東京都が中小企業向けに運営してきた「サイバーセキュリティ対策の極意」ポータルの旧ドメイン cybersecurity-tokyo.jp が、第三者の管理下にあることが確認された。発見者の tss 氏が X で指摘したもので、whois 上は株式会社アクロスペイラが 2024 年 3 月 13 日に登録、有効期限は 2027 年 3 月までとなっている。
東京都は 2022 年 5 月に当該サイトを地方公共団体専用の cybersecurity.metro.tokyo.lg.jp へ移行し、旧 URL は数年間の自動転送を経て役目を終える計画だった。転送が切れた後に解放された旧ドメインを別事業者が押さえた形だ。サイバーセキュリティの啓発側が、ドメイン管理という最も基本の運用で躓いた構図は、かなり皮肉と言える。
「廃ドメイン狩り」の典型パターン #
行政の廃止ドメインを第三者が狙う事例は、当サイトでも 2026 年 5 月に宮崎県のケースを取り上げた通り連鎖している。攻撃者やマーケ業者が好む理由は単純で、行政や大学・大企業のドメインは外部リンクや配布資料に何年も残るため、再取得するだけで質の高い流入と検索上の信用が手に入る。
1. 行政が新ドメイン (lg.jp 等) に移行
旧ドメインは「数年間転送」と告知し、その後失効する。
2. dropcatch 業者が即時取得
失効期限を機械監視しており、一般人の応募では先着できない。
3. 外部リンク・citation がそのまま流入
PDF・教材・自治体配布物に残る旧 URL は止められない。
4. フィッシング・広告転売・SEO 流用へ
用途は所有者次第。元啓発サイトを装われると被害は深刻。
中小企業 IT 担当が見るべき教訓 #
このサイトは中小企業向けに啓発資料を配布していた経緯から、社内研修や提案書に旧 URL を残している組織は少なくない。社内 wiki と配布物を cybersecurity-tokyo.jp で全文検索し、新 URL へ書き換えるのが現実解だ。自社で過去にキャンペーンドメインを取得した経験があるなら、移行後 5〜10 年は WHOIS の自動更新を切らさず保持するのが安価な保険になる。年数千円の更新料を惜しんで失う信用は、それより遥かに大きい。
COMMENTS 0
No comments yet — be the first to leave one.