「個人が取得したドメイン」の“終活”を始めてみた

0

2022年08月09日 07:21  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真写真

 最近、筆者は頻繁に各種サービスの設定を見直しています。具体的には脆弱(ぜいじゃく)なパスワードを強力なものに変更するとともに、登録している電子メールアドレスを「gmail.com」に変更しています。



【その他の画像】



 これまで筆者は、「Gmail」の使い勝手を独自の電子メールアドレスでも利用できるように、保持している「.jp」の独自ドメインを無償版「G Suite」で運用していました。しかし無償版G Suiteのサービス終了をきっかけに、独自ドメインへの依存を減らす方針にシフトチェンジしました。いわば、個人が取得した独自ドメインの“終活”です。



●令和の今、個人で独自ドメインを持つメリットを見直す



 独自ドメインを持っていれば自分だけの電子メールアドレスを持てますし、自分のWebサイトを自分好みのURLに設定できます。インターネットが爆発的に普及するタイミングであれば、これは非常に魅力的だったと思います。コストはドメインの維持費と、メールサーバを含むレンタルサービスの費用くらいでしょう。



 ところが今ではGmailなど無料のサービスでも問題なく利用できますし、そもそも電子メールによるコミュニケーションの頻度も以前と比べて低くなり、電子メールアドレスは「IDを取得するためのもの」程度の扱いになっています。



 昨今の円安の影響もあり、ドメイン維持のための年額費用も徐々に値上がりつつあります(筆者が運用しているのはjpドメインなので、円安とは無関係に高いのですが……)。加えて、以前本連載で紹介した「サブドメインテイクオーバー」やドメインの有効期限切れを狙ったサイバースクワッティング、ドメイン管理会社のWebサービスにおける脆弱性を狙った攻撃など、ドメインに関する“攻撃”も増えています。



 もはやドメインとして維持すべきは各企業の代表となるドメイン1つであり、それ以外は厳密に管理されたサブドメインで運営することが重要です。利用者は日々、さまざまな手法による「フィッシング」にさらされており、その企業を表すドメインが少なければ少ないほど、偽のWebサイトであると判断しやすくなります(ただし、正しいWebサイトであるという判断はできませんので、やはり利用者は見破るのではなく、ブックマークから飛ぶなどの方法を推奨したいです)。最近では徐々に有名企業もサービスにおけるドメイン統一を進めており、非常にありがたいと思っています。



●個人メールのドメインが奪われたと想定する



 では個人においてはどうすべきなのでしょうか。筆者はドメインの利用をWebサイトのみに絞り、電子メールは無料のサービスのうち、恐らく長続きするであろうサービスのドメインをそのまま利用することを選択しました。独自ドメインの電子メールは、今後リスクが大きくなるのではないかと思っているからです。



 多くのWebサービスは、電子メールアドレスがIDとして利用されています。パスワードを変更しようとしたとき、Webサービスは「電子メールアドレスは本人が所有している」という前提にあるため、登録された電子メールアドレスにパスワード初期化のためのURLが送られてきます。そのためこのコラムでも度々、Gmailなどは2要素認証を使い、パスワードが漏れたとしても盗まれないようにしようと述べています。



 しかし独自ドメインを利用した電子メールは「ドメインそのものが盗まれる」可能性があります。ドメインが盗まれる、つまりドメインにひも付く電子メールサーバを変更されてしまうと、そのドメインに当てられた全ての電子メールを奪われてしまいます。



 上記に加えて各種サービスのパスワード初期化フローを組み合わせると、独自ドメインが何らかの形で奪われた場合、電子メールアドレスにひも付く全てのサービスのパスワードが初期化できてしまうことになります。この点から、個人や組織にかかわらず、独自ドメインの管理及びDNS設定はしっかりと死守できる体制が取られていなければなりません。



 読者の中には「個人管理かどうかは無関係ではないか」と思う方もいるかもしれません。それはその通りなのですが、自分の管理とGoogleをはじめとするIT専業の管理のどちらが信頼できるかと言えば、全てをおまかせした方がいいのは明白です。そのため、独自ドメインを運用する自分を信頼せず、Gmailに全部おまかせしようというのが筆者の結論でした。独自ドメインは“うっかり失効”のリスクもありますしね。



 実際には、各種Webサービスの電子メールアドレスを独自ドメインの電子メールからGmailのアドレスに変更するだけです。独自ドメインに届く電子メールは今では重要度の低いものだけになりつつあります。これで、万が一ドメインが盗まれたり、ドメインが失効したり、誰かが興味半分で合法に取得したりしても、重要なWebサービスのアカウントを乗っ取られることはなくなった……はずです。



●ただし幾つかの例外も……



 ただし、Gmailのアドレスに変更できなかったサービスも幾つかありました。それはMicrosoftのアカウントやApple IDです。実はこれらは筆者のGmailアカウントが、既に他人の手によって登録されてしまっているからです。



 逆にこれらの重要サービスについてはGmailと関連付けず、IDそのものを類推できないように設定しました。これによって、万が一Gmailを乗っ取られたとしても、スマートフォンやPCの重要アカウントとして使われるこれらのIDにまで影響が少しでもおよばないようにと考えた結果です(もちろん、両方とも2要素認証を設定しています)。



 独自ドメインを取得している人や取得しようと思っている人は、今では少数なのかもしれません。ただし企業においてもこれらのドメイン終活的なことは頭の片隅に置いておくべきであり、特に中小規模の企業においては企業買収や合併により利用されなくなるドメインが発生するのではないかと思います。その際にはドメインを利用している電子メールアドレスが、何らかのWebサービスのIDとして設定されている前提で、電子メールアドレスを管理する必要があるでしょう。



 個人においても独自ドメインはWebサイトを運用する上では活用しつつ、独自ドメインの電子メールという運用をもう一度見直し、終わらせるときのことを想定しなければならないかもしれません。次は独自ドメインを10年くらいまとめて維持費を振り込むことを検討していますが、そもそもドメイン管理会社が10年持つかどうかといったリスクもあったりして……。



筆者紹介:宮田健(フリーライター)



@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。


    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定