知って得するセキュリティのはなし その254
厚労省新型コロナ相談窓口サイトの独自ドメイン名、ネットオークションで第三者に落札
1.このニュースをざっくり言うと
- 4月3日、厚生労働省が運営していた、新型コロナウイルス感染症に関する「都道府県の外国人用相談窓口」サイト(以下・同サイト)で使用していたドメイン名「covid19-info.jp」(以下・同ドメイン名)が無関係のサイトに使われているとして、同省より注意喚起が出されています。
- 同ドメイン名については、2023年9月の時点で、ドメイン名管理業者によるオークションにかけられ、約322万円で落札されていたことがメディアで報じられており、今回投資に関するブログとみられるWebサイトの設置が確認された模様です。
- 厚労省では、2023年5月31日に同サイトに関する委託業務終了とともに同ドメイン名の運用も終了、以後は当該ドメイン名およびこれを用いたWebやメールは同省と無関係としています。
2.執筆者からの所感等
- 厚労省からの発表は、同ドメイン名が失効してオークションにかけられたとみられる2023年9月にも行われており、今回は2回目となっています。
- 同サイトは2020年9月に設置された後、2021年1月に厚労省の「mhlw.go.jp」ドメイン下に移転しており、以後「covid19-info.jp」ドメインはリダイレクトのために用いられていた模様です。
- 同ドメイン名の失効は委託業者が更新しなかったためとされていますが、サイト閉鎖からドメイン名失効までわずか3ヶ月と、周知徹底のための期間が十分だったとは言い難く、厚労省を騙る巧妙なフィッシングサイト等が設置されて問題となっていた恐れがあります。
- つい最近まで使用されていたようなドメイン名が十分な期間を経ずに失効してしまい、第三者に登録されてしまう「ドロップキャッチ」の事例は政府機関・地方自治体あるいは大手企業に至るまで度々報じられており、事前事後の対策として、一時的なイベントのために専用のドメイン名を(jpやcom等で)新規に登録するよりも、既存のドメイン名の下にサブドメイン名を作るよう検討すること、またイベントやサービスの終了後も5年・10年といった可能な限り長期間ドメイン名を維持するよう計画すること等が推奨されます。