第41章 ドメインの根
- 山崎行政書士事務所
- 5月7日
- 読了時間: 18分
午前七時四十分。
信頼根台帳の初版には、まだ空欄が多かった。
三枝涼真は、第三会議室の大型モニターに映る表を見ていた。
信頼根台帳
分類は、昨日の夜に作ったばかりだ。
連絡先署名鍵電子印証明書管理者代理人時刻源外部確認先受領確認先緊急連絡先
そして、今朝、三枝はもう一つ分類を追加しようとしていた。
ドメイン
会社が何者であるかを、外から見せる名前。
メールアドレス。公式サイト。取引先ポータル。問い合わせフォーム。電子署名付きPDFの検証URL。相互確認番号の確認ページ。注意喚起文の掲載先。
そのすべてが、ドメインに依存している。
昨日、攻撃者は登録済み連絡先を書き換えようとした。住所録が変われば、確認電話は攻撃者へ向かう。
では、ドメインが変われば。
公式サイトに見える場所が、攻撃者のものになったら。
三枝は、公式発信確認ルールの文面を開いた。
公式サイト掲載、問い合わせ番号、登録済み窓口、電子署名情報の照合により確認してください。
公式サイト掲載。
この言葉に、今朝は重さを感じる。
公式サイトは、本当に公式なのか。
その時、営業部から緊急チャットが入った。
複数取引先から、確認ポータルについて問い合わせあり。“verify-suruga.jp”というサイトへ誘導されたとのこと。当社のサイトか確認依頼。
三枝は、息を止めた。
見たことがない。
彼は、すぐにブラウザで開くのをやめた。通常端末でアクセスしない。
URLを控え、隔離環境へ送る。
黒崎課長が、画面を見た。
「うちのドメインじゃないな」
「はい。ただ、名前がそれっぽいです」
山崎行政書士事務所の山崎が、会議室に入ってきた。
「何がありましたか」
三枝は答えた。
「取引先が、verify-suruga.jpという確認ポータルへ誘導されています。当社の公式サイトではありません」
山崎は、ホワイトボードの前に立った。
黒いペンで書く。
ドメインの根
その下に、もう一行。
似ている名前は、本人確認ではない。
三枝は、その文字を見た。
声。印。受領書。委任状。連絡先。
そして今度は、名前。
会社の名前に似たドメインが、確認の入口を奪おうとしている。
午前七時五十五分。
隔離環境で、問題のサイトを確認した。
ページタイトル。
駿河メディカルロジスティクス 本件確認ポータル
画面には、当社のロゴに似た青い図形がある。ただし、本物のロゴではない。フォントも微妙に違う。
本文には、こう書かれていた。
本件インシデントに関する通知確認、配送確認、受領確認、連絡先確認をこちらから行えます。問い合わせ番号を入力してください。
入力欄。
問い合わせ番号担当者メールアドレス受領確認番号緊急連絡先の確認
三枝は、手を止めた。
これは、取引先から確認情報を集めるための偽ポータルだ。
相互確認番号。受領確認番号。緊急連絡先。担当者メール。
昨日まで会社が防御のために配った確認手段が、攻撃者の収集対象になっている。
久我真琴がオンラインで言った。
「フィッシングサイトですね。ただし、単純なフィッシングではありません。こちらが作った確認プロトコルに合わせてきています」
山崎が言った。
「確認の道具を、確認情報の収集に使っている」
三枝は、時系列表を開いた。
07:55 取引先より、verify-suruga.jpへの誘導に関する問い合わせ。隔離環境で確認したところ、当社名を騙る“本件確認ポータル”を表示。問い合わせ番号、担当者メール、受領確認番号、緊急連絡先確認等の入力欄あり。当社公式サイトではない。確認プロトコル情報収集を狙う偽ポータルの可能性。
保存。
望月社長が入室した。
「公式サイトではないのですね」
三枝は答えた。
「はい。当社が運用するドメインではありません」
山崎は、すぐに言った。
「注意喚起を出します。ただし、まず当社の公式確認方法を再確認します」
望月は頷いた。
「お願いします」
午前八時十五分。
ドメイン調査が始まった。
対象。
