企業におけるドメインの利用

多くの企業は、ステークホルダー向けのコーポレートサイトを用意しています。BtoCの企業の場合、このサイトとは別に顧客向けの情報サイトを用意することがあります。更に、商品のキャンペーンや新サービスの告知などで特設サイトを使用することもあります。

このようにWebサイトを作成する際必要になるのが「ドメイン」です。

ドメインは、インターネットにおいてWebサイトを提供しているコンピュータの住所を指し示す情報です。世界で重複が発生しないように、「ICANN（Internet Corporation for Assigned Names and Numbers）」という組織によって一元管理されています。企業が新たにドメインを利用したい場合、希望するドメイン名を利用するための申請を行います。その際、ドメイン提供サービスに利用料を支払います。

企業においては、一度企業名などのドメイン名を取得した後は、用途に応じて「サブドメイン」を利用するケースが多いです。例えば「〇〇〇.com」というドメイン名を所持している企業であれば、「×××.〇〇〇.com」や「△△△.〇〇〇.com」の「×××」「△△△」の部分がサブドメインとなります。主となる独自ドメインを取得すればサブドメインは自由に作成することができるため、顧客向けのショッピングサイトや会員向けサイト、期間限定サイトではサブドメインでURLを分けることが一般的です。

期限切れドメインの悪用

ドメイン名には利用期限があります。多くの場合、提供サービスに年単位で利用期間を申請し、期限切れが近づくと更新手続きを行います。このとき、ドメイン名を利用しなくなった場合には更新手続きを行わずに、ドメインを手放します。

手放された既存のドメインは、一定期間元の所有者の名義のまま、利用停止状態になります。この期間は手放した元所有者がドメインを復元して再度利用することができます。また、他者によって同じドメインを取得することもできません。

一定期間が過ぎると、同じドメイン名を他の利用者が使用できるようになります。この制度を悪用した事例が、世界中で報告されています。

2016年11月15日、愛媛県新居浜市の市運輸観光課が運用していたサイトの期限切れドメインが第三者によって取得され、偽の観光サイトからオンラインカジノのサイトに誘導するという事例がありました。悪用されたのは、同年3月まで市運輸観光課が運用していた観光サイトのドメインで、第三者によって新たに掲載されたWebページには観光情報と共にオンラインカジノに誘導する情報が表示されていました。実際の被害の報告や相談はありませんでしたが、自治体が公式に運用していたURLにオンラインカジノへの誘導が掲載されることで、信頼できる安全な情報だと思ってしまう人が出てもおかしくありません。

企業におけるドメイン悪用被害への対策

企業においてドメインを利用するときに、どのようなことに気を付ければいいのでしょうか。

ドメインの利用期間を把握する

まず一つは、現在利用しているドメインを適切に管理することです。

ドメインには必ず登録期限が設定されています。期間は１年単位で申請可能で、まとめて申請する場合は最長10年まで利用できます。期間の満了が近づくと、更新手続きをすることで再度同じドメインを使用できます。しかし、更新手続きを忘れてしまうと、45日間の「自動更新猶予期間」が過ぎた後に誰でも再登録可能な状態になってしまいます。

企業や組織におけるドメイン乗っ取りは、この更新手続きをしなかったことによって発生することがあります。また、ドメインは登録期限内であっても、第三者からの移管申請を承諾することで他者に譲ることができるようになっています。このとき、移管依頼の申請を受けてから10日以内に現在の登録者が返事をしなければ、自動的に承諾・非承諾されたと見なす、というルールになっています。

承諾とするか非承諾とするかは、ドメインを管理しているレジストラによって異なりますが、この仕組みを悪用して現在の登録者の気づかない間に移管手続きを行いドメインを乗っ取る、という事例が発生しています。

過去の事例では、2019年4月に人気アニメ「ラブライブ！」の公式サイトがこの手法でドメイン名を乗っ取られ、Webサイトに乗っ取りを宣言するメッセージが掲載され話題になりました。この事例では、乗っ取り後に悪意のあるリンクやファイルが掲載されることはなかったため利用者の実被害は発生しませんでしたが、有名なコンテンツのドメインが簡単に乗っ取られたということで、大きなインパクトを世間に与えました。

このような乗っ取りを防ぐためには、企業で利用しているドメインの利用期間を確認し、更新手続きや利用停止後のプロセスを事前に定めておくことが重要です。また、利用しているドメインを管理しているレジストラの利用規約を確認し、移管申請があったときの手続きの流れを把握しておくことで意図せぬ移管手続きによる乗っ取りを防ぐことに繋がります。

類似ドメインの利用状況をチェックする

有名企業のBtoCサービスにおいて問題になるのが、なりすましサイトによるフィッシング詐欺です。多くの場合、なりすましサイトには正規のWebページの内容がそっくりそのまま表示されるため、利用者は怪しい不正なサイトかどうかを見分けるためにURLに着目します。

このとき、正規の企業やサービスと全く関係のないドメイン名であれば、不審さに気づきやすくなります。しかし、正規のドメイン名によく似たドメイン名を使用されると、利用者が不正サイトであることに気づかず被害に遭う可能性が高まります。

ドメイン名の登録状況は、各レジストラやJPドメイン名の登録管理を行うWhoisサービスで参照することができます。企業で確認すべき類似ドメイン名を策定し、定期的に利用状況のチェックを行うことで、利用者へのフィッシング詐欺を未然に防ぐことに繋がります。

サブドメインを活用する

企業では、新商品やイベントに合わせたドメインを使用したい場面があるでしょう。このとき、新規にドメインを取得するのではなく、「新製品.example.com」のようにサブドメインを活用することで、必要以上のドメインを取得・管理する手間を削減することができます。前述のようなドメインの利用期間や類似ドメインのチェックは、所持するドメインが増えるほど煩雑になります。また、利用者としても企業とドメインの結び付けが難しくなり、なりすましサイトの被害が発生する恐れがあります。

サブドメインは元となるドメインの利用申請があれば基本的に自由に追加できるので、広報やサービス提供に役立てることができます。

最後に

Web技術と企業独自のドメインは、今日のビジネス活動に欠かせない存在となっています。利用者のフィッシング詐欺被害やドメイン乗っ取りによるブランドイメージ毀損を防ぐために、ドメインの運用プロセスを見直して適切に運用しましょう。