昨日の時事通信JIJI.COMに「公共ドメイン、転用相次ぐ 消費者金融や「パパ活」にも」という記事がありました。
中央省庁や地方自治体が過去に使っていたドメイン(インターネット上の住所)が第三者に取得され、無関係な別サイトに転用される事例が後を絶たない。
ということで、公共サービスのために取得されていたドメインが他の詐欺的なサイトなどに転用されることが問題としているようなのですが、本当の問題はそこではないでしょう。転用されることがわかっているのに誰でも取得できる汎用JPドメインなどを利用して、短期間で手放してしまう行政などのほうに問題があります。
日本の政府機関などであれば.go.jp
、地方公共団体などであれば.lg.jp
という専用のドメインがあるのですから、これらであれば無関係な第三者が取得して転用するようなことはまずないはずですが、これらを利用しないのはどういうわけでしょうか。簡単なドメイン名にしてユーザーに憶えてもらいたいということなのかもしれませんが、今どきURLを手入力するという人がどれだけいるのでしょうか。
ドメインが正規の手段で第三者に取得されてしまった場合、TLS/HTTPSは無力です。もしも詐欺集団によって旧サイトを模してHTTPSをサポートしたウェブページを作られてしまった場合、ブラウザで鍵マークが表示されているからと安心して個人情報などを入力してしまうリスクがあります。このような問題もあるのでChromeでは1年前から鍵のアイコンをやめていますが、「警告が出ないから大丈夫」と信じてしまう危険性は変わりません。
この汎用ドメインの問題についてはセキュリティ研究者の高木浩光氏がかなり前から指摘しているところで、ちょっと調べただけでも15年も前の2009年のブログ記事で危険性を訴え、実際にphishingサイトを作成して見せています。にも関わらず最近でも未だに汎用JPドメインなどを使用する例が後を絶たず、今回の記事のような状況に至っているのですが、一体どうしたらこれを改めることができるのでしょうか。私がこんなところで訴えかけても虚空に向かって叫んでいるようなもので、届くわけはないのですが…