| 社名変更やM&AがOSINTの標的に。旧ドメインの放置が招く「ドメインジャック」 | |
|---|---|
| 作成日時 26/06/03 (08:23) | View 176 |
企業活動において、社名変更やM&A(合併・買収)は成長戦略の一環として一般的に行われています。しかし、その裏側で見落とされがちなリスクの一つが「旧ドメインの管理」です。特に近年では、公開情報をもとに攻撃対象を特定するOSINT(Open Source Intelligence)を活用したサイバー攻撃が高度化しており、放置されたドメインが思わぬ形で悪用されるケースが増えています。
本記事では、ドメインの有効期限切れを狙ったなりすましメールの手口と、その背景にあるリスク、そして企業が取るべき対策について詳しく解説します。
ドメインの有効期限切れを狙う攻撃の実態
ドメインは取得後、一定期間ごとに更新が必要です。更新を忘れる、あるいは不要と判断して放置した場合、そのドメインは第三者によって再取得される可能性があります。この状態を悪用するのが、いわゆる「ドメインジャック」と呼ばれる攻撃です。
攻撃者はまず、企業の過去のドメイン情報を収集します。ここで活用されるのがOSINTです。企業のプレスリリース、過去のWebサイト、名刺情報、メールアドレス履歴など、公開されている情報から旧ドメインを特定します。
次に、そのドメインが現在も有効かどうかを確認し、期限切れとなっている場合は即座に取得します。この時点で、攻撃者は正規のドメイン所有者として振る舞うことが可能になります。
なりすましメール送信の手口
ドメインを取得した攻撃者は、次の段階としてなりすましメールの送信に移ります。特に注意すべきは、旧ドメインがかつて実際に使われていたという点です。これにより、メールの信頼性が非常に高く見えてしまいます。
例えば、以下のようなシナリオが考えられます。
受信側からすると、見覚えのあるドメインと文面であるため、不審に感じにくくなります。その結果、以下のような被害につながる可能性があります。
・不正な振込(ビジネスメール詐欺)
・マルウェア感染(添付ファイルやリンク)
・機密情報の漏えい
なぜ社名変更やM&Aが狙われるのか
社名変更やM&Aは、攻撃者にとって非常に都合の良いタイミングです。その理由は以下の通りです。
1. ドメインの整理が不十分になりやすい
新ブランドへの統一やシステム統合の過程で、旧ドメインが「使われていない」と判断され、管理対象から外れるケースがあります。
2. 組織内の認識ギャップ
IT部門、広報、経営層の間でドメイン管理に関する責任範囲が曖昧になりやすく、結果として更新漏れが発生します。
3. 外部からの観測が容易
社名変更やM&Aは必ず公表されるため、攻撃者もタイミングを把握しやすく、計画的な攻撃が可能になります。
OSINTによるドメイン特定の具体例
攻撃者は、以下のような情報源を組み合わせて旧ドメインを特定します。
・過去のプレスリリースやIR資料
・インターネットアーカイブ(旧Webサイトの履歴)
・SNSや求人情報に記載されたメールアドレス
・WHOIS情報の履歴
これらの情報は特別な権限がなくても取得可能であり、攻撃のハードルを大きく下げています。
実際に起きている被害と影響
ドメインジャックによる被害は、単なる迷惑メールにとどまりません。実際には以下のような深刻な影響をもたらします。
・取引先との信頼関係の毀損
・金銭的損失(不正送金)
・ブランドイメージの低下
・インシデント対応コストの増大
特にBtoB企業では、取引先が被害を受けた場合、自社の管理不備として責任を問われる可能性もあります。
企業が取るべき対策
このようなリスクを防ぐためには、以下のような対策が有効です。
1. ドメイン資産の棚卸しと一元管理
過去・現在を含め、すべてのドメインを一覧化し、管理責任者を明確にします。
2. 不要ドメインの戦略的維持
使用していないドメインであっても、一定期間は保持し続けることが重要です。コストはかかりますが、リスク低減の観点からは有効な投資です。
3. メール認証技術の導入
SPF、DKIM、DMARCといった認証技術を適切に設定することで、なりすましメールの検知・防止が可能になります。
4. 取引先への周知
社名変更やドメイン変更時には、正式な連絡手段を明確にし、不審なメールへの注意喚起を行います。
5. 継続的なモニタリング
自社ドメインや類似ドメインの登録状況を定期的に監視することで、早期発見・対応が可能になります。
見落とされがちな「外部視点」の重要性
多くの企業は、自社の内部管理には注力している一方で、「外部からどう見えているか」という視点が不足しがちです。攻撃者は常に外部から観測し、隙を探しています。
そのため、自社の情報がどのように公開され、どのように悪用され得るのかを把握することが重要です。これには、OSINTの観点を取り入れたリスク評価が有効です。
ダークウェブ監視という選択肢
さらに一歩進んだ対策として、ダークウェブ監視の導入も検討すべきです。攻撃者は、取得したドメインや侵害した情報をダークウェブ上で共有・販売するケースが多く見られます。
例えば、以下のような兆候を早期に検知できます。
・自社ドメインに関連するメールアドレスの流出
・なりすまし用ドメインの売買情報
・フィッシングキットの配布
これらを事前に把握することで、被害が顕在化する前に対策を講じることが可能になります。
まとめ
社名変更やM&Aは企業にとってポジティブなイベントですが、その裏には見えにくいセキュリティリスクが潜んでいます。特に、旧ドメインの放置は、OSINTを駆使する攻撃者にとって格好の標的となります。
ドメイン管理を単なるIT資産ではなく、重要なセキュリティ資産として捉え直すことが求められています。そして、内部対策だけでなく、外部視点での監視やダークウェブ監視を組み合わせることで、より強固な防御体制を構築することができます。
今一度、自社のドメイン資産と公開情報を見直し、「攻撃者からどう見えているか」という視点でリスクを再評価してみてはいかがでしょうか。
