あなたの会社は大丈夫? ドメイン放置→悪用の危険性 今すぐできるフィッシング対策は:ITりてらしぃのすゝめ(2/2 ページ)
ドメインを放置すると、第三者に悪用される危険性がある。フィッシング詐欺を防ぐドメイン管理のコツは。
昨今ではこのように、企業サイトと似たようなドメイン名を取得してのフィッシング行動も目立つわけで、利用者からすると「ドメインを見ただけでは本物のサイトか分からない」という状況に近いです。
それを考えると、企業はキャンペーンなどの施策ごとにドメインを取るという行為を避けるべきではないでしょうか。単発のドメインが運用後放置される事例も多く、これがフィッシングに悪用されるとさらに困ったことになります。特にフィッシングに狙われた経験のある企業は、できる限り“1つのドメインを活用する”ことを考えてください。そのドメインが誰のものかが明示的に表示される、EV SSLのような仕組みを使うのもいいでしょう。
- 内閣府のサイトから風俗体験記にリンク 削除忘れドメイン失効→第三者が再取得
- 存在しない大学、なぜだまされた? 「URL」でWebサイトの安全性が分からない時代
- 第三者に疑似ドメイン名を取られた――「偽ドメイン」奪取の一部始終、JPCERT/CCが公開
さらにもう一つ。「自社のブランドに関係しそうなドメインが取得されていないか」を常に把握する必要があると考えています。上記ではドメインの取得を有志がウォッチしているわけですが、これは企業自身も行うべきことかもしれません。
ブランドを運用していたり、商標を持っていたりする企業ならば、もっと素早く、確実な対処が可能なはず。可能であればむしろ企業自身が、ブランド名や似たような名前のドメインを使われないように確保しておくことも重要かもしれません。
個人だって、役に立てる
先日、にゃんたくさんとhiro_さん(@papa_anniekey)による講演を聴いたときに、上記のような活動をお聞きし、大変感銘を受けました。お二人ともセキュリティ企業の中にいながら、分析やまとめを個人レベルで精力的に行ってくれており、頭が下がる思いです。
そのお二方が講演中におっしゃっていたのは、「フィッシングの情報を、可能な限り共有してほしい」ということ。もちろん標的型攻撃のような、企業の情報が入ったものは別として、個人向けに“ばらまき型”で行われた、誰もが被害に遭う可能性のあるものに関しては、メール本文や差出人、ダウンロード先URLが共有できれば、被害を未然に防げる人もいるかもしれないからです。
実際、Twitterに投稿された「こんなスパムメールが来た!」という情報を丁寧に集めているそうで、それらも基にしながら「ウイルス付メールまとめ」を作成し、公開しているとのことです。これを見ると、どれだけばらまき型メールが頻繁に来ているのかがよく分かりますね。
Twitterで投稿するだけでも、あなたの行動は日本の誰かの役に立つわけです。できればすぐに見つかるように、それっぽい言葉と一緒に投稿してくださいませ。
にゃんたくさんとhiro_さんは、講演の最後に「ぼくたちと一緒にサイバー攻撃に対抗していきませんか?」と問いかけました。単にTwitterにメールのスクリーンショットを投稿して教えてくれるだけでも「立派なホワイトハッカーですよ!」とお二人は述べます。セキュリティはみんなで考えるべきもの。ぜひ、ご協力を。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
関連記事
- 「佐川急便の偽サイト」に学ぶAndroidの防御法 見直す設定はたった1つ
佐川急便そっくりの偽サイトが登場し、被害に遭うユーザーが続出している。しかし、実はこれらはAndroid端末を対象にしたもの。簡単な設定を見直すだけでこれらの脅威から身を守ることができる。 - 存在しない大学、なぜだまされた? 「URL」でWebサイトの安全性が分からない時代
「ドメイン名を見ればWebサイトの安全性が分かる」――そう思っていませんか? 最近はそんな常識を覆す“事件”が多発しているんです。 - 佐川急便かたるSMSに新たな手口 iPhoneユーザー標的か 携帯番号・認証コード詐取
佐川急便の不在通知をかたるSMSに、iPhoneユーザーがターゲットとみられる新たな手口が。携帯電話番号と認証コードを詐取するフィッシングサイトに誘導する。「第三者にキャリア決済を上限額まで使われた」との報告も。 - 内閣府のサイトから風俗体験記にリンク 削除忘れドメイン失効→第三者が再取得
内閣府のWebサイトから、「恋人作るより風俗嬢」というWebサイトにリンクが張られている――5月9日、こんな情報がネットを駆け巡った。その真相は。
Copyright © ITmedia, Inc. All Rights Reserved.