HOME > 最新レポート >「ドメイン名の乗っ取り」によるブランド失墜を防止しよう

「ドメイン名の乗っ取り」によるブランド失墜を防止しよう

Webドメインマーケティングに関する最新の話題をレポートします。 (毎日コミュニケーションズ発行 Web Designing編集部による当Webサイト向けの協力記事です)

ある日、自宅に帰りドアを開けて中に入ったら、見ず知らずの他人の家になっていた。こんなドッキリ的なテレビ番組をみたことはないだろうか。視聴者として見ている分には面白いが、これが現実に起こったら笑い話ではすまされない。しかし、こんな笑えない事件がインターネットの世界では、現実に起こり得る。それが「ドメイン名の乗っ取り問題」だ。今年、6月末に総務省や日本レジストリサービス(JPRS)、情報処理推進機構(IPA)といった情報セキュリティに関係する機関から、注意喚起が相次いでおこなわれた。ブランドイメージの失墜にもつながりかねない重要な問題だが、普段から適切な管理を実施しておくことが、それを防止することになる。今回はその概要と対策について考えてみたい。

■ドメイン名の“乗っ取り問題”とは

最近の広告には、ほとんどといっていいほど独自ドメイン名を使ったURLが表記されている。Webサイトは、ユーザーがその会社とコミュニケーションをとる上で、非常に重要な場になってきている。それだけに、表記しているドメイン名については細心の注意を払って運用する必要がある。万一、そこで何かトラブルが起これば、それは企業の信頼を失墜させることになりかねないからだ。

そんな中で、先頃、情報セキュリティに関係する機関から、相次いで、とある注意喚起がなされた。この注意喚起を、メディアは「ドメイン名の乗っ取り問題」というショッキングな見出しで報道したので、ご記憶の方も多いと思う。この問題をひと言で説明すると、悪意のある第三者がDNSの不適切な管理状態につけ込み、ユーザーを本来とは違うサーバに振り向けてアクセスさせることを指す。

ドメイン名を乗っ取られると、無関係なコンテンツを表示させることはもちろん、フィッシング詐欺的なこともできてしまう。その結果として、企業のイメージにも大きなダメージを与えかねない。Webシステムの担当者だけでなく、ブランドマネージメントや広報、マーケティングなどを担当する部門としても注意を払っておきたい問題だ。

情報処理推進機構(IPA)のサイト

http://www.ipa.go.jp/

ドメイン名の登録とDNSサーバの設定に関する注意喚起(2005/6/27)

このDNSの不適切な設定については、各機関の発表内容を参照して、正しく理解されることをお勧めしたい。(なお、DNSやドメイン名の仕組みといった基本事項について知りたい方は下記が参考になるだろう。)

■DNSの不適切な設定とは

ドメイン名は、「DNSサーバ」の設定によってWebサイトと紐付けられている。一般的には、企業側が運用しているDNSサーバは、負荷分散やバックアップのために、1つではなく、複数運用されている。そのため、1つ目(プライマリDNS)は正しく設定されていても、2つ目(セカンダリDNS)に誤った設定になってしまっているケースもある。これもDNSの不適切な設定の一例である。同様に、セカンダリDNSを社外の業者に委託しているケースで、その業者との委託契約切れや、委託業者のDNSサーバ変更・廃止によって、一旦セカンダリDNSが存在しなくなり、別の第三者が新たにそのセカンダリDNSを立ち上げる(乗っ取る)ことが可能な状態となってしまっている例もある。

もっと単純なケースとして、DNSサーバにドメイン名を設定する際の記述ミスがトラブルを引き起こす場合もある。たとえば、「ns2.mycom.co.jp」としなければならないところを、「.」を抜かして「ns2mycom.co.jp」としてしまい、悪意のある第三者にそれを発見されて「ns2mycom.co.jp」のドメイン名を取得され、フィッシング詐欺的なWebサイトを立ち上げられてしまうといった場合だ。