登録日は、三日前。登録者情報は匿名化。ネームサーバは海外事業者。TLS証明書は有効。証明書発行日は昨日。サブドメインとして、次の名前がある。
三枝は、証明書情報を見た。
証明書は有効です。
また、この言葉。
有効。
何が有効なのか。
山崎が、すぐにホワイトボードへ書いた。
TLS証明書は、通信先ドメインを示す。会社の正当性を保証しない。
三枝は頷いた。
タイムスタンプと同じだ。電子署名と同じだ。会社印と同じだ。
有効な証明書は、暗号化された通信を示す。だが、そのサイトが駿河MLの公式であることは示さない。
久我が言った。
「証明書透明性ログにも出ています。証明書発行自体は正規です。攻撃者が自分で登録したドメインに対して正規証明書を取っただけでしょう」
秋山が言った。
「取引先は、鍵マークを見ると安心してしまいます」
山崎は答えた。
「だから説明します。鍵マークは、当社公式である証明ではないと」
三枝は、信頼根台帳に追加した。
D-001 公式ドメイン:suruga-ml.co.jpD-002 偽装疑い:verify-suruga.jp分類:ドメイン信頼根
さらに、未了事項台帳に追加する。
U-170 公式ドメイン・類似ドメイン監視未整備
責任者。
三枝・広報・秋山
期限。
七日以内に初版
状態。
開始
保存。
午前八時四十分。
Blue Heronからメールが届いた。
件名は、Lock icon。
本文は、短かった。
They trust the lock.They do not read the name.
彼らは鍵マークを信じる。名前を読まない。
その下には、偽ポータルのスクリーンショットが貼られていた。
ブラウザのアドレスバーには、鍵マーク。隣に、verify-suruga.jp。
三枝は、保全した。
山崎が言った。
「攻撃者は、TLS証明書と鍵マークを信頼の根に見せています」
望月が言った。
「鍵マークは、当社の証明ではない」
「はい」
山崎は続けた。
「取引先向けに、公式ドメインの確認方法を明確にします。公式サイトは、これまで案内しているドメインのみ。新しい確認ポータルは開設していない。問い合わせ番号を入力するサイトは当社が指定する公式URLだけ」
営業部長が、すぐに文案を作った。
山崎が整える。
当社は、verify-suruga.jp という確認ポータルを運用していません。当社の公式情報は、従来からご案内している公式サイトおよび登録済み窓口でご確認ください。ブラウザの鍵マークやTLS証明書は、通信が暗号化されていることを示すものであり、当社公式サイトであることを保証するものではありません。問い合わせ番号、受領確認番号、担当者メール、緊急連絡先を不明なサイトへ入力しないでください。
望月は承認した。
「出してください」
三枝は時系列表に入力した。
08:40 不明差出人より件名“Lock icon”のメール受信。偽ポータルverify-suruga.jpの鍵マークを提示し、取引先が鍵マークを信頼することを示唆。対応方針:鍵マークは当社公式性を保証しないこと、当社は同ドメインを運用していないことを取引先へ注意喚起。
保存。
午前九時十分。
取引先向け注意喚起が送信された。
同時に、公式サイトにも掲載。
電子署名付きPDF。問い合わせ番号。公式ドメイン一覧。偽サイトへの入力禁止。専用通報窓口。
PublicNoticeHubの公開ログも確認する。
正式公開。署名有効。会社印経路、現行承認。Evidence Chain追加。
三枝は、少し安心した。
今度は、会社の声が先に出た。
攻撃者が偽の確認ポータルを作った。会社は、公式確認ルールを更新した。
だが、久我はまだ表情を崩さなかった。
「偽ポータルがどこから取引先へ案内されたかを確認しましょう」
営業部長が、問い合わせを受けた取引先に確認した。
結果、複数の取引先が同じメールを受け取っていた。
件名。
【駿河ML】確認ポータル移行のお知らせ
差出人。
これも当社ドメインではない。
本文には、こうある。
