他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、攻撃者の目線でセキュリティ対策について考えます。
株式会社トライコーダ 代表取締役
上野 宣 氏
奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。
攻撃者はサービス終了後のドメイン名を狙う
ドメインを廃止すると何が起きるのか
2021年10月に終了した、「ドコモ口座」という株式会社NTTドコモ(以下、NTTドコモ)の送金・決済サービスがあります。「docomokouza.jp」というドメインで運用されていましたが、サービス終了後の2023年9月に、GMOインターネットグループ株式会社が運営しているドメインのオークションに出品され、一時的に誰でも購入できる状態になっていました。最終的に約402万円で落札され、現在はN T Tドコモに所有権が戻っています。この件では何が問題だったのでしょうか。
事業としてキャンペーンや新サービスを開始する際に、新規にドメインを取得することがあるでしょう。ドメインは取得するコストも安く、手続きも簡単です。そして、その事業が終了した場合には、取得したドメインは不要になります。ドメインの廃止方法で最も簡単なのは、ドメインの有効期限が来ても更新しないことですが、廃止した後には何が起きるのでしょうか。
廃止されたドメインは、一定期間が経過した後に空きドメインとなり、その後は先着順で第三者が登録できます。後で取り戻そうとしても、第三者が取得してしまった場合には、商標侵害など「JPドメイン名紛争処理方針」(https://jprs.jp/about/dom-rule/drp/)に該当する事由がない限りは、登録や使用を差し止めることはできません。
メールアドレスやリンクは生き残る
事業を展開していると、ほかのWebサイトにリンクを貼られたり、検索エンジンにリンクが掲載されたりします。そのドメインで展開していた事業が人気だったり、長く使われたりしていると、より多くのWebサイトにリンクが残ります。ドメインが廃止されてもほかのWebサイトのリンクは生き残るため、再び第三者がそのドメインを取得した場合には、第三者が構築したWebサイトへ誘導されることになります。その第三者が攻撃者で、悪意のあるフィッシングサイトを立ち上げたとしたらどうなるでしょうか。
また、ドメインを取得するとメールアドレスを作ることもできます。事業を行っていた際には、そのドメインのメールアドレスを使って顧客に告知メールを送ったり、SNSや各種サービスに登録したりすることもあるでしょう。ドメインが廃止された後、新たに同じメールアドレスを作れば、素性を偽って悪意のあるフィッシングメールを配信したり、SNSなどのパスワードを初期化してアカウントを乗っ取ったり、登録した情報を盗み見たりすることができる可能性があります。
攻撃者にとってドメインは攻撃基盤
攻撃者は、攻撃を行う際にドメインを取得することがしばしばあります。そのドメインを使って悪意のあるWebサイトを構築したり、メールアドレスを作って悪意のあるメールを配信したりします。取得するドメイン名として多いのは、正規事業のドメイン名と似たような名前が含まれるものです。正規のドメイン名と似ていて、被害者が錯誤しそうなものほど、悪用する価値の高いドメインとなります。攻撃者にとってドメインは、被害者をだますために非常に重要な要素なのです。
冒頭の「ドコモ口座」の例でオークションに出品されたのは、正規事業者が過去に運営していた正規のドメインですから、攻撃者にとって非常に悪用価値が高いドメインです。もし悪意のある第三者に、過去に利用していたドメイン名を取得されてしまうと、以下のような事態が起こると想定されます。
- 正規のドメインを悪用したフィッシングメールが配信され、偽物かどうかを見分けることが困難になる
- SNSや各種サービスに登録していた場合、メールアドレスを利用してパスワードを初期化され、不正にログインされる
- 正規事業者のプレスリリースやほかのWebサイト、検索結果などに残っていたリンクから、フィッシングサイトへ誘導されるリスクが高まる
上記のことより、正規事業者のドメインには、一般的なフィッシングサイトでよく使われる「似たような名前のドメイン」とは一線を画す利用価値があります。取得できれば被害者をだますことは容易になるでしょう。
ドメイン取得時は廃止後のドメイン継続まで考えて
「ドコモ口座」の例では、ドメインオークションに出品されたことが話題となり注目されました。しかし、ひっそりとサービスが終了し、第三者が自由に取得できるようになっているドメインは無数に存在します。
ドメインを廃止する前に、サービスやメールアドレスの終了を周知し、メールアドレスを利用したアカウントの削除や設定変更、メールアドレスの変更などを行う必要があります。それでもすべての外部サイトからリンクを削除することは容易ではありません。「サービス終了後にどのくらいの期間はドメインを保持し続けるべきか」という具体的なガイドラインはないのですが、ドメインの利用価値がなくなるまでに少なくとも3~5年ほどかかると筆者は考えます。
なお、ドメインを取得する際に10年契約が可能なサービスもあります。サービスが終了した事業に追加のコストを投じるのは難しいかもしれませんので、サービス終了後も見越して、長い期間で契約しておくことをお勧めします。
(「SKYSEA Client View NEWS Vol.94」 2024年2月掲載)