“企業の顔”ドメインが売られる
“大手通信会社の関連ドメインがオークションに出品”
“首都圏の自治体が管理していたドメインが第三者の手に”
“IT企業のドメインを援助交際のブログが引き継ぐ?”
インターネット技術やセキュリティ系のメディアをよく見る方は、ときどきこの種のニュースに接すると思います。米国のある大学の調査によると、1日に数十万件のドメインが企業や団体の手を離れています。上記した3件は、いずれも国内で実際に起きた事案をデフォルメしたものですが、知名度が低い組織のドメインを含むと、この種のアクシデントは毎日のように起きていても不思議ではありません。
“ドメイン(Domain)”は、インターネット上でWebサイトやメールアドレスを特定するための識別子。WebサイトのURLの場合、“example.co.jp”のような文字列が相当します。ドメインは企業にとって、インターネット上の“顔”であり情報資産の一つです。
この大事な資産が“ドロップキャッチ”という手段で第三者の手に渡り、サイバー攻撃の起点にされたり、企業イメージの低下に結びついたりするインシデントが起きているのです。
ドメインはリース物件
ドロップキャッチの手法に進む前に、ドメイン(ドメイン名)を取得・運用するルールを簡単に復習しておきましょう。ドメインは階層構造になっていて、全体を統括しているのがICANNという国際組織です。“.jp”や“.com”などの最上位、トップレベルドメインを管理するのはレジストリという組織。法人や個人がドメインを取得する際は、レジストリの配下にあって窓口として機能するレジストラに申請します。
ここで注意すべきは、ドメインには有効期限があることです。期限は管理組織によって異なりますが、概ね1年から数年。更新手続きをせずに期限を過ぎると失効します。失効後は管理組織が定めるルールに従い、一定の手続きを経てからドメインプールに移して保管。その後、第三者が申請できるようになりますが、ドメインの取得は原則的に先着順ですから、元の所有者が再取得できる保証はありません。
一般的なビジネスの感覚から言うと、ドメインはリースに近いと言えるでしょう。申請が通っても、その組織の所有物になるわけではないからです。ただ、リースと言っても情報システムや備品のそれとは違い、ドメインはドロップキャッチによって第三者の手に渡り、セキュリティ上のリスクにさらされる可能性がある点に注意が必要なのです。
失効したドメインを瞬時にキャッチ
ドロップキャッチは、有効期限切れで破棄(ドロップ)されたドメインの取得(キャッチ)を試みる操作。ドロップキャッチ自体は、正規の運用ルールに沿うものですから違法ではありません。これを請け負う事業者も各地に存在し、専用の回線とシステムを使って管理組織のサイトなどをモニター。特にバックオーダー(事前注文)が入っているような文字列は、開放と同時に申請が集中します。
覚えやすい単語、政治・文化など世の中のトレンドに合致したキーワード、検索エンジンのインデックス登録と相性がいい文字列などは、特に人気が高いドメインです。例えば、過去には“business.com”のようなシンプルかつその領域を表徴するドメインがオークションにかけられ、数百万ドル(数億円)で取引された例もあります。
ドメインの資産を使うサイバー犯罪
長期間稼働していたサイトには、一定の信頼が維持されているはずです。これを利用すれば、以前の正規サイトのリニューアルを装った詐欺サイトが設置できてしまいます。サイト更新に伴うログイン画面や問い合わせフォームを再現し、IDとパスワード、クレジットカード情報などを窃取する手口は、犯罪者なら誰でも思いつくでしょう。
個人情報の窃取の他には、マルウェアの植え付けがあります。引き継いだドメインで構成したサイトに不正なダウンロードファイルを仕込んだり、スクリプト(Webサイトを動かす小規模のプログラム)を実行させたりして、ユーザーの情報機器にマルウェアを仕込む手口です。
ドメインの失効後も何年かは、他サイトからのリンクと個々のブラウザにはブックマークも残っているはずです。特に消費者向けの商材を扱っていたサイトは、ドメインの停止後もこうしたリスクを配慮した運用管理を行う必要があるのです。