混雑緩和のため、問い合わせ番号・受領確認番号の確認を専用ポータルへ移行しました。
添付なし。リンクあり。
山崎が言った。
「今度は、確認ポータル移行という名目ですね」
秋山が言った。
「公式確認ルールを逆手に取られています」
山崎は頷いた。
「攻撃者は、会社が確認方法を増やしたことを利用し、“移行”という言葉で別の根を作ろうとしています」
三枝は入力した。
09:18 複数取引先がsupport@suruga-ml-contact.jpより“確認ポータル移行のお知らせ”を受信。verify-suruga.jpへのリンクを案内。当社ドメインではなく、当社は確認ポータル移行を実施していない。
保存。
午前九時四十五分。
山崎は、ホワイトボードに新しい言葉を書いた。
移行詐欺
その下に。
確認方法の変更は、最大の確認対象である。
三枝は、思わず頷いた。
これまで何度も出てきた。
連絡先変更。訓練モード。復帰指示。委任状。会社印。時刻源。受領確認。
そして、確認ポータルの移行。
防御のために作った新しい確認方法は、攻撃者に「変更」を名乗られると危険になる。
山崎は言った。
「確認方法を変更する時は、旧確認方法で告知します」
秋山が頷いた。
「新しいポータルを案内するなら、旧公式サイト、旧登録窓口、旧連絡先で案内する」
「はい」
山崎は続けた。
「攻撃者が新しい確認方法を作るのを防ぐためです」
三枝は、取引先向けFAQに追加した。
当社の確認方法、公式サイト、問い合わせ窓口、確認ポータル等に変更がある場合は、従来の公式サイトおよび登録済み窓口から事前にお知らせします。不明な新サイトや新窓口へ情報を入力しないでください。
保存。
午前十時三十分。
偽サイトのインフラ調査で、さらに問題が見つかった。
verify-suruga.jp は、単独の偽ドメインだった。
だが、別に、当社の古いサブドメインが偽サイトへリダイレクトされていた。
三枝は、画面を見て固まった。
「うちの本物ドメインのサブドメインです」
黒崎が、椅子から立ち上がった。
「何だと」
三枝は、DNS設定を確認した。
CNAME。
suruga-event-archive.hosting-old.example
用途。
二年前の物流セミナー特設サイト。
管理会社。
外部イベント制作会社。
契約。
終了済み。
現在のホスティング。
不明。
CNAME先が、今朝からverify-suruga.jpへリダイレクトしている。
三枝は、背筋が冷えた。
偽サイトだけではない。
当社の本物ドメイン配下の古いサブドメインが、攻撃者の偽ポータルへ誘導している。
山崎が、静かに言った。
「これは、非常に危険です」
久我が頷いた。
「サブドメイン乗っ取りまたは旧ホスティング管理不備の可能性です。取引先から見れば、suruga-ml.co.jp配下なので本物に見えます」
望月が言った。
「すぐ止めてください」
黒崎は、DNS管理画面を開いた。
event2026のCNAMEを削除する前に、山崎が止めた。
「保全してから」
黒崎は一瞬だけ苛立った顔をしたが、すぐに頷いた。
「分かっています」
DNS設定、履歴、CNAME先、現在のHTTPレスポンス、リダイレクト先、証明書、スクリーンショットを保全。
その後、DNSレコードを無効化。
event2026.suruga-ml.co.jp: Disabled
三枝は入力した。
10:34 当社公式ドメイン配下の旧サブドメインevent2026.suruga-ml.co.jpが、CNAME suruga-event-archive.hosting-old.example経由で偽ポータルverify-suruga.jpへリダイレクトしていることを確認。二年前の物流セミナー特設サイト用。外部イベント制作会社契約終了済み。保全後、DNSレコードを無効化。
保存。
午前十一時。
Blue Heronからメールが届いた。
件名は、Your domain。
本文は、短い。
Not fake enough?We used your name.
