「去年やったキャンペーンのサイト、もう終わったからほっといていいよね」
「採用サイト、リニューアルしたから古いURLはもう使わないな」
そう思って放置したドメイン、今どこへ向かっているか確認したことはありますか?
こんにちは、こんばんは。TechAtlas(てっくあとらす)です。
今回は、愛媛県が過去に実施したイベントのサイトドメインが第三者に取得され、詐欺サイトとして悪用されているというニュースから考えていきます。
参考記事
※以下は上記記事を読んだ上での個人的な考察です。
記事の概要
愛媛県が2024年に実施した「よどまちサイクルデジタルスタンプラリー」というイベントがあります。
参加者が自転車で地域を巡りながらデジタルスタンプを集めるイベントで、専用のサイトが用意されていました。
そのドメイン yodomachi-cycling2024.com が、イベント終了後に更新されないまま失効しました。
その後、何者かがそのドメインを取得し、現在はサポート詐欺への誘導ページとして悪用されています。
愛媛県は「表示されているコンテンツは当県とは一切無関係」と警告を出し、アクセスしないよう呼びかけています。
何が起きているのか
- イベント終了 → ドメインの更新をしなかった
- 更新されないまま、ドメインが失効
- 失効したドメインを第三者が取得
- そのドメインに、サポート詐欺へ誘導するページを設置
- 過去にURLをブックマークしていた人や、ネット検索で古い情報にたどり着いた人がアクセスしてしまう
ドメインを失効させた側に悪意はありません。
「使い終わったから放置した」だけです。
でも、そこを悪用する人がいるのが現実です。
この記事から考えたいこと
「公的機関の話だから、うちには関係ない」と思いたいところですが、中小企業でも同じことが起きえます。
心当たりはありませんか
以下のようなケース、思い浮かびますか?
- キャンペーンサイト:期間限定キャンペーン用に作ったLP(ランディングページ)のドメインを、キャンペーン終了後に放置
- 採用サイト:採用活動のために取得したドメインを、採用が終わったあと更新せず放置
- 旧サービスサイト:廃止した事業やサービスのサイトドメインをそのまま失効させた
- 旧ブランドのURL:社名変更・ブランドリニューアル後、旧ドメインを放置
いずれも「もう使わないから更新しなくていい」という判断は自然です。
でも、失効したドメインは誰でも取得できます。
そして、「もともと公的機関や企業が使っていたドメイン」は、信頼性があるように見えるため、詐欺サイトに転用したときに被害が出やすいのです。
なぜ「放置ドメイン」が狙われるのか
攻撃者がわざわざ失効したドメインを取得するのには、理由があります。
理由1:検索エンジンの評価が引き継がれる
長く使われていたドメインは、検索エンジンからの評価(SEO的な信頼性)が蓄積されています。
新しいドメインを取るより、既存の評価を引き継いだほうが、詐欺サイトとして機能しやすいのです。
理由2:過去の情報から流入する
過去にそのURLを紹介した記事、SNSの投稿、プレスリリース、チラシのQRコードなど。
インターネット上やリアルな媒体に残った情報から、今もアクセスが発生します。
今回のイベントでも、当時参加した人がブックマークしたままにしていたり、古いブログ記事がリンクを張っていたりすることで、まだアクセスが続いているはずです。
理由3:なりすましに使いやすい
「愛媛県のイベントサイトだったドメイン」を使えば、「愛媛県に関連したサイトっぽく見える」効果があります。
中小企業でできる「ドメイン棚卸し」
対策は2つです。「現状把握」と「手放し方の工夫」。
現状把握:今持っているドメインを確認する
まず、会社が保有しているドメインの一覧を確認しましょう。
ドメインを取得したレジストラ(お名前.com、ムームードメイン、さくらのドメインなど)の管理画面から確認できます。
確認するポイントは以下です。
- 今もアクティブに使っているか
- 更新期限はいつか
- 使っていないドメインはあるか
意外と「もう使っていないけど、なんとなく更新してきた」ドメインが見つかることがあります。
手放し方の工夫:失効させる前に「もう使わない」と伝える
ドメインを失効させる場合は、事前に「このURLは今後使われません」という告知をしてから失効させることをお勧めします。
具体的には:
- 失効前に公式サイトやSNSでお知らせを出す(「〇〇のURLは△月△日以降使用しなくなります」)
- リダイレクト設定で現在の公式サイトに誘導してから、その後失効させる(移行期間を設ける)
- メールアドレスで使っていたドメインの場合は、関係者に通知する
「黙って失効させる」より「失効することを伝えてから失効させる」ことで、古い情報からアクセスした人が詐欺被害に遭うリスクを減らせます。
今日からできること
- ドメインのレジストラ管理画面にログインし、保有ドメインの一覧を確認する
- 使っていないドメインがあれば、失効予定日を確認する
- 失効させるドメインがある場合、公式サイトやSNSで事前告知の方法を検討する
先週の「退職者アカウントの棚卸し」と同じ発想です。
「使わなくなったもの」を適切に処理せずに放置すると、それが攻撃の入口になる。ドメインも、アカウントも、同じ構造です。
まとめ
今回のポイントをまとめます。
- 愛媛県の過去イベントサイトのドメインが失効後に第三者に取得され、詐欺サイトに転用された
- 失効ドメインは誰でも取得できる。検索評価の引き継ぎや過去リンクからの流入により、詐欺に悪用されやすい
- 中小企業でも、キャンペーンサイト・採用サイト・旧サービスのドメインを放置しているケースがある
- 対策の第一歩は「保有ドメインの棚卸し」=使っていないドメインがないか確認すること
- ドメインを失効させる際は、事前に「使わなくなる」と告知してからにする
退職者アカウントの削除忘れ、シャドーITの放置、そして今回のドメイン放置。
共通しているのは「使わなくなったものを、きちんと手放す」ことができていないという問題です。
増やすことよりも、不要なものをきちんと整理する習慣が、セキュリティを地道に強くしていきます。
また気になるニュースがあったら、考察記事を書きたいと思います。
経営者から聞かれたときの回答例
もし経営者から「うちも昔キャンペーンサイト作ったけど、あのURL大丈夫?」と聞かれたら、こんな感じで答えてみてはいかがでしょうか。
「ちょうど確認しようと思っていました。今回、愛媛県の事例で、使い終わったイベントサイトのドメインが失効後に詐欺サイトとして悪用されたというニュースがありました。
うちでも、過去に作ったキャンペーンサイトや採用サイトのドメインが残っているかもしれません。ドメインの管理画面を確認して、今どんなドメインを持っているか、使っていないものはないかを棚卸しします。
もし使わないドメインがあれば、失効させる前にその旨をSNSや公式サイトでお知らせする形にします。黙って失効させると、古い情報からアクセスした方が詐欺サイトに誘導されてしまう可能性があるので。
今週中に確認して、報告します。」
「すでに問題が起きているかもしれない」という不安を持ちつつも、「確認して対処する」という行動に落とすことで、経営者が安心できます。「今週中に確認して報告する」という期限を自分で設けることも、信頼につながります。
TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中
ブログ: 中小企業IT担当者のスタートガイド
