【お名前.com】から届く設定保護モードが無効のお知らせが多すぎる件

ブログ

お名前.comから突然お知らせがたくさん届くようになった。

┃ドメインプロテクション

そもそもドメインプロテクションとは?!

「○○○.jp」や「○○○.com」というインターネット上の住所であるドメインを保護するための仕組みを「ドメインプロテクション」と言います。

この設定がされていないため、せっかくのドメインをハイジャックされたり、不正アクセスされたりするのを防げませんよ!というお知らせのようです。

確かに、第三者が勝手に情報を書き換えたり、設定変更をしたり出来るようになるのは恐怖しかないですよね。実際に近年ではこういった事例が増えている傾向にあります。

ドメインプロテクションを設定しておくことで、情報が守られるならもちろんした方がいいです。

┃ドメインが乗っ取られたら?!

ドメインが乗っ取られると、大きな被害やトラブルを受けることもあります。しかし、犯人の目的が企業やユーザーへの攻撃ではなく「目立ちたい」という自己顕示欲を満たすためだけの場合もありますが、ハッカーの目的によっては、大きな危険にさらされることもあり得ます。危険性について考えられるものをご紹介します。

  1. 情報改ざん、流出
  2. ユーザーになりすました不正行為
  3. フィッシング詐欺
  4. コンピューターウイルス・不正プログラムの感染
  5. ドメインを人質にした金銭などの要求
  6. メールの盗聴や改

1.情報改ざん、流出

例えば、ネットショッピングが主流になっている現代では、クレジットカード決も当たり前のように使われています。サイトに保管されている情報を盗み取ったり重要な個人情報を改ざんしたりすることで、データを営利目的で利用されたり情報が流出してしまう可能性があります。クレジットカード情報を登録していることの多いECサイトなどは、盗まれた情報を不正利用されることもあるかもしれません。

2.ユーザーになりすました不正行為


ドメインを乗っ取ると、乗っ取られたドメインの管理者になりすますことができます。他人の個人情報を引き出すほかパスワードの変更や不正利用なども簡単に出来てしまいます

3.フィッシング詐欺

4.コンピューターウイルス・不正プログラムの感染

また、ウイルスやワームなどのマルウェアがばらまかれ、多くのユーザーが感染の被害を受けたり、Webサイトが偽サイトにリダイレクトされたり、アクセスしたユーザーがフィッシング詐欺に遭う可能性もあります。

5.ドメインを人質にした金銭などの要求

6.メールの盗聴や改

さらに悪質になると、ユーザーになりすまして不正に仮想通貨採掘をしたり、乗っ取ったドメインを人質に金銭などを要求してくる場合もあります。このような数多くの危険性があるため、ドメインを管理するリスクについては慎重に考えなければなりません。

「ラブライブ!」公式サイトドメイン乗っ取り事件

記憶に新しいドメイン乗っ取り事件といえば、2019年4月5日に起こった大人気アニメ「ラブライブ!」公式サイトの乗っ取りがあるでしょう。「lovelive-anime.jp」というラブライブ!公式サイトのドメインが何者かに乗っ取られ、ドメイン登録名義が権利元のサンライズから全く無関係の人物に書き換わるという事件が起きました。

大手企業の管理下に置かれていたにもかかわらずいとも簡単にドメインが乗っ取られてしまったことから、ネット上でも大きな話題になりました。幸い大きな被害はなく、現在ドメイン登録名義は権利元に戻されていますが、この事件をきっかけにドメインを管理することのリスクを再度考え直すという動きが強まっています。

┃ドメインプロテクションで出来る対策

 

ドメインプロテクション設定をすることで、第三者による情報の書き換えや抜き出し、設定変更から守ることが出来ると記載しましたが、具体的にはどのような防止策が可能なのかをご紹介していきます。

┃設定変更や情報の書き換えの防止策

ドメインが第三者に乗っ取られた場合、管理画面へ不正にログインしたり、自由に操作させることを制限できます。ドメインの有効期限切れによって利用停止になるという被害も防ぐことができます。さらにドメイン名義の書き換えによって、ビジネスに関わる信用を失うようなことも防ぐことが出来ます。

┃ドメイン管理者の誤操作

ドメインプロテクションで出来る対策は、第三者による乗っ取りに対してだけではありません。ドメインを管理する場合、1つのIDで複数のドメインを管理することは珍しくないため、担当者はそれぞれのドメイン情報を適切に管理しておく必要があります。

上手に管理して更新などを行えていれば問題はありませんが、大概の管理者がどのドメインがどういった設定になっているかなど認識を誤ってしまうと、本来とは違う設定変更をしてしまう場合があります。そういった重大な操作ミスを防ぐためにも、ドメインプロテクションは有効だと言えます。

┃ドメインプロテクションで操作制限できる項目

 

基本的には、どの設定においても乗っ取り防止対策は必要ですが、今回は2018年4月26日からサービスを開始したお名前.comというドメイン取得サービスのドメインプロテクションを基準として、操作が制限できる項目を説明します。

┃ドメイン管理

ドメイン管理で操作制限できる項目は、

  1. トランスファーロックの設定変更
  2. IDの付け替え
  3. ドメイン名の売買や出品禁止

まず、1つ目のトランスファーロックについてですが、ドメイン名の管理業者であるレジストラを変更できないように設定することができます。不正アクセスがあった場合、レジストラ移管の申請が勝手にできないようにしておくことで、ドメインのハイジャックを防ぎます。

 

2つ目のIDの付け替えは、登録したIDを変更できる設定のことです。勝手にIDが変更されてしまうと元のIDではアクセスできなくなってしまうので、操作制限は必須の箇所と言えるでしょう。

