厚労省のサイトだと思ったらFXの勧誘サイトだった!? 企業のキャンペーンなどで取得されたドメインが悪用される──ドメインハイジャックの真相
大企業のキャンペーンなどで取得されたドメインが、使用終了後に放棄されたことで、第三者に再登録されてしまい、怪しげなサイトへと転用されるケースが後を絶たない。
実際、厚生労働省が2023年5月まで運用していた新型コロナウイルス感染症に関する外国人向け相談サイトは、2024年にはFX(外国為替証拠金取引)の勧誘サイトに転用されてしまった。
唯一の防衛策は「取得したドメインを使い続けること」に尽きる。しかし、すべての企業にその余裕があるわけではない。
役割を終えたウェブサイトが悪用されている!
閉店したはずのテナントが、いつの間にか“復活”。しかし、中身はまったくの偽物だった──。いま、インターネット上でそんな事態が横行している。
問題となっているのは、ウェブサイトの住所ともいえる「◯◯.com」や「◯◯.jp」といった「ドメイン」だ。現実世界の住居表示に例えるなら、町名の部分にあたる。基本的に、これらのドメインは年単位での契約となり、更新されなければ当然、失効する。
そのような失効済みのドメインを第三者が再取得し、元のウェブサイトになりすましてフィッシング詐欺などを行う悪用例が、世界的に急増している。これらは「ドロップキャッチ」または「ドメインハイジャック」などと呼ばれ、標的は企業だけでなく官公庁にも及んでいる。
現実世界では大胆すぎて到底不可能な、ネットならではの所業。しかし、このようなサイトが跋扈することは、一般ユーザーにとって危険であるのはもちろん、企業にとってもブランドイメージの毀損につながる。どのように対策を取ればよいのか? 情報社会学を専門とする、学習院大学非常勤講師の塚越健司氏に話を聞いた(以下、「」内は塚越氏のコメント)。
「少し前までは、ドメインが失効したサイトに飛ぶと、サイト全体が全然違う作りになっているため、すぐに『ああ、失効したんだな』と気づくことができました。ところが、いまはウェブアーカイブや生成AIを駆使して、当時のサイトを簡単に再構築できてしまうんです」
「ウェブアーカイブ」とは、ネット上のあらゆるウェブサイトの情報を自動的に収集・保存し、すでに削除されてしまったサイトや過去の状態を閲覧できるサービス。有名なサービスとしては、非営利団体インターネットアーカイブが提供する「Wayback Machine」などがある。このアーカイブから必要な情報を抜き出しAIに学習させれば、どんな素人でも外見だけは立派に作れるというわけだ。
「失効すれば誰でも詐欺に再利用できてしまうのが問題です。だから、一般論としては、超零細企業でもない限り、ドメインを保有し続けるのが一番のリスク対策です。ドメインの年間使用料も、だいたい数千円くらいですからね。そのうえで重要なのは、保守点検をどの部署が担当するのかを明確にしておくことです」
組織内にITに特化した統合部門があればよいが、そうでない場合は責任の所在が曖昧になりがちだ。
「例えば、何らかのキャンペーンを半年間実施することになり、そのために専用のドメインを取るとします。そうなった場合、その担当が広報部門なのか、マーケティング部門なのか……。担当者を明確にしておかないと、キャンペーン終了と同時に部門ごと解散というケースも珍しくありません」
標的になりやすいのは、まさにそうした“役割を終えたウェブサイト”だ。今年7月にも、JR東日本の子会社であるアトレが、かつて提供していたウェブサービスのドメインを第三者に悪用されたという報道があった。
「懐かしのホームページ」にしてドメインを保守
とはいえ、キャンペーンが終了したサイトのドメインをその後も持ち続けるのは、企業にとってはバカらしく感じられるかもしれない。
「情報社会学的な観点から言うと、例えば赤城乳業の“ガリガリ君”のように、30〜40年続いている商品の昔のパッケージがふと話題になったとしましょう。多くの人が、かつてのパッケージが気になり、メディアで『懐かしのパッケージ』という企画ができますよね」
唐突に関係のない話が始まったようにも思えるが、塚越氏はセキュリティとは別の観点から“ドメインの保守”について語る。
「ウェブサイトというのは、なくなるときは一気になくなってしまうため、デジタルデータとして保管しておけばいいと思います。要は、キャンペーンは終わってもサイト自体は『こういうことがありました』と伝える跡地にする。例えば1970年の万博が終わった後、会場が『万博公園』になりましたよね。そこまで手間をかけなくてもいいですが、やり方によっては知的なアーカイブ、いわゆるIP(知的財産)にできるのではないでしょうか」
