企業Webサイトの放置はトラブルの元

放置されたWebサイトは、恐喝やフィッシングに利用される恐れがあります。

勤務先のドメイン登録責任者は誰だか知っていますか?会社のドメイン登録は、後にも先にもその人以外はやっていないと断言できますか?大企業勤務の人にこのような質問をしたとき、明確な答えが返ってくるとは限りません。情報セキュリティの関係者でも、ここまで細かいことを常に見ているわけではありません。それがちょっとした混乱を招き、ドメインの登録有効期間が満了して誰かがそのドメインを悪用したときに問題を引き起こすことになりかねないのです。

大企業は特に注意が必要です。規模の大きい企業ならば、新しいドメインの登録を必要とする部門が複数あるのが普通です。たとえば、PRチームがチャリティプロジェクト用のWebサイトを要請することもありますし、マーケティング部門が新発売製品のランディングページをリクエストすることもあります。ときには研究開発部門が、カンファレンスやハッカソンのためのページを必要とする場合もあります。

さて、イベントが終了し、製品が無事に発売され、キャンペーンが終了したときに何が起こるか。皆、そのWebサイトのことを忘れてしまいます。ときには、見込み客を獲得するためのメカニズムがそのままになっていて、通りすがりの誰かを引き寄せることもあります。ドメインの登録期間が満了し、市場に戻っていくまで、こうしたWebサイトはそのまま放置されるのです。

理屈としては、Webサイトを登録した人が責任を持って対応すべきなのでしょうが、このような一度限りの作業は、より緊急性の高い仕事や日常業務の影に隠れてしまうものです。登録期間が終了する前に、担当者が異動になる場合もあるでしょうし、仕事を辞めてしまうかもしれません。用済みのサイトに、それほどの緊急性はないように見えます。

どんな問題があるのか

用済みのWebサイトも実は、さまざまな可能性を持っています。まず考えられるのは、サイバースクワッティング(ドメイン占拠)です。期限切れのドメイン名を手に入れた人間が、そのWebサイトを自分のために利用する可能性があります。以前は、元の所有者である企業にサイト名の返還を持ちかけ、金をせびるのが常道でした。最近は、元の所有者であった企業の評判を傷つけるようなコンテンツをそのWebサイトにアップして金をゆする場合、またはそのドメイン名をダークネットでフィッシング犯罪者に売る場合が多いようです。このような行為に及ぶ者を「サイバースクワッター(ドメイン占拠者)」と呼びます。

もちろん、企業がそのドメイン名に対する権利を登録機関に証明することは可能で、必要であれば裁判で立証することもできます。しかし、証明には時間がかかりますし、その間に企業の評判が傷つきます。

また、悪名高いGDPR(また、これに類似する特定地域の法律変更)絡みの問題が起こる可能性もあります。用済みになったマーケティング用のWebサイトが取り下げられておらず、偶然アクセスした人の情報を集め続けているとしたら、こうした情報も最新の法律に準拠させておかないと困ったことになります。

トラブルに巻き込まれないようにするには

まずは、IT部門かセキュリティ部門の誰かをドメイン登録責任者に任命しましょう。ドメイン登録責任者は、オンライン資産すべての記録を保持し、有効期限を把握している必要があります。ほかの従業員がドメイン登録を行う際は、ドメイン登録責任者に必ず知らせなければなりません。Webサイトの開発やサポートを外部業者に任せている場合、Webサイトの登録は委託しないでください。

また、登録機関がドメイン契約期間の自動更新オプションを提供しているならば、それを利用するのも1つの策です。

期限の切れたWebサイトからは、情報を削除しましょう。イベントやキャンペーンの有効期限が明記されていたとしても、そのままにしておく理由はありません。潜在的な顧客でもある訪問者をがっかりさせるのが関の山です。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?