あなたが失効したのは金のドメイン名ですか、銀のドメイン名ですか:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(42)
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第42列車は「ドメイン名失効」です。※このマンガはフィクションです。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
「こうしす!」とは
ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。
その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。
「こうしす!@IT支線」とは
「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。
第42列車:ドメイン名失効で驚愕(きょうがく)!
井二かけるの追い解説
今回のテーマは、「ドメイン名失効」です。
ドコモ口座のドメイン名「docomokouza.jp」や厚労省が提供していたWebサイトのドメイン名「covid19-info.jp」が失効し、ドメイン名オークションにかけられた、という事案がSNSをにぎわせました。そして、岡山県が過去に使用していたドメイン名が第三者に取得され、注意喚起を行った事案も話題となっています。
「ドコモ口座」のドメインが第三者から購入可能な状態に 「本当にヤバい」「悪用される」と話題に(ITmedia NEWS)
岡山県「過去に使ったドメインを第三者に再取得された」 管理者にリンク削除を要請(ITmedia NEWS)
TLSの電子証明書のうっかり失効と並んでよく聞く、そしてより深刻な事態がドメイン名の失効です。
「うっかり」という場合だけでなく、「事業撤退や統廃合などの理由で意図的に更新しない」こともあるでしょう。その結果、第三者にドメインを取得されることがあります。
安易に「ドメイン名」を手放すリスク
失効したドメイン名を第三者が取得することは「ドロップキャッチ」と呼ばれています。ドメイン名が第三者の手に渡った場合、同じURLで全く関係のないWebサイトを運営される可能性があります。必ずしも全ての「ドロップキャッチ」が不正なものとは限りませんが、その一方で、故意に誤認や混同させるようなコンテンツを掲載されたり、高値で転売されたり、マルウェアを配布するサイトや犯罪に関わるようなサイトを運営されたりするリスクもあります。このような不正な行為は「サイバースクワッティング」と呼ばれており、「ドロップキャッチ」はその手法の一つとして知られています。
公共性の高いドメイン名を簡単に手放してしまった結果、同じドメインで偽サイトを立ち上げられてしまった事例も存在します。
経産省「コンテンツ緊急電子化事業」偽サイトに注意 事業終了後、第三者が「.jp」ドメイン取得 ウイルス感染のおそれ(ITmedia NEWS)
新居浜市の偽サイトが「オンラインカジノ」に誘導、旧ドメインを悪用か(HUFFPOST)
利用者が多い、あるいは公共性の高いドメインほど被リンク数が多くなることから、SEOや悪用の観点で失効を狙われやすくなります。ドメインを悪用されると、そのドメイン名で運営されていたサイトの利用者をリスクにさらすことになってしまいます。
ドコモ口座の事例では、オークションで最終的に402万円まで値段がつり上がってしまいました。
今回はたまたま注目されたことも原因の一つではありますが、それだけのお金を出してでもそのドメイン名を欲しい人がいた、とも考えられます。
もちろん、オークションにかけられずに第三者に即取得されるケースでは買い戻す機会も与えられません。ドメイン名紛争処理方針に従って申し立てしたり、裁判したりもできますが、確実に取り戻せる方法はありません。
事業を営む上で、一度取得したら安易に手放してはいけないのがドメイン名といえるでしょう。
安易にドメイン名を取得せずサブドメインを活用する
ドメイン名は手軽に取得できますが、永久に独占できるものではありません。
一般に、ドメイン名はレジストラに対して登録料金を支払えば一定期間独占でき、更新料金で延長できるという仕組みです。汎用(はんよう)JPドメインは、日本国内に住所があれば誰でも何個でも登録できるもので、取得のハードルは高くありません。しかし、維持費だけでなく、更新を忘れないための管理コストが必要なため、新サービスが始まるたびに新しいドメインを取得していると、コストがかさみ、うっかりのリスクも高まります。
組織のドメイン名を1つだけ取得し、サブドメインで運用するというのが、ドメイン失効によるトラブル対策の一つの方法です。「○○.jp」を取得するのではなく、「○○.example.co.jp」というように、自組織のサブドメインとしてWebサイトを運用するというものです。
そうすると管理すべきドメイン名を1つに絞れるため、更新コストや管理コスト、うっかりミスのリスクを減らせます。
