上長に理解してもらうため)
1年を過ぎた時点で上述のページも含めてサイトを完全に削除します。
つまり、利用者がアクセスしようとした時に、「ページが存在しません」エラー(404エラー)が出る状態にしておきます。これはサイトの風化とGoogleなどの検索エンジンのスコアを落とすためです。
この状態を9年間続けます。ただし、この間もドメインは維持し、費用は払い続けなければなりません。
そして、サイト終了から10年後、ドメインを廃棄します。
ここでは、「ページが存在しません」エラーが出る状態を9年間としましたが、これだけ経てばさすがに人々の記憶も風化しているだろうという推測によるものです。
もっと短かくても良いドメインもあるでしょうし、もっと長期間を要するケースもあるでしょう。
この章には「リファレル」や「検索のスコア」「サイトの削除」など技術者向けの用語を使っています。
内容を正確に技術者に伝えたい場合は、この文章をそのまま技術者に提示いただくのが良いと思います。
まとめ
毎年報道されていながら中々定着しないのですが、ドメインの廃棄に伴うトラブルが後を絶ちません。
2023年9月には厚労省が保持していたコロナ対策のドメイン(covid19-info.jp)がオークションで落札されたというニュースが流れていました。
担当者はこのようなオークションがあることも、悪用の可能性があることも知らずに廃棄したのだと思いますが、そのリスクを理解せずに廃棄に同意した業者は専門家である分、罪は重いと筆者は考えます。
ドメインの悪用はいろいろ考えられますが、これがマルウェア(ウイルス)やフィッシング詐欺のベース基地にされてしまうと、対策が非常に難しくなります。
これで被害が拡大してもドメイン廃棄側は罪になりませんが、モヤモヤ感は強く残ります。
ドメインというのは相当の覚悟を持って取得すべきものです。
「ペットとドメインは最後まで面倒を見続ける覚悟で飼え(取得しろ)」は事実ですので、気軽なドメイン取得はお止めください。
また、既に前任者がドメインを取ってしまっていた場合は、10年などの長期間をかけて廃棄することが現実的です。かなりの手間とコストがかかる話ではありますが。
今回はドメインの取得と廃棄での注意点についてお話しました。
次回もお楽しみに。
(本稿は 2023年12月に作成しました)
このNoteは筆者が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
また、公式サイトでも最新版を公開していますので、そちらもどうぞ。
この記事が気に入ったらサポートをしてみませんか?