こんにちは、大阪事業所採用担当の小西です。
今日は、“これ、他人事じゃないかも…”と思えるような話題をシェアします。
先日、商業施設「アトレ」さんが公開した注意喚起のお知らせが、個人的にとても気になりました。
https://www.atre.co.jp/news/5360/
ざっくり要約
2013年〜2016年に発行された旧アトレカードの裏には、マイページへ飛ぶQRコードが印刷されていたんですが…
そのQRコードのリンク先ドメインが今は第三者の手に渡ってしまっており、変なサイトに繋がるようになっているという内容でした。
つまり、「昔の“公式”URL」=“危険サイトの入口”になっていた、というわけです。
考えさせられるポイント
この件、他人事じゃないですよね。
なぜなら、どの会社でもドメインを手放す可能性があるし、予期せぬ形で古いリンクが“生きて”しまうリスクは、結構あるから。
たとえば…
- 名刺に印刷したURL
- チラシに載せたQRコード
- 昔のプロダクトのログイン画面
- 古いお知らせメール
これらって、たとえサービスが終わってもユーザーの手元に残り続けるんですよね。
運用側として気をつけたいこと
- ドメインを手放すときは、すぐに解放しない(一定期間キープ)
- 昔のQRコードやリンクが、どこに残っていないか棚卸し
- ドメインが生きている間に、警告ページを設置しておく
- 廃止前に、広報・カスタマーサポートと連携して周知を徹底
開発やインフラを担当する人だけでなく、マーケティングやカスタマーサポートとも連携しながらリスクを防ぐ体制が必要だなと改めて思いました。
知っておきたい関連キーワード:「ドロップキャッチ」とは?
今回のように、誰かが使っていたドメインが期限切れになり、別の第三者に取られる現象を「ドロップキャッチ(Drop Catch)」と呼びます。
人気のあったサービスや有名ブランドのドメインが対象になると、悪用されやすく、フィッシング詐欺やマルウェア配布の温床になることも。
よくある悪用例
- 元のドメインと似たデザインで偽ログインページを作る
- 「登録が必要です」と言って個人情報を盗み取る
- 知名度を利用して広告収入を稼ぐサイトに誘導
今回の件から、ドメインを廃止する際は“その後のリスク”まで含めて設計することの重要性を強く感じました。
ここまでお読みいただいた方、本当にありがとうございます。
このブログが、ちょっとした“セキュリティの視野”を広げるきっかけになれば嬉しいです。
また気になる話題があれば、採用担当の目線でゆるっとご紹介していきます!
以上、大阪事業所採用担当の小西でした!