知って得するセキュリティのはなし その283
「ドメイン名の終活」に関する発表・資料…終了後のアクセス分析等も考慮を
1.このニュースをざっくり言うと
- 11月12日、インターネット不正利用対策の研究者による「Japan Anti-Abuse Working Group(JPWAAG)」のミーティングにおいて、「ドメイン名の終活について」と題した発表が行われました。
- 発表では、「アクセスがそれなりにあるサイトのドメイン名」の廃止により、第三者に取得(ドロップキャッチ)され、フィッシングサイトに転用される等の恐れがあることから「ドメイン名の使い捨て、ダメ絶対」と呼び掛けるとともに、対策としての「終活」を取り上げています。
- 発表資料では、企業組織等既存のドメイン名下ではない、独自のドメイン名の登録で発生するコスト(費用・手間)と、サービスが終了したドメイン名を一定期間休眠の上で廃止させる段取りについてまとめられています。
2.執筆者からの所感等
- ドメイン名の廃止までにかかる費用面のコストとして、ドメイン名自体の更新費用のみならず、DNSサーバー・Webサーバー(リダイレクトやお知らせページのため)やWebサイト証明書の更新費用についても言及されています(証明書についてはLet's Encrypt等無償のサービスへ移行することを提案しています)。
- 他にも、サーチエンジンに表示されないようにする「逆SEO」、外部リンクからのアクセスやDNSクエリが続いているか等のログの分析、メールについても送信あるいは受信を行わないことを示すSPF・DMARC・MX各レコードの設定等の考慮する面があるとしています。
- ドロップキャッチが話題となった事例はサービス終了から長くても3年程で失効し、終了時点でドメイン名の自動更新を取りやめたとみられるケースが多く見受けられ、当AUS便りでは終了後10年程度はドメイン名を保持することを度々推奨していますが、発表で挙げられた以外で、例えばサブドメインであっても、使われなくなったDNSレコードの参照先が第三者に悪用される等の問題が起こり得ることを鑑み、終了したサービスについても完全な廃止まで一貫した管理体制をとることが重要と言えます。