サブドメインは、「長いと利用者に覚えてもらえない」「ドットの数が多いと見栄えが悪い」などという理由から敬遠されがちです。また、事業譲渡に備えると、事業ごとにドメインを取得する方が望ましいという考え方もあるでしょう。また、商標を保護するために、利用予定がなくとも取得しておく必要があるというケースも考えられます。
とはいえ、スマートフォンが普及した現在では、URLを手打ちする機会は少なくなりました。検索やQRコードでアクセスすることが多く、以前ほどURLの見栄えを気にする人は少なくなったでしょう。事業譲渡においても、一定期間リダイレクトすればいい場合もあることでしょう。こうした点も、ドメインの取得前に慎重に検討する必要があります。
属性型JPドメイン名を使用する
「○○.jp」という汎用JPドメイン名ではなく「○○.go.jp」のような属性型JPドメインを使用することも一つの対策です。
行政機関が運営する公共的なWebサイトであれば、行政機関のみが取得できる「go.jp」や「lg.jp」を取得することが一つの対策となるでしょう。
企業では「co.jp」ドメイン名を使用できますが、こちらは、会社法人や有限責任事業組合などであれば誰でも登録できるため、ドメイン失効により第三者に取得されるリスクはゼロではありません。また、会社設立前や登記手続き中であっても6カ月を期限に仮登録できる制度があるため、現段階で法人でなかったとしてもドメイン名を取得できます。
とはいえ、他人のドメイン名を取得するためだけにダミー法人を設立、運用するコストまで負担する事業者は少ないでしょうから、一定のリスク低減には寄与することでしょう。
ドコモ口座のような事例を考えると、将来的には、金融分野などの許認可が必要な公共的な事業専用の属性型ドメインも必要になってくるのではないかと筆者は考えます。
求められるドメイン名「永年供養」の仕組み
理想論としては、ある特定の個人や法人が長期間ドメイン名を独占するのは望ましいことではありません。ドメイン名はいわば公共財であり、受益者負担金により占有することが認められているようなものだからです。必要がなくなれば、他に必要とする第三者の手に利用権が渡るのがあるべき姿です。
とはいえ、公共性の高い事業のために取得したドメイン名でサイバースクワッティングのような行為が横行するのは公共の利益に反することです。従って、一定の負担金の納入によりドメイン名を永久欠番とできるような、いわばドメイン名の「永年供養」のような制度を求める声があります。
もしそうした制度があれば、セキュリティ専門家が、失効したドメイン名や紛らわしいドメイン名を取得して、公益のために、一定期間ドメイン名を使用不能にするということにも活用できるかもしれません。
とはいえ、一体どれだけの負担金を課せば十分といえるのか、その負担金で永久にドメイン名を取得できないようにしてしまってもいいのか、期限を区切るなら何年間使用できなくすれば十分なのか、なかなか難しい問題です。それでも現状を鑑みれば、具体的な動きがそろそろあってもいいのではないかと筆者は考えています。
筆者プロフィール
原作:井二かける
アニメ「こうしす!」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。
著書:「こうしす!社内SE 祝園アカネの情報セキュリティ事件簿」(翔泳社)
「ハックしないで監査役!! 小説こうしす!EEシリーズ 元社内SE祝園アカネ 監査役編 [1]」(京姫鉄道出版)
dアニメストアにて、アニメ『こうしす!EE』配信中。
- Twitter:@k_ibuta
解説:京姫鉄道
「物語の力でIT、セキュリティをもっと面白く」をモットーに、作品制作を行っています。
原作:OPAP-JP contributors
オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす!」を制作中。
- Twitter:@opap_jp、@kosys_pr
- 公式サイト:Open Process Animation Project Japan(OPAP-JP)
- 貢献者一覧:こうしす!/クレジット
関連記事
【クイズ】「個人情報などの不正取得を目的とした、正規ドメインに酷似したドメイン名……」とは? 他
最新IT動向のキャッチアップはキーワードから。専門用語で煙に巻かれないIT人材になるための、毎日ひとことキーワード解説。用語の意味から隠されたIT用語が何なのか当ててみよう。
偽SMSを送ってくるドメインの上位は何? デジタルアーツがフィッシングサイトで使われるドメイン名を分析
デジタルアーツは、フィッシングサイトのドメイン名に関するレポートを公開した。2021年上半期に収集した国内外のフィッシングサイトのドメイン名に頻出する文字列で、最も多かったのは「amazon」だった。
古くて新しい攻撃手法「ドッペルゲンガードメイン」とは
正規のドメインに似たドメイン名に間違ってメールを送信してしまう事故が、忘れた頃に報道される。メールアドレスのタイピングミスが主な原因だが、ミスを誘導しやすいドメイン名が悪用されているのも一因だ。こうした正規のドメインに似たドメイン名とは……。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。