 

3つ目はドメイン名の売買や出品禁止についてです。自身で取得したドメインも、不正アクセスによって乗っ取られてしまうと勝手にドメイン販売サイトで出品・売買されてしまうこともあります。売買されてしまうと、サイトの運営はもちろん、取り返すことも難しくなるので、不正な売買を防止するためにもドメインプロテクションは必要と言えるでしょう。

┃Whois情報管理

Whois情報とは、連絡先、担当者名、IPアドレスなどの登録者情報のことです。不正アクセスがあったとき、サイトに保管している顧客情報などがなかったとしても、登録者情報はほとんどの場合登録されているでしょう。

こちらの操作制限では、Whois情報の設定変更、メール転送設定、公開設定などが制限され、ドメイン取得者の個人情報が盗まれたり勝手に公開されるのを防ぎます。

┃ネームサーバー(NS)管理

取得したドメインを利用するには、ドメイン名とIPアドレスを紐付ける情報を登録する必要があります。ネームサーバー(DNSサーバー)は、ドメイン名とIPアドレスを紐付ける情報を登録するサーバーのことで、ドメインを正常に使えるようにします。

ネームサーバーは脆弱性を狙われ不正にアクセスされてしまう可能性があるので、操作制限を設定しておくことで不正にアクセスされた場合でも勝手に書き換えられたりするのを防ぎます。その他にも、メール転送設定やURL転送設定で意図しない転送や移動を防ぐことができます。

┃自動更新設定管理

ドメインを取得しサイトを運営するには、取得したドメインがきちんと更新されていて有効である必要があります。しかし、不正アクセスによって自動更新設定を解除されてしまい、ドメインが無効・利用停止になってしまう可能性があります。

ドメインが更新されなければサイトを一瞬にして失うこともあるため、ドメインプロテクションによる操作制限は重要であると言えます。

┃ドメインプロテクション設定は必要なのか

 

ドメインのハイジャック対策、インターネット上でのリスクマネジメントとして注目されているドメインプロテクション。この設定は本当に必要なのか、ドメインを取得する際に迷うこともあるでしょう。

結論から言えば、必ずしも必要ではありません。正確に言えば、必要な場合とそうでない場合、後々必要な場合のパターンに分けられるでしょう。まず、よっぽどのことがない限り必要ではないのは、個人が運営するサイトです。

ハッカーも盗む情報がほとんどないサイトはわざわざ乗っ取りをすることはありません。それでも、万が一不正アクセスされた際に個人情報を盗まれたりするのが心配だという場合には、保険としてドメインプロテクションを設定しておくことで、より安心出来ます。

アフィリエイトサイトなどを運営する場合にも、サイトが安定しないうちにドメインプロテクションを設定してしまうと、サイトの収益よりもオプション費用のほうが上回ってしまうということもあるので、サイト公開直後は無理して設定する必要はありません。サイトの収益が安定してきたタイミングで後からでも変更可能です。

最初からドメインプロテクションを設定しておく必要があるのは、企業が運営するような大規模サイトです。ドメインを乗っ取られたあとで金銭を要求されたり、情報を抜き取られたことによる損害・損失が生じた場合、最悪のケースでは経営が立ち行かなくなる可能性もあります。

保持している個人情報や企業に関する機密情報を守るために保証をつけておくことで、万が一の際の被害が最小限に済むため、自社に限って大丈夫と過信せず設定しておくことが重要です。

┃ドメインプロテクションの料金は?

お名前.comのドメインプロテクション設定は、オプションで別途費用がかかります。設定の費用は、年間で1058円(税込)。多額な損害を生む可能性のある乗っ取りに対しての対策費用と考えると、年間費用は安いのかもしれません。

しかし、狙われる可能性が限りなく低いのであればこの年間費用は不必要だったはずなので、まずはこれだけの費用をかけて保護したい情報があるサイトかどうか、または今後そうなっていく可能性があるかどうかをきちんと精査する必要がありそうです。

個人のサイトだから大丈夫と思っていても、SEOで検索上位に表示されたり、アフィリエイト収益に関する記事を書いたり、SNSで有名になっていたりすると、目をつけられているかもしれません。

┃ドメインプロテクションの設定方法

ドメインプロテクションはドメイン取得時に同時設定する事もできますが、初期には不要と感じた場合はあとからオプションを追加することでも設定が可能です。まず、ドメイン取得時に設定する場合は、ドメイン登録時に表示されるドメイン登録年数選択画面から、「ドメインプロテクション」を選択することで設定が完了します。

あとから設定する場合には、管理画面(https://navi.onamae.com/login)にログインし、ドメイン設定内の「ドメインプロテクション」から申し込みができます。設定自体は簡単なので、必要と感じたタイミングで設定してみてください。   

 ┃まとめ

ドメイン乗っ取りについてはまだまだ世間の認識が確立しておらず、リスクや危険に対する対策が出来ている企業は多くありません。ドメインの乗っ取りも公になるような事件は多くはないため、ドメインプロテクションの必要性については、「いらない」「必要ない」と考える人がほとんどでしょう。

しかし、実際にはドメイン乗っ取りのその先に起こる様々な危険性が指摘され、社会的信用を失うこともあります。一度乗っ取りをされてしまうと情報を不正利用することは容易なため、取り返しのつかないことになる前に対策をしておくことはとても重要です。

必要性についてはそれぞれのサイト規模や情報量によりますが、ドメインを複数管理していたり、セキュリティー面に不安がある場合は、一度ドメインプロテクションの設定を検討してみてもいいかもしれません。

コメント