このようにDNSサーバの設定や管理面での不手際が、「乗っ取り問題」の温床になってしまうのだ。Webサイトの運用やドメイン名の取得に携わる担当者は、日頃からしっかりとした管理体制を心がけておきたい。また、広告などマーケティングに関わる担当者も、宣伝媒体に安心して掲載できるように、所有しているドメイン名について定期的に確認するプロセスを確立しておくべきだろう。

■ドメイン名の登録者自身がチェックする意識を持つことが第一歩

例えば、下記のような観点で定期的なチェックをおこなうことで、危険度はかなり低くなるだろう。

項目 内容
チェック1 自分の会社や担当ブランドではどんなドメイン名を持っているか
(取得しているドメイン名の一覧を完備しているか)
チェック2 そのドメイン名の有効期間はいつまでか
(期限切れがせまっていないか)
チェック3 ドメイン名の管理者は誰の名義になっているか、連絡先情報は正しいか
(メールアドレスや電話番号が古いままになっていると、有効期間や更新手続きに関する連絡が伝わらないことがある)
チェック4 自社が運用または運用委託している正しいDNSサーバを把握しているか
(外部に委託の場合は、委託先業者の連絡先も把握しておく)
チェック5 そのDNSサーバは正常に稼動しているか
(停止していたり、存在しなくなっていたりしてないか)
チェック6

ドメイン名の設定内容
(ドメイン名に設定されているDNSサーバーが正しいかどうか。なお、ドメイン名の設定はWhoisで検索できる。チェック4で把握したDNSと合致しているかを確認するとよいだろう)

*参考URL-Whois-
http://whois.jprs.jp/
http://www.internic.net/whois.html

チェック7 DNSサーバの設定内容
(正しい転送先が設定されているか)

チェック4以降はシステムの運用担当者でないと確認できないかもしれない。だが、マーケティングの専任であっても、チェック1からチェック3くらいの事項は、ぜひ管理しておきたい。企業によってはドメイン名の取得担当者が一元化されておらず、社内にどんなドメイン名があるのかを把握しきれていない場合も少なくない。しかし、これではいくら対策を講じようとしても、管理の対象から漏れてしまいかねない。ドメイン名の取得手続きを確立し、窓口を一本化しておくことも重要なポイントだ。

また、ドメイン名の取得担当者ならば、トップレベル・ドメイン名を管理運用している組織(レジストリ)がおこなっている取り組みについても留意しておきたい。「.JP」で終わるトップレベルドメイン名のレジストリである日本レジストリサービス(JPRS)がおこなっている取り組みがそれだ。JPRSでは、不適切なDNS設定の状況を調査している。そして、問題があるサーバがあった場合、その管理者に対しては、直接メールなどで注意を促すケースもあるという(前述の管理項目3にあげたように、ドメイン名の管理者の連絡先を正しく登録しておくことが重要だ)。また、その他にも不適切なDNS設定に関連する情報提供を継続的に実施していくとしている。「.jp」ドメインを利用している場合は、時折JPRSの Webサイトを閲覧すると良いだろう。

なお、この注意喚起や情報提供は、あくまでもJPRSの管理範囲である「.jp」に関する部分だけのものである。「.com」や「.net」など他のドメイン名は対象とはならないので注意してほしい。また、キャンペーンなどの短期イベント用ということで、安易にドメイン名を選んでしまうケースもあるが、「.jpドメイン名」のように、レジストリによるサポートの充実度をしっかり見極めてから申し込むのが望ましい。

JPRSのサイト

http://jprs.co.jp/

JPRSのプレスリリース。参考URLとしてDNSの設定状況の確認方法やドメイン名の乗っ取りの対策なども紹介するWebサイトにもリンクされている。

このようにドメイン名の取得から運用における日々の管理は大切だ。安全なWeb運用とブランドイメージ維持のためにも、一度、あなたの所属する企業・組織でも管理状態を見直してみてはいかがだろうか。

(協力:Web Designing編集部)

Copyright © 2003-2005 Webdomainmarketing Secretariat. All Rights Reserved.