期限切れドメインの落とし穴:MXレコード乗っ取りによるメール詐欺の実態

企業のドメインポートフォリオは時間とともに拡大していきます。ブランドリニューアル、地域別キャンペーン、製品マイクロサイト、防衛的登録、M&Aなど、様々な理由でドメイン数は増加します。そして必然的に、一部のドメインは役目を終えます。しかし、一見「使われていない」ドメインの更新を怠ることで、組織は深刻な脅威に晒される可能性があります。それが、MXレコードを悪用したメール乗っ取り攻撃です。

 

PSI-Japanでは、ドメイン管理の最前線で得た知見を皆様と共有することを大切にしています。最近、当社のチームは、短期間に数十もの期限切れドメインを次々と登録するユーザーの動きを検知しました。当初、そのパターンは不可解でした。登録されたドメイン同士に明確な関連性はなく、登録者はウェブサイト構築や正当なオンライン事業展開にも関心を示しませんでした。しかし数日のうちに、全容が明らかになりました。登録された全てのドメインに、攻撃者が管理するメールサーバーを指すMXレコード(インターネット上でメールを配送するためのDNS設定)が即座に設定されていたのです。私たちは、組織的なメール乗っ取り作戦をリアルタイムで目撃していました。当社は直ちにアカウントを停止し、該当ドメインを削除しましたが、この事案は多くの企業が見落としている脆弱性を浮き彫りにしました。私たちはこの実例を共有することで、お客様やより広いコミュニティの皆様が、攻撃者に先んじて自社のポートフォリオを保護する一助となることを願っています。

この攻撃は、貴社のメールサーバーを標的とするものではありません。インターネット上のメール配送がDNS、特にMXレコードによって制御されているという事実を悪用するものです。ドメイン更新の意思決定を担う管理者や企業の責任者にとって、このリスクは経営層レベルで注視すべき課題です。財務、法務、人事、営業、そして企業のブランド評判全体に影響を及ぼします。ドメインを1年更新するコストは、請求書詐欺、データ漏洩、復旧作業による潜在的損失と比較すれば微々たるものです。

 

ドメイン期限切れ時に何が起こるのか

  • ドメインが更新されず、最終的に「ドロップ」して一般登録可能な状態に戻ると、そのドメインは貴社との関連性を失います。
  • 攻撃者は即座にその同じドメインを再登録できます。
  • 攻撃者はそのドメインのDNSを設定し、自身が管理するメールサーバーを指すMXレコードを構成します。
  • その瞬間から、期限切れとなったドメイン宛に送信される全てのメールは、貴社のサーバーではなく攻撃者のサーバーに配送されます。

企業が、旧ドメインを参照しているシステムや外部パートナーの数を過小評価することは珍しくありません。退職した従業員のアドレス、レガシーメーリングリスト、取引先の連絡先記録、CRM自動化、調達ポータル、認証局、さらには政府機関のプラットフォームまでもが、貴社が「廃止した」と考えているドメインのメールアドレス宛に更新情報やパスワードリセットを送信し続けている可能性があります。そのドメインが攻撃者によって再登録されれば、それらのメールは静かに攻撃者の手に渡ります。

なぜこの手法が効果的なのか

  • 残存する信頼:取引先や協力会社は、何年も前に作成された許可リストに基づき、旧ドメインからのメッセージを今でも信頼している可能性があります。
  • 参照のロングテール:古い契約書、PDFデータシート、公開資料、チケットシステムなどは何年も残存し、「info@旧ブランド.example」宛にメールを送信し続けます。
  • アカウント復旧:多くのSaaSプラットフォームやレジストラはパスワードリセットにメールを使用します。それらのリセットメールが攻撃者のMXに届けば、貴社が関連付けを認識していなかったアカウントまで乗っ取られる可能性があります。
  • 低コストのビジネスメール詐欺(BEC):旧ドメインを使用することで、攻撃者は既知の身元を装い、支払いを不正に転送したり機密文書を入手したりできます。

注目すべきは、強固な社内セキュリティ管理があっても、この手法によって回避される可能性があるという点です。攻撃者は貴社のシステムに侵入する必要がありません。ドメインを掌握した後、MXレコード(繰り返しになりますが、インターネット上でメールを配送するためのDNS設定)によって配送されるメッセージの経路上に立つだけで済むのです。

貴社が脅威に晒されている兆候

  • ブランド変更、買収、事業売却の履歴がある
  • マーケティング部門がキャンペーン用や国別ドメインを運用しており、中央管理されていない
  • 過去にタイポスクワットや類似ドメインを保有していたが、後に失効させた
  • 廃止したブランドに紐づくメールアドレスが、取引先契約や業者プロファイルに残存している
  • 事業上の重要度に基づく更新ポリシーを持つ一元管理台帳が存在しない

実際に起こりうる被害

  • 請求書詐欺:攻撃者が旧請求先アドレスを装い、顧客に「振込先口座の変更」を指示し、支払いを横取りする
  • データ漏洩:RFP、人事文書、法的通知などの機密添付ファイルが、期限切れドメインのメールボックスに送信され、密かに流出する
  • サービス乗っ取り:SaaS、認証局、さらにはレジストラアカウントのパスワードリセットフローが傍受され、より深刻な侵害につながる
  • 評判の毀損:関係者は貴社と通信していると信じているが、実際には貴社がかつて所有していたドメインで攻撃者とやり取りしている

ドメイン管理者のための実践的ガバナンス手法

解決策は「全てを永久に保持する」ことではなく、メールを高リスクベクトルとして認識した、規律あるドメインライフサイクル戦略を採用することです。

  1. ポートフォリオの一元化

    • gTLDおよびccTLDを含む全ドメインの完全な台帳を維持する(レガシー、防衛的登録、キャンペーンドメインを含む)
    • 各ドメインを事業機能別に分類する(メール使用歴、ブランド価値、規制上の義務、取引先依存関係)

  2. リスクに基づく更新ポリシーの設定

    • メールをホストしたことがあるドメイン、または外部から参照される可能性が高いドメインは自動更新に設定
    • 残存リスクがある低コストドメインは、運用負荷軽減のため複数年更新を優先
    • ドメイン廃止には事業部門の承認を必須とし、場当たり的な失効を回避

  3. ドメイン廃止時の安全な手順

    • 社内チームおよび主要な外部パートナーに廃止スケジュールを通知
    • サードパーティサービス上の復旧用・連絡先メールを、恒久的な主要企業ドメインに移行
    • 公開資料や取引先記録を現行アドレスに更新
    • 一定の猶予期間、キャッチオールメールボックスと転送を運用し、残存参照を特定
    • 最終切り替え前に:
      • MXレコードを削除し、厳格な「メール不可」姿勢を公開
      • SPFを全拒否に設定:v=spf1 -all
      • DKIMキーとセレクタを削除
      • 運用中はp=reject; rua=...; ruf=...などの厳格なDMARCポリシーを適用し、廃止後も再登録時の悪用を減らすためDMARCをrejectのまま維持

  4. 自社メールゲートキーピングの調整

    • メールゲートウェイに、廃止ドメイン「から」のメールを外部・信頼できないものとして扱う、または完全に拒否するルールを追加
    • 廃止ドメインを社内許可リストや取引先例外から削除

  5. 継続的な監視

    • ポートフォリオ全体で期限切れが近づくドメインを複数連絡先アラート(60/30/14/7日前)で監視
    • 過去に保有していたドメインの再登録や類似ドメインの登録を監視
    • 自社ブランドのMX/SPF/DKIM/DMARCの変更を追跡
    • DMARC集計レポートを活用し、不正な送信元や異常を検出

  6. インシデント対応計画

    • 攻撃者が知名度の高い廃止ドメインを再登録し貴社ブランドを詐称した場合、法務部門と協議の上、削除オプションを検討。状況に応じてUDRP/URSまたはレジストラ/ホスト事業者の不正利用対応プロセスが適用される場合があります
    • 影響を受けた取引先や顧客に迅速に通知し、明確で実行可能なガイダンスを提供

 

成熟したドメインガバナンスの姿

成熟したドメインガバナンスを持つ組織は、メールを扱ったことのあるドメインを戦略的資産として扱います。彼らは以下を維持しています:

  • 事業オーナーと技術担当者を明記した生きた台帳
  • 予算サイクルだけでなくリスクに紐づいた更新ポリシー
  • DNS強化手順とコミュニケーションを含む、ドメイン廃止の標準作業手順
  • ブランドや地域を横断して一貫性を保つための、一元化されたDNSおよびメール認証管理

運用コストは控えめですが、リスク削減効果は大きいのです。

PSI-Japanによる企業ドメイン管理者支援

PSI-Japan(PSI-Japan, Inc. / 株式会社国際調達情報)は、25年以上にわたり法人のお客様にサービスを提供してきたICANN認定レジストラとして、複雑さを増すことなくこれらの管理策の実装を支援します:

  • 1,000種類以上のTLDにわたるポートフォリオ監査とリスク分類
  • 一括更新、複数年契約、企業ワークフローに適した柔軟な請求書発行(見積書・請求書・領収書)と支払いオプション
  • 廃止ドメインに「メール不可」姿勢を適用するための、MX、SPF、DKIM、DMARCに関するDNS設定およびメール認証ガイダンス
  • 事業影響に合わせた、期限切れ、再登録、ブランド類似ドメインの監視とアラート
  • 不正利用発生時の紛争および削除手続きに関する助言

 

今期、どのドメインを更新または廃止するかを評価する際、意思決定フレームワークに一つの質問を追加することをお勧めします:このドメインはこれまでにメールを扱ったことがあるか、または関係者が今でもこのドメインを通じて当社に連絡しようとする可能性があるか?答えが「はい」であれば、賢明な選択は更新、または厳格なDNS管理とコミュニケーションを伴う構造化された廃止です。

MXレコードはインターネットの配管の一部に過ぎないかもしれませんが、ドメインが失効すると、その配管は機密通信を静かに敵対者へと転送してしまいます。規律あるライフサイクル戦略と適切な管理策により、このリスクをほぼゼロに削減しながら、クリーンで適切に管理されたポートフォリオを維持することができます。