見出し画像

ドメイン乗っ取りを防ぐには!?

インターネットが広く一般に利用されるようになったのは、1990年代後半~2000年代前半頃かと思います。以来20年余りで、多くのビジネスがウェブサイト上での展開を始め、今ではウェブサイトのみでビジネスを展開する企業も存在するようになりました。

ウェブサイトを作り、メールでやり取りするには「ドメインネーム」が必要です…と言うか、ドメインネームが無いと、せっかく作ったウェブサイトを誰も見る事ができず、メールでのやり取りも出来ません。普段あまり意識する事は無いと思いますが、実はドメインネームは、現代のビジネスでは凄く重要なものなんです。
特許や商標の管理は重要!と考えるのであれば、ドメインネームも同様にマネジメントをするべきだと思います。

オンラインビジネスでの重要な要素のひとつに「オンライン詐欺との戦い」があります。サッカー日本代表の応援同様「負けられない戦い」がそこにあり、厄介な事に休みなく続きます。「週末はキャンプに行くから、サイバー攻撃止めてくれないかなー」とはいきません。オンライン詐欺を働く多くは、お金が欲しいが為にデジタルエコノミーの弱点を悪用する組織や個人です。ウェブサイトやオンラインショップに定休日が無いように、攻撃する側も特に定休日は無いと思います(オンラインだし…)。

オンライン詐欺には様々な形がありますが、長期に渡り使われる手法の一つに「ドメインハイジャック(domain hijacking)」があります。ドメインネームを「悪意のあるウェブサイト」へ転送させる方法です。「え?そんなにアブナイの?」と思ってしまうほど、現在では大きな詐欺の手法ではなくなりましたが、とは言え、ドメインハイジャックが完全に無くなった訳ではありません。一部では、詐欺により搾取されるウェブサイトは、一日30,000サイトとも言われています。すべてが、大企業や著名ブランドに対するものではなく、また、すべてが重要サイトに転送されるとも限りませんが、リスクが減った訳ではありません。

詐欺を働く組織や個人ですが、中にはお金が目的ではないと言うケースもあります。企業等が既に登録したドメインネームを乗っ取った上で、別のウェブサイトに転送する事もあります。例えば、何らかの「情報提供・問題提起の手段」として、活動家がドメインハイジャックする事もあります。企業の評判に影響し、事業継続に支障をきたす事も考えられます。

では、ドメインハイジャックにはどうやって防ぐべきでしょうか?

ドメインハイジャックの防止策として、「レジストリロック」があります。レジストリロックは、ドメインネームの登録情報(DNS records)の変更を行う場合、承認された人物のみが情報を変更出来るシステムです。レジストリロック設定後は、情報へのアクセスに二要素認証(2FA)が必要となるため、情報変更が非常に難しくなります(情報変更が出来なくなる、と言うべきですが、いつバッドボーイズが新たな悪い事を思いつくか分からないので、現時点では非常に難しいと思ってください)。

この、ドメインネームの情報変更を防ぐ「レジストリロック」は、企業のドメインセキュリティーの基本と考えるべきであり、利益を生むウェブサイト、重要な内部システム、大規模投資をしたマーケティングキャンペーン等で使用するドメインネームには必要ではないでしょうか。
「ドメインロック」は、不正アクセス等により利益の流出や企業評価に影響が出た場合の損害保険と同様に考え、内部のドメインポリシー(登録ルール)に組み込まれるべきです。

また、一部のレジストラでもドメインロックを提供しています。これは、悪意の下、レジストラのドメイン管理画面で登録情報が変更・削除・移管等が行われる事を防ぐものです。ですが、レジストラ管理画面でのドメイン情報変更等の操作は、レジストリへの情報変更リクエストであり、最終的にレジストリで実行されます。つまり、レジストリロックが設定されていれば、例えレジストラ管理画面で悪意のある操作が行われても、リクエストは全て無効となり、レジストリでは実行されません。

既に、.COM、.NET、.UK、.JP等の多くのドメインでレジストリロックを導入しており、現在では多くの新gTLDでも導入を検討しています。ICANN認定レジストリからは、レジストリロックを必須のサービスとする事を求める声が増えています。

ドメインハイジャックは今後も詐欺の一手法として利用が続けられると思われます。
企業は、自社とグループが管理するドメインネームのリストを見直したうえで、重要なドメインネームにはレジストリロックを設定するべきではないでしょうか。
そう、重要なドメインネームだけで良いと思います。全部は必要ないと思います。保険だと思ってご検討ください。

※ レジストリ・レジストラについてはこちら

ドメインネームに関するお問い合わせは、Com Laude株式会社まで!

いいなと思ったら応援しよう!