営業リスト作成のために企業サイトを見ていると、違和感のあるサイトに出会うことがあります。
例えば、以下のようなURLです。
http://xxxxxxxxxxxxxxxx(数字の羅列).onamae.jpこれは一見すると怪しいドメインに見えますが、実はレンタルサーバーの初期ドメインであるケースが多いです。
本来は制作段階で使われるものであり、公開サイトで使われるものではありません。
仮ドメインとは何か
レンタルサーバーでは、契約時に自動で仮のURLが割り当てられます。
これは主に以下の用途で使われます。
- サイト制作中の動作確認
- 公開前のテスト環境
通常はその後、独自ドメインに切り替えて公開されます。
なぜそのまま公開されてしまうのか
数は多くありませんが、営業リスト作成の中でまれに見かけるケースです。
考えられる原因は以下の通りです。
- 制作後にドメイン切り替えが行われていない
- 納品後の管理がされていない
- クライアントがURLの違和感に気づいていない
- 制作会社との役割分担が曖昧
「サイトが表示されていれば問題ない」と判断され、そのまま放置されるケースが多いと感じます。
セキュリティ的に見ると何が問題か
仮ドメイン自体が危険というわけではありません。
問題は、その状態で公開されている背景です。
このようなサイトは、以下のようなリスクを抱えている可能性があります。
サイト更新の停止
- WordPressやプラグインが古いまま
- 既知の脆弱性が放置される
設定の不備
- デバッグ情報の表示
- 不要ファイルの公開(
.envなど)
botスキャン・攻撃対策の不足
- ログイン試行への対策なし
- 不正アクセスの検知がされていない
企業サイトは、単なる情報ページではなく、企業の印象を左右する重要な要素です。
管理が行き届いていない状態は、信頼性の低下につながります。
攻撃者視点で見るとどう見えるか
こういうサイトは、攻撃者から見ると、管理が行き届いていない可能性があるサイトとして認識されます。
例えば、
- CMSのバージョンが古い可能性
- セキュリティ設定が不十分な可能性
- 不要なファイルが公開されている可能性
などを前提に、スキャンや探索の対象になることがあります。
仮ドメインそのものが直接的な脆弱性になるわけではありませんが、運用が甘いサイトである可能性を示すサインとして扱われることがあります。
実務での判断材料になる
営業リスト作成の中では、こうした情報も判断材料になります。
- サイト管理のレベル
- ITリテラシーの程度
- セキュリティ意識
場合によっては、
- 取引リスクとして除外する
- サイト改善の提案対象とする
といった判断につながります。
最低限やっておきたい対策
このような状態を防ぐためには、特別な対策