Aman Masjide著
ウェブサイトを立ち上げて数カ月、数年後、検索エンジン順位を上昇させて固定ユーザーやクライアントの基盤を築いたのにも関わらず、ある朝ウェブサイトとデータが乗っ取られてしまい、クライアントはソーシャルメディア上で怒り離れていき、検索順位は急落、そんな最悪の状況を想像してみてください。
小規模ビジネスにとってこのようなリスクは必ず回避するべきリスクです。
ドメイン保護を先延ばしにするという事は、あなたが努力して作り上げたものを破壊するチャンスをハッカーに提供し続けるという事になります。そして以下の事が起こる可能性があります:
- 個人情報(PII)を含むあなたの顧客データが盗まれる可能性
- 不応諾に対する慰謝料を払わなければならない可能性
- ブランド名が傷つく可能性
実際ウェブサイトは常に不正アクセスされています。データを盗む為であったり、あなたのサーバーを使ってスパムメールを送信したり、違法にファイルを共有したり、悪意のあるウェブサーバーを設置するなどの理由からです。これらすべてのアクティビティはあなたのブランド評価を傷つける事になります。
こちらはドメイン保護を確実にするために使える5つの手順です:
1. 連絡先は必ず最新の状態にして公開し過ぎない
登録情報はかならず最新の状態を保つことでドメインの安全を維持する事ができます。
自分がドメインの持ち主である事を確実にする
ドメインがハッキングされた時、あなたがドメインの「記録上の登録者」であればすぐにドメインを取り返す事ができます。例えば、もしウェブ代理店を通してドメインを登録した場合は、持ち主の連絡先が代理店のものではなく自分のものである事を確認しましょう。もしくは、チームメンバーの誰かがあなたの為にドメインを登録した場合、そのチームメンバーの名前で登録されているかもしれません。登録者が自分の名前でない場合は、持ち主の名前を自分に変更する必要があります。
連絡先を最新の状態に保つ
連絡先を最新の状態の保つ事で、ドメイン登録事業者があなたのアカウントと矛盾するようなアクティビティがあった場合にあなたへすぐに通知する事ができます。ドメイン登録情報内の名前と連絡先情報が正しければ、ドメインへのアクセス復元がより簡単になります。
WHOIS内で個人データを隠す
WHOISは住所や電話番号を含む登録情報をリスト化します。この情報を隠すべき理由は2つあります。まずWHOISに電話番号を載せると、たくさんの迷惑電話がかかってくる可能性が高まります。そしてさらにハッカーはあなたの電話番号を乗っ取り、それを使って復元プロセスを通してあなたのアカウントへのアクセスを試みることができるようになってしまいます。
2. ドメインログイン情報を共有しない
鉄則として、ログイン認証情報は何があっても共有してはいけません。
ウェブデザイナー、IT専門家、開発者はDNS設定を変更できるようログイン情報をあなたに尋ねてくることがあります。
DNSアップデートはログイン情報を共有しなくても行う事ができます。
お使いのレジストラでサブアカウントを作成できる場合、ウェブデザイナーなどに必要な限定的なアクセス権を与える事ができます。WEB開発者がDNS設定を変更する必要がある場合、DNS設定のみへのアクセス権を与える事が可能です。そうすれば必要以上に変更が加えられる心配をする必要が無くなります。
3. ログイン情報を聞き出すEメールには注意
フィッシング攻撃は通常ドメインレジストラから送られてくるシンプルなメール内容を装っています。
多くの場合、信頼できる送信者のEメールIDを偽造して送信されるか、信頼できるドメインと同様のドメイン名から送信されます。例えば、攻撃者は「gandeeemailsupport.com」のようなドメインから送信するかもしれません。このような悪意のあるメールは、ドメイン管理や更新に関連した内容である場合が多いです。
ユーザー名とパスワードを聞き出すようなメールのリンクは絶対にクリックしない。
フィッシング攻撃を回避する最善の方法は、レジストラの公式ウェブページからのみアカウントに接続することです。受け取ったメールがフィッシング攻撃かどうかを検証するためにレジストラとそのメールを共有しましょう。
4. 二要素認証を使用する
二要素認証(2FA)では、ログイン時にユーザー名とパスワード以外の二次的セキュリティ要素を必要とします。二次的要素にはSMSコードや、アプリで生成されたコード入力があります。もしハッカーがアカウントへアクセスしてしまった場合でも、この認証の二段階目でドメインを守る事ができます。
しかし2FAはまだ完璧ではありません。SMSを使用してコードを送信する際に攻撃者があなたの携帯電話を乗っ取っていた(上記で説明)場合、攻撃者は2FAをかいくぐってアカウントへアクセスする事ができます。
乗っ取りの問題を回避するためには、TOTPやワンタイムパスワードを使う事ができますが、攻撃者はそれでもフィッシングをする事ができるため、ユーザーをフィッシング攻撃から保護する事はできません。
ユニバーサル二要素認証(U2F)は2FAのより強力なバージョンで、認証プロセスに暗号化の層を追加し、個人情報とウェブサイトの両方をさらに検証し、既知のフィッシング攻撃スキームを防ぎます。
5. 優良ドメインレジストラを選ぶ
ドメインの安全を守る上で最も重要な要素の1つは優良ドメインレジストラを選ぶことです。
ドメインレジストラを選ぶ際には、必ずセキュリティ機能を確認しましょう。
無料WHOISプライバシー、サブアカウント、二要素認証、ユニバーサル二要素認証などの機能が搭載されていればドメインをより安全に維持できます。
レジストラを選ぶ際に重要な他のセキュリティ機能:
- DNSSEC管理:DNSSECは、受信したDNS情報が正確かどうか確認するために使用されるDNSの拡張機能です。DNSSECが搭載されていない場合、攻撃者はウェブサイトを探すユーザーに悪意のあるサイトへリードし、あなたのサイトトラフィックが乗っ取られる可能性があります。
- 質の高いテクニカルサポート:24時間のテクニカルサポートは必須です。問題が発生した場合に、いつでもサポート担当者に連絡することができる環境は非常に重要です。ドメインが乗っ取られてしまった場合は、ドメインを復旧して稼働させるための即時サポートが不可欠です。
結論
ドメイン名はビジネスの要素の中で最も重要な1つです。もしドメイン名が乗っ取られてしまうと、ビジネスの評価は急落し、SEO順位も下がる可能性があり、数カ月、数年かけて積み上げたものがすべてなくなってしまう可能性だってあります。今回ご紹介したヒントに従い、正しいレジストラを選ぶ事ができれば、ドメインが乗っ取られる可能性を大幅に低下させる事ができます。Gandiは上記で説明した機能をすべて提供するレジストラの一例ですが、様々なレジストラのセキュリティ機能を見比べた上でぜひあなたのドメインの安全性を維持しましょう。
Aman Masjideは、世界最大のドメインポートフォリオレジストリの1つであるRadixで、コンプライアンスおよび悪用の軽減をリードしています。Radixは. .online, .store, .fun, .website, .tech, .host, .site, .space & .press.などの新規ドメインを提供しています。
Tagged in Nom de domainespoofing
