ITmedia NEWS > セキュリティ >
ニュース
» 2018年11月15日 08時00分 公開

ITりてらしぃのすゝめ:あなたの会社は大丈夫? ドメイン放置→悪用の危険性 今すぐできるフィッシング対策は (2/2)

[宮田健,ITmedia]
前のページへ 1|2       

 昨今ではこのように、企業サイトと似たようなドメイン名を取得してのフィッシング行動も目立つわけで、利用者からすると「ドメインを見ただけでは本物のサイトか分からない」という状況に近いです。

 それを考えると、企業はキャンペーンなどの施策ごとにドメインを取るという行為を避けるべきではないでしょうか。単発のドメインが運用後放置される事例も多く、これがフィッシングに悪用されるとさらに困ったことになります。特にフィッシングに狙われた経験のある企業は、できる限り“1つのドメインを活用する”ことを考えてください。そのドメインが誰のものかが明示的に表示される、EV SSLのような仕組みを使うのもいいでしょう。

内閣府 今年5月、内閣府のWebサイトに「恋人作るより風俗嬢」というWebサイトのリンクが張られたことがネットで話題に。ドメインを放置していたことが原因

 さらにもう一つ。「自社のブランドに関係しそうなドメインが取得されていないか」を常に把握する必要があると考えています。上記ではドメインの取得を有志がウォッチしているわけですが、これは企業自身も行うべきことかもしれません。

 ブランドを運用していたり、商標を持っていたりする企業ならば、もっと素早く、確実な対処が可能なはず。可能であればむしろ企業自身が、ブランド名や似たような名前のドメインを使われないように確保しておくことも重要かもしれません。

個人だって、役に立てる

 先日、にゃんたくさんとhiro_さん(@papa_anniekey)による講演を聴いたときに、上記のような活動をお聞きし、大変感銘を受けました。お二人ともセキュリティ企業の中にいながら、分析やまとめを個人レベルで精力的に行ってくれており、頭が下がる思いです。

セキュリティ 左がhiro_さん(@papa_anniekey)、右がにゃんたくさん(@taku888infinity

 そのお二方が講演中におっしゃっていたのは、「フィッシングの情報を、可能な限り共有してほしい」ということ。もちろん標的型攻撃のような、企業の情報が入ったものは別として、個人向けに“ばらまき型”で行われた、誰もが被害に遭う可能性のあるものに関しては、メール本文や差出人、ダウンロード先URLが共有できれば、被害を未然に防げる人もいるかもしれないからです。

 実際、Twitterに投稿された「こんなスパムメールが来た!」という情報を丁寧に集めているそうで、それらも基にしながら「ウイルス付メールまとめ」を作成し、公開しているとのことです。これを見ると、どれだけばらまき型メールが頻繁に来ているのかがよく分かりますね。

 Twitterで投稿するだけでも、あなたの行動は日本の誰かの役に立つわけです。できればすぐに見つかるように、それっぽい言葉と一緒に投稿してくださいませ。


 にゃんたくさんとhiro_さんは、講演の最後に「ぼくたちと一緒にサイバー攻撃に対抗していきませんか?」と問いかけました。単にTwitterにメールのスクリーンショットを投稿して教えてくれるだけでも「立派なホワイトハッカーですよ!」とお二人は述べます。セキュリティはみんなで考えるべきもの。ぜひ、ご協力を。

サイバー攻撃 一緒にサイバー攻撃に対抗していきませんか?

著者紹介:宮田健(みやた・たけし)

デジタルの作法 『デジタルの作法』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より:

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.