あなたの会社は大丈夫？ ドメイン放置→悪用の危険性 今すぐできるフィッシング対策は：ITりてらしぃのすゝめ（2/2 ページ）

[宮田健，ITmedia]

　昨今ではこのように、企業サイトと似たようなドメイン名を取得してのフィッシング行動も目立つわけで、利用者からすると「ドメインを見ただけでは本物のサイトか分からない」という状況に近いです。

　それを考えると、企業はキャンペーンなどの施策ごとにドメインを取るという行為を避けるべきではないでしょうか。単発のドメインが運用後放置される事例も多く、これがフィッシングに悪用されるとさらに困ったことになります。特にフィッシングに狙われた経験のある企業は、できる限り“1つのドメインを活用する”ことを考えてください。そのドメインが誰のものかが明示的に表示される、EV SSLのような仕組みを使うのもいいでしょう。

今年5月、内閣府のWebサイトに「恋人作るより風俗嬢」というWebサイトのリンクが張られたことがネットで話題に。ドメインを放置していたことが原因

• 内閣府のサイトから風俗体験記にリンク　削除忘れドメイン失効→第三者が再取得
• 存在しない大学、なぜだまされた？　「URL」でWebサイトの安全性が分からない時代
• 第三者に疑似ドメイン名を取られた――「偽ドメイン」奪取の一部始終、JPCERT/CCが公開

　さらにもう一つ。「自社のブランドに関係しそうなドメインが取得されていないか」を常に把握する必要があると考えています。上記ではドメインの取得を有志がウォッチしているわけですが、これは企業自身も行うべきことかもしれません。

　ブランドを運用していたり、商標を持っていたりする企業ならば、もっと素早く、確実な対処が可能なはず。可能であればむしろ企業自身が、ブランド名や似たような名前のドメインを使われないように確保しておくことも重要かもしれません。

個人だって、役に立てる

　先日、にゃんたくさんとhiro_さん（@papa_anniekey）による講演を聴いたときに、上記のような活動をお聞きし、大変感銘を受けました。お二人ともセキュリティ企業の中にいながら、分析やまとめを個人レベルで精力的に行ってくれており、頭が下がる思いです。

左がhiro_さん（@papa_anniekey）、右がにゃんたくさん（@taku888infinity）

　そのお二方が講演中におっしゃっていたのは、「フィッシングの情報を、可能な限り共有してほしい」ということ。もちろん標的型攻撃のような、企業の情報が入ったものは別として、個人向けに“ばらまき型”で行われた、誰もが被害に遭う可能性のあるものに関しては、メール本文や差出人、ダウンロード先URLが共有できれば、被害を未然に防げる人もいるかもしれないからです。

　実際、Twitterに投稿された「こんなスパムメールが来た！」という情報を丁寧に集めているそうで、それらも基にしながら「ウイルス付メールまとめ」を作成し、公開しているとのことです。これを見ると、どれだけばらまき型メールが頻繁に来ているのかがよく分かりますね。

• ウイルス付メール（ばらまきメール）まとめ/External disclosure _ virus mail summary（Google スプレッドシート）

　Twitterで投稿するだけでも、あなたの行動は日本の誰かの役に立つわけです。できればすぐに見つかるように、それっぽい言葉と一緒に投稿してくださいませ。

---

　にゃんたくさんとhiro_さんは、講演の最後に「ぼくたちと一緒にサイバー攻撃に対抗していきませんか？」と問いかけました。単にTwitterにメールのスクリーンショットを投稿して教えてくれるだけでも「立派なホワイトハッカーですよ！」とお二人は述べます。セキュリティはみんなで考えるべきもの。ぜひ、ご協力を。

一緒にサイバー攻撃に対抗していきませんか？

著者紹介：宮田健（みやた・たけし）

『デジタルの作法』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より：

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド＆PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。