前出のウェブアーカイブのような取り組みを、企業や官公庁が公式に行えばよいということだ。
「というのも、何十年も前の商品パッケージを残していない会社は、案外多いんです。だから、一部のマニアが保管することになります」
YouTubeでよく見かける「◯◯年代のレトロCM集」なども同様だ。当時は誰も価値を感じていなかったかもしれないが、保存していた一部のマニアのおかげで、我々も懐かしい気分に浸れるのだ(厳密には違法だが……)。
「41歳の私の世代からすれば、25年ほど前、2000年ごろのホームページはとてもレトロで面白い。『あなたは◯◯人目のお客様です』みたいなカウンターがついていたり、もう泣きそうになるくらい“おっさんホイホイ”みたいなものがあります。でも、いまのおしゃれなキャンペーンサイトだって、あと20年経てば同じようになるかもしれない。だから、“デジタル遺産”として保存しておくことは重要だと思います」
「デジタル遺産」という考え方で言えば、00年代初頭に人気を博したテキストサイト「侍魂」に関する事例が記憶に新しい。侍魂は、サイトを置いていたサーバそのものがサービス終了となり閉鎖の危機にあったが、別のサーバ会社が「保護」を引き受けて存続が決定した。
「あまりにも大規模なサービス、例えばgooのようなブログサイトは、もうデータを残さないと明言しています。データが大きすぎて保守にかかる費用が高すぎるため、企業としては継続できないわけです。年間で数千万円かかるのではないでしょうか。だから切ってしまうのですが、期間限定の個別のサイトであれば、おそらく高くても数十万円程度でなんとかなると思います」
ブログサイトに関しては、ウェブアーカイブの対象にならないケースも多い。たいていのサイトにはログ保存機能などがあるため、それらを駆使して自力で保存する必要がある。
「データをちゃんと保存しておいて、必要があれば閲覧できるようにする。たとえそれが組織にとって“黒歴史”であっても、それも含めて歴史を語る舞台装置だと捉えれば、時間が経って何かの拍子にバズる可能性もある。そう考えると、単なるお荷物ではなく、ほとんどお金のかからない資産になるとも言えます」
一般ユーザーたちはどうやって身を守ればいい?
このような意識改革により、企業がドメインの維持に積極的になり、結果としてセキュリティの向上にもつながると塚越氏は考える。
「失効済みのドメインについては、企業のブランドが毀損されるという危機感を煽る報道ばかりです。しかし、むしろブランドの価値を上げるためにこそドメインを保持するという、積極的な理由がもっとあっていいと思います。セキュリティというのは基本的にお金がかかるものなので、そうした動機づけがないと企業の経営者はやりたがらない。リスク回避の“消極的理由”ではなく、将来への投資と捉えて、“積極的理由”でドメインを持つという考え方に変えていく必要があると思います」
単純にIP(知的財産)としての考え方以外にも、メリットはあるという。
「例えば、サイトやキャンペーンのどこが失敗したのか、あるいは成功したのかといった分析対象としての価値もあるでしょう。あるいは、終わったサイトもきちんと活用している、ウェブに関心があるという対外的なメッセージにもなります。ブランドの価値を高めるためなら、そうしたことも可能です」
危険だから仕方なくやるのではなく、「やったらこんなにお得!」というポジティブな動機づけに変えていくことが、企業にとってのひとつの対策になるだろう。
しかし、一般ユーザーはどうか? フェイクニュースなどが巧妙化する中、フィッシングサイトもさらに進化する可能性がある。身を守る手立てはあるのだろうか?
「一般ユーザーに関しては、防御のしようがないというのが正直なところです。個々人のITリテラシーに依存する部分が大きく、一定の確率で引っかかる人は出てくるでしょう。そのため、ユーザーが気をつけるというより、やはり企業側の問題。企業がしっかり対応しないと、ユーザーが離れていくことになります」
フィッシングサイトの運用は不正アクセス禁止法に違反し、3年以下の懲役または100万円以下の罰金を科される。しかし、犯人側も日々進化しており、イタチごっこになりがちだ。個人のリテラシーを高める以外に手はないのだろうか? 塚越氏はこう結論づける。
「リテラシーには限界があると思います。正しい情報をいくら啓蒙しても覚えられない、活用できない人は一定数います。そのため、騙されることを前提にした社会設計が必要で、環境から変えていかなければなりません。ユーザー個々人の問題にしても仕方がない。焦点を別のところに移したほうが、健全な議論になります」
くれぐれも、ドメインハイジャックされたサイトには気をつけてほしい。
(取材・編集=サイゾーオンライン編集部、文=ゼロ次郎)
