連載
» 2020年11月17日 07時00分 公開

半径300メートルのIT:あなたのドメインでメール運用を始めたら、終わらせるときのことも考えてみよう

テレワークによりチャットツールやWeb会議システムの導入が進み、メールの廃止を検討する企業も少しずつ増えてきたのではないでしょうか。今回は、そのための障害となる独自ドメインについて考えてみましょう。

[宮田健,ITmedia]

 2020年11月12日、日本シーサート協議会の年次会合「EmotetとのCSIRTとしての向き合い方」が開催されました。日本シーサート協議会は、日本で活動するコンピュータセキュリティインシデント対応チーム(CSIRT)間の情報共有及や連携を目的に活動する組織です。日本シーサート協議会副運営委員長兼「GSX-CSIRT」のメンバーである萩原健太氏は、「Emotet」を始めとした組織に致命的なダメージを与えるマルウェアへの対抗策として、4つの“別れ”を提案しました。

萩原健太氏が提案する“別れ”(出典:日本シーサート協議会)

 発表の中で萩原氏は「メールの廃止」に加え、メールにおける「ZIPファイルとパスワードを別送りする『PPAP』の廃止」「添付ファイルの廃止」を提案しました。組織的な観点からは、ソフトウェア導入後のアップデートを怠るリスクを問題視した「導入した製品の放置の廃止」も併せて訴えています。

 萩原氏の提案の中でも、特にメールの廃止については賛同する方もいるのではないでしょうか。同氏は「デジタルトランスフォーメーション(DX)やテレワークによりメールの重要度は低下し、メッセージングツールやWeb会議で十分代替可能になっている」と指摘しています。

 本稿においては、上記の理由に加えて少しだけ気を付けたい「メール運用をやめる」ときのリスクを考えてみましょう。

独自ドメインを持つ全ての企業が抱える2つのリスクとは

 企業や組織は、WebサイトのURLとして独自ドメインを利用し、メールアドレスも独自ドメインにひもづいたものであることがほとんどでしょう。実はこれらのドメインは、失効後一定期間で誰でも取得できるようになります。この期間は「汎用・都道府県型JPドメイン名」なら1カ月、「属性型JPドメイン名」なら6カ月です。

 日本レジストリサービス(JPRS)は、WebサイトのURLとしてドメインを利用する場合「廃止したドメインであっても、他のWebサイトからのリンクや検索エンジンによるドメインの評価に関する情報は残る」と説明しています。

 こうした仕組みを攻撃者が悪用するケースがあります。映画のプロモーションやキャンペーンなど、短期的なサイト作成のために取得されたドメインが、キャンペーン終了後に放置されたとします。すると悪意ある第三者がそれを取得し、プロモーションやキャンペーンとは無関係のWebサイトに利用するのです。

 企業にとって、失効したドメインが詐欺サイトに利用されることは、自社のブランドの毀損(きそん)につながる可能性もあります。ドメインの廃止はこのようなリスクを考慮した上で進めていく必要があります。

 メールアドレスとしてドメインを利用している場合、さらに大きなリスクが考えられます。メールアドレスにひもづくアカウントにおける「なりすまし」や「乗っ取り」です。

 JPRSは「廃止されたドメインを第三者が登録し、同じメールアドレスを作ることで、素性を偽ったメールとして悪用される可能性がある。他のサービスでメールアドレスを利用している場合は、メールアドレスを利用したパスワードの初期化により、SNSアカウントを乗っ取られたり、登録情報を盗み見られたりする可能性がある」と指摘しています。

独自ドメインをメールとして使っている場合、「ID」と「パスワードリセットメール」にも気を付けるべし(出典:JPRS)

 第三者によるドメインの登録や使用の差し止めは、商標の侵害といったドメイン紛争処理方針(DRP)に該当しない限りできません。そのためドメインの廃止前には、該当のWebサイトやメールアドレスの終了を外部に周知し、メールアドレスを利用したアカウントの削除や設定の削除、メールアドレスの変更をしておくことが重要です。

独自ドメインを持つ個人や企業は「終わらせ方」も考えよう

 私は、メールアドレスを利用しているサービスのIDを独自ドメインからGmailのアドレスに移行しています。「Apple ID」は「icloud.com」に、「Microsoft アカウント」は「hotmail.co.jp」に戻しました。少なくとも、私が運用する独自ドメインよりは、グーグルやアップル、マイクロソフトのドメインが信頼できるという判断です。

 企業や組織においては、社名を変更するタイミングにおける旧ドメインの扱いといった要素も考慮し、綿密な戦略の下に運用を進めましょう。個人的には、セキュリティの観点から、利用しなくともドメイン所有権を維持しておくことをお勧めします。

 FAXがいまだ根強く利用される日本社会において、メールがそう簡単になくなるとは思いません。しかし利用頻度を少なくすることは可能です。例えば、社内連絡をメールではなくチャットに代替すれば、社内の人からメールが来たときに「マルウェアかもしれない」と気付けるかもしれません。

 Emotetの拡大を、メールからチャットツールやファイル共有サービスに切り替えるきっかけと捉えつつ「独自ドメインの終活」も始めていきましょう。


著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