偽物らしさが足りなかったか?あなたたちの名前を使った。
その下には、event2026.suruga-ml.co.jpのスクリーンショットが貼られていた。
三枝は、保全した。
望月は、画面を見て言った。
「当社のドメイン配下ですから、取引先は信じますね」
山崎は頷いた。
「はい。これは、ドメインの信頼根が汚染された状態です」
久我が言った。
「DNS台帳、サブドメイン台帳、外部ホスティング、CNAME先、契約終了後の削除確認が必要です」
秋山が言った。
「イベントサイトやキャンペーンサイトも対象ですね」
「はい」
山崎は答えた。
「公式ドメイン配下にある以上、すべて会社の声に見えます」
三枝は、未了事項台帳に追加した。
U-171 公式ドメイン・サブドメイン・外部ホスティング棚卸し未了
責任者。
三枝・広報・秋山
期限。
七日以内に全件棚卸し
状態。
開始
時系列にも入力。
11:00 不明差出人より件名“Your domain”のメール受信。event2026.suruga-ml.co.jpを偽ポータル誘導に使用したことを示唆。当社公式ドメイン配下サブドメイン悪用可能性。証跡保全。
保存。
午前十一時三十分。
外部イベント制作会社との緊急確認が始まった。
会社名は、BrightEvent Creative。
相手は、担当の成瀬。
成瀬は、最初に言った。
「event2026の特設サイトは、契約終了後、閉鎖済みの認識でした」
山崎が聞いた。
「閉鎖済みとは、何を指しますか」
成瀬は、少し詰まった。
「サイトコンテンツを削除し、ホスティングを停止したという意味です」
「DNS CNAMEの削除は」
「駿河ML様側のDNS管理だったため、弊社では削除していません」
「ホスティング先のアカウントは」
成瀬は、画面を確認した。
「旧ホスティングアカウントが残っている可能性があります。確認します」
久我が聞いた。
「CNAME先 suruga-event-archive.hosting-old.example は、今誰が管理していますか」
成瀬は、顔を青くした。
「そのドメインは、弊社が利用していた旧ホスティングサービスのサブドメインです。契約終了後、再利用可能な状態になっていた可能性があります」
久我が言った。
「典型的なサブドメイン引き継ぎリスクです。CNAMEが残ったまま、先のホスティング名が第三者に取られると、公式サブドメインを乗っ取られます」
山崎は、ホワイトボードに書いた。
CNAME残存 ≠ 無害
三枝は入力した。
11:36 BrightEvent Creative確認。event2026特設サイトはコンテンツ削除・ホスティング停止済み認識。ただしDNS CNAMEは駿河ML側で残存。CNAME先旧ホスティングサブドメインは契約終了後再利用可能状態だった可能性。サブドメイン引き継ぎリスク。
保存。
また、終了管理。
サイトを閉じた。コンテンツを消した。契約が終わった。
だが、DNSは残っていた。
名前だけが、墓場のように残り、攻撃者に使われた。
午後零時二十分。
公式ドメイン配下の全サブドメイン棚卸しが始まった。
結果は、予想以上だった。
event2026.suruga-ml.co.jp二年前のセミナー特設サイト。危険。停止済み。
survey.suruga-ml.co.jp取引先アンケート。外部フォーム。契約終了済み。要確認。
training.suruga-ml.co.jp災害訓練資料配布。外部ストレージ。要確認。
portal-old.suruga-ml.co.jp旧取引先ポータル。閉鎖済みのはず。要確認。
media.suruga-ml.co.jp広報動画配信用。現行。
status.suruga-ml.co.jp障害情報ページ。現行。
三枝は、画面を見ながら言った。
「公式ドメイン配下にも、未了が多いです」
山崎は頷いた。
「ドメインは会社の住所です。古い入口を残すと、攻撃者が看板をかけます」
大石が言った。
「倉庫の古い搬入口と同じですね」
山崎は、少しだけ頷いた。
「まさにそうです」
三枝は、ドメイン棚卸し表に追加した。
所有者用途外部サービス契約状態CNAME先TLS証明書最終確認日削除条件公式確認対象
保存。
午後一時十分。
Blue Heronからメールが届いた。
件名は、Old doors, old names。
本文は、短い。
You closed old accounts.You forgot old names.