サプライチェーンリスクも内在
サイバー攻撃が細分化・局地化した近年は、コンシューマー向けに開かれたB2Cだけでなく、企業向けのB2Bの領域も注意が必要です。サプライチェーン全体にドメインの失効が周知されていない状況で、取引先とその社内システムが旧ドメインを参照していると、攻撃者に通信内容を把握されてしまいます。例えば、旧ドメインで動作していたAPI(プログラムを連動する仕組み)の仕様、ソフトウエアの自動更新URLの存在などが傍受され、ここから不正なプログラムが埋め込まれるようなリスクもゼロではありません。
この他にも、旧ドメインがスパムメールの配信やビジネスメール詐欺に使われる可能性もあります。攻撃者がスパムサイトとして利用すれば、検索エンジンにスパム判定され、企業名検索でも怪しげなサイトが並んでしまいます。ドメインを引き継いだサイトが詐欺や違法ギャンブルに関与していれば、サプライチェーンの関係者だけでなく、社会的な信用も失ってしまうでしょう。
ドロップキャッチから身を守る予防線
ドロップキャッチの悪用から被害が発生しやすいのは、失効後のドメインに実績と信用の“余波”が残り、多くのアクセスが期待できる文字列です。その分野の著名企業や官公庁などのドメインが中心ですが、サイバー攻撃の対象がビジネス社会のすそ野まで広がった現在は、サプライチェーンの一角にある中小企業も、攻撃者の視界から外れることはないでしょう。
このリスクから身を守る方法は、ルールの理解が起点になります。
ドメインの失効には、意図的な失効と意図しない失効があり、前者は新製品の期間限定キャンペーンなどで開設したサイトを終了後に閉鎖するようなケースです。そして後者の大多数は管理ミス。有効期限が切れるドメインの更新手続きを忘れ、失効してしまうパターンです。期限が切れても管理組織が定める猶予期間なら更新手続きができますので、レジストラからの連絡は見逃さないようにしてください。
“連絡を見逃さない”のはビジネスの鉄則としても、意図しない失効が起きているのは見落としが生じやすいからです。例えば、申請時の担当者が退職して連絡メールが届かない、申請時と管理部署が変わり責任者が曖昧なまま放置してしまう、迷惑メールフォルダに誤配されたまま気づかない、といったミスはよく耳にします。またドメインの登録と更新には、少額の費用(数千円/年)がかかりますが、クレジット決済にしていた場合、法人カードの有効期限が切れて処理できずに失効したケースもあるようです。
ドメインのライフサイクル。汎用jpドメインの場合、有効期限は1年で自動更新されるが、
支払い方法の登録ミスなどの原因で更新処理が停止する場合もある
出典:日本レジストリサービス(JPRS)
https://jprs.jp/about/dom-rule/lifecycle
ドメインもライフサイクル管理を
ドロップキャッチの悪用対策は、予期せぬ失効の原因から学ぶことができます。
まず責任者と管理部署の明確化。異動時に引き継ぐ方法も明文化しておきます。連絡先を個人から部署のアドレスへ、カード決済から請求書払いに変更といった対策も有効です。イベントなどの一時的なドメインの管理が複数部署に分散しているとしたら、この機会に一本化を考えてもいいでしょう。
ドメインにもライフサイクル管理の発想は必要です。
メインのドメインは企業活動が続く限り継続し、臨時で開設するドメインは一定期間後に閉鎖するなどの方針を決めたら、それに応じた運用と安全対策を行います。例えば、一時的なドメインを意図的に停止する場合、若干の維持費は発生してもドメインを持ち続けるか失効させるかを選択しますが、後者の際もサイトへのアクセスが周囲への影響が出ないところまで減少した時点で止める必要があります。
また中長期の企業活動も視野に入れ、ドメインの申請時には、部署の統廃合や関連企業との共同事業の予定といった要素も加味し、ドメイン名とサイトの構成を設計できればベターでしょう。
ドメインは企業の知的財産の一つです。取得して終わりではありません。ドロップキャッチによるリスクも考慮し、サイトの起動時から安全な運用を続けてください。