社内で忘れ去られたドメイン設定が、会社の信頼を失いかねない爆弾に…

こんにちは、ゼノクリース合同会社 CEO の齋藤です。このコラム記事では、企業の Web ガバナンスや最新情報について紹介しています。

「もう使わないし、ドメイン解約しておく？」「あのドメイン、誰が管理していたか分からないし放っておこう」の危険性

企業では、多くのコーポレートサイトやサービスサイト、キャンペーンサイトなどの制作・運用を行うことと思います。コーポレートサイトについては、ドメインはずっと管理している場合がほとんどですが、サービスサイトやキャンペーンサイトは、それ用にドメインを取得し、そのサービスやキャンペーンが終了した後にドメインを解約することが多いです。

また、コーポレートサイトのドメインの場合でも、リニューアルやリブランディングの際に、新しいドメインを取得して運用することもあるかと思います。

このようなサイトの運用において、ドメインの管理は非常に重要です。

実際の事例

2024 年 7 月、SAP ジャパン株式会社が、「以前所有していたドメインが第三者に取得され、なりすましサイトが検索上位に表示されていた」という事象について、プレスリリースで注意喚起しました。

【重要なお知らせ】なりすましサイトに関する注意喚起のお知らせ – SAP ニュースセンター

また、「厚生労働省が新型コロナ関連事業で使ったドメインが第三者に取得され、複数の転職サイトを紹介する別サイトになってしまっていた」という事例が報道されています。

(厚労省旧ドメイン、第三者が取得＝「テレワーク相談」、別サイトに―複数機関がリンク継続 – リスク対策.com)

一度取得したドメインは、基本的にはそのまま取得しておくことが望ましいです。費用はかかってしまいますが、ある程度以上の規模の企業であれば、ドメインのコストはインシデントの予防という観点から見て現実的な金額だと思います。

ドメインの解約だけでなく、サブドメインの設定の放置にも注意

サブドメインを使うことによって、すでに取得しているドメインを利用することができるため、前述のような「ドメインを解約後に第三者に取得されてしまう」という事態を防ぐことができます。

しかし、サブドメインの場合にも、以下のような事態が起こりえます。

JP ドメイン名の登録管理と JP DNS の運用を行っている JPRS が 2025 年1月21日にサービス終了後に残っている DNS 設定を利用したサブドメインの乗っ取りに関する注意喚起文書と、その解説 PDF を公開しました。

vol.1180 | バックナンバー | メールマガジン「FROM JPRS」 | JPRS

問題の概要

簡単にまとめると、以下のような流れでサブドメインが乗っ取られるということです。

1. 企業が campaign.xenoculis.co.jp のようなサブドメインを作成し、そこでキャンペーンサイトを運用
2. キャンペーン終了後、そのサブドメインでアクセスできるようにしていたクラウドサービスを解約
3. しかし、CNAME レコードなどの DNS 設定が残っているため、攻撃者が同じホスト名を新規登録した Web サーバーの設定を行う
4. 過去のプレスリリースや社内 PDF からリンクにアクセスしたユーザーが、攻撃者のコンテンツがあるそのサイトを訪れてしまう

これらの問題を引き起こす典型パターン

以下のようなパターンで、ドメインの契約や DNS の設定が迷子になってしまうことが多いです。

典型パターン	よくある背景
誰が契約者か分からない	プロジェクトごとに、担当部署や代理店、子会社が取得
更新メールがどこ送られるか分からず、見落とす	担当者異動やシステム部の共有アドレス未設定
DNS がコード管理されていない	Excel 台帳だけで “削除漏れ” 多発
サブドメインが乱立	SaaS や PaaS を試すたびに増殖

このようなドメインや DNS の設定の棚卸しを行い、運用方針を固めるのは、関係者の方々との連携が不可欠で、労力や期間がかかります。大きなきっかけがないと中々進まないことも多いです。

そのような Web ガバナンスの実現の良いきっかけとしても、プライム・ストラテジーの CMS/Web プラットフォーム統合サービス がおすすめです。