古いアカウントは閉じた。古い名前を忘れていた。
三枝は、保全した。
黒崎が、低く言った。
「その通りだ」
山崎は答えた。
「だから、今から閉じます」
望月が言った。
「公式ドメイン配下の古い名前を、全件確認してください」
三枝は入力した。
13:10 不明差出人より件名“Old doors, old names”のメール受信。旧アカウントだけでなく旧サブドメイン名の残存を示唆。対応方針:公式ドメイン配下のサブドメイン、CNAME、外部ホスティング、契約終了後削除条件を全件棚卸し。
保存。
午後二時。
偽ポータルに入力した取引先がいないか、確認が始まった。
取引先からの問い合わせ、メールゲートウェイログ、偽サイトアクセス通知、営業連絡を突合する。
幸い、確認された範囲では、問い合わせ番号を入力した取引先はまだなかった。
ただし、二社がページを開いていた。一社は、営業担当へ確認して止まった。もう一社は、ブラウザで開いただけで入力なし。
営業部長が言った。
「早く注意喚起してよかったです」
山崎は頷いた。
「取引先が確認してくれたことも大きいです」
三枝は入力した。
14:05 偽確認ポータルverify-suruga.jpへの取引先入力有無を確認開始。現時点で問い合わせ番号等の入力確認なし。二社が閲覧した可能性あり、いずれも入力前または入力なし。注意喚起により拡大防止。
保存。
午後三時三十分。
ドメイン真正性の方針が作られた。
山崎が文案を出す。
ドメイン真正性方針
一 公式ドメイン一覧を公開する。
二 新しい確認サイト、ポータル、フォームを開設する場合は、旧公式サイトと登録済み窓口から事前告知する。
三 サブドメイン、CNAME、外部ホスティング、イベントサイト、アンケートサイトを台帳管理する。
四 契約終了時に、DNSレコード、外部ホスティング、TLS証明書、フォーム、アクセス解析、通知先を削除・失効する。
五 類似ドメイン、証明書透明性ログ、偽サイトを監視する。
六 鍵マークやTLS証明書だけで公式性を判断しないよう、取引先へ案内する。
七 公式確認は、ドメイン、問い合わせ番号、電子署名、登録済み連絡先を組み合わせる。
三枝は、これを見て思った。
ドメインも、終了証明パックの対象になる。
契約終了。サイト終了。イベント終了。アンケート終了。
すべて、名前を消すところまでが終了だ。
秋山が言った。
「イベントや広報案件でも、終了証明パックを使います」
山崎は頷いた。
「はい。イベントサイト終了証明パックを作りましょう」
三枝は、テンプレートを追加した。
イベントサイト終了証明パック
DNS削除外部ホスティング停止CNAME確認TLS証明書失効または期限管理フォーム停止データ削除アクセス解析停止通知先削除外部制作会社アカウント削除公式ドメイン台帳更新
保存。
午後四時二十分。
Blue Heronからメールが届いた。
件名は、No place to stand。
本文は、短かった。
Names vanish.Where should we stand?
名前が消える。我々はどこに立てばいい?
三枝は、保全しながら少しだけ笑った。
「立たなくていいです」
久我も少し笑った。
「古いサブドメインを閉じた効果が出ていますね」
山崎は、淡々と答えた。
「引き続き、全件確認します」
三枝は入力した。
16:20 不明差出人より件名“No place to stand”のメール受信。旧サブドメイン無効化・ドメイン棚卸しに反応した可能性。“名前が消える”と記載。証跡保全。
保存。
午後五時半。
公式ドメイン一覧が公開された。
当社の公式ドメインは、以下のとおりです。これ以外の類似ドメイン、確認ポータル、問い合わせフォーム、受領確認フォームへ情報を入力しないでください。
一覧は短かった。
公式サイト。障害情報ページ。取引先ポータル。PublicNoticeHub。メールドメイン。
古いイベントサブドメイン、アンケート、訓練資料サイトは、掲載しない。閉鎖対象として内部管理。
三枝は、公開後、取引先へメールした。
公式ドメイン一覧。偽サイト通報窓口。確認方法。鍵マークの注意。入力禁止項目。
営業部長が言った。
「公式ドメイン一覧があると、取引先も確認しやすいです」
山崎が頷いた。
「信頼の根を、相手にも見えるようにしました」
三枝は、その言葉をメモした。
信頼の根は、相手にも見える必要がある。
午後六時四十五分。
Blue Heronから、その日最後のメールが届いた。
件名は、Root published。
本文は、一行。
You published roots.Now we know what to imitate.
根を公開した。これで、何を真似ればいいか分かった。
三枝は、保全した。
一瞬、嫌な沈黙が落ちた。
山崎が、静かに言った。
「これは、避けられません」
望月が聞いた。
「公開しない方がよかったですか」
山崎は首を横に振った。
「いいえ。公式ドメインを公開しなければ、取引先は何を信じればよいか分かりません。攻撃者は公開情報を真似ます。だから、公開情報だけでなく、登録済み窓口、問い合わせ番号、電子署名、相互確認を組み合わせます」
久我が頷いた。
「ドメインだけではなく、多要素の真正性確認ですね」
秋山が言った。
「公開する根と、内部で守る根を分ける必要がありますね」
山崎は答えた。
「はい。公開する信頼根と、内部確認用の信頼根を分けます」
三枝は入力した。
18:45 不明差出人より件名“Root published”のメール受信。公式ドメイン一覧公開により模倣対象が明確になる旨を記載。対応方針:公式ドメイン公開は継続しつつ、登録済み窓口、問い合わせ番号、電子署名、相互確認を組み合わせ、ドメイン単独に依存しない真正性確認を行う。
保存。
午後八時。
その日の最終会議で、山崎はまとめた。
ホワイトボードには、今日の言葉が並んでいる。
ドメインの根似ている名前は、本人確認ではない。TLS証明書は通信先ドメインを示す。会社の正当性を保証しない。確認方法の変更は、最大の確認対象である。CNAME残存 ≠ 無害古い名前を忘れていた。
山崎は言った。
「今日、攻撃者は名前を使いました。似たドメインと、当社公式ドメイン配下の古いサブドメインです」
望月が頷いた。
「名前は、信頼の根です」
「はい」
久我が言った。
「DNS、CNAME、外部ホスティング、TLS証明書。これらは全部、会社の外から見える信頼基盤です」
秋山が言った。
「広報やイベント制作も、サイバーセキュリティの対象ですね」
大石が言った。
「現場の配送先名も同じです。名前が似ていても確認する」
三枝は、全員の言葉を記録した。
会社は、また一つ根を見つけた。
ドメイン。
見えないが、外からは最初に見える根。
午後十時。
三枝は、一人でドメイン棚卸し表を見ていた。
公式サイト。旧イベントサイト。訓練資料サイト。アンケートフォーム。旧ポータル。障害情報ページ。
名前が並んでいる。
それぞれに、所有者、用途、外部サービス、契約状態、CNAME、証明書、削除条件、最終確認日が入っていく。
また台帳。
だが、三枝はもう台帳を嫌がらなかった。
台帳は、会社が何を信じているかを見えるようにする道具だ。
山崎が背後から言った。
「今日は、かなり重要でした」
三枝は振り返った。
「ドメインですか」
「はい。多くの人は、名前を見て信じます」
「名前も、攻撃される」
「はい。会社名、ドメイン名、担当者名、肩書。名前は強いです。だから、名前だけではなく、経路で確認します」
三枝は、自分のノートに書いた。
名前は入口。信頼は、入口の奥にある経路で確かめる。
保存。
山崎は、その一文を見て、静かに頷いた。
午前零時。
三枝は、時系列表の最後に入力した。
00:00 verify-suruga.jp等の偽確認ポータルおよびsupport@suruga-ml-contact.jpからの“確認ポータル移行”メールを確認。当社公式ではない旨を取引先へ注意喚起。さらに当社公式ドメイン配下の旧サブドメインevent2026.suruga-ml.co.jpが、契約終了済み外部イベント制作会社の旧ホスティングCNAME経由で偽ポータルへリダイレクトされていたことを確認し、保全後無効化。公式ドメイン・サブドメイン・外部ホスティング・CNAME・TLS証明書の棚卸し、公式ドメイン一覧公開、イベントサイト終了証明パックを開始。
保存。
画面右下。
保存しました。
三枝は、自分のメモにも一行追加した。
ドメインは、会社の表札である。古い表札を残せば、攻撃者がその下に店を開く。
保存。
第三会議室の外では、倉庫が静かに動いていた。
荷物のラベルには、宛先がある。メールには、ドメインがある。サイトには、名前がある。
名前は、ただの文字ではない。
人が信じる入口だ。
そして、入口は閉め忘れてはいけない。
会社は、古い名前を数え始めた。もう、攻撃者がその名前の下に立たないように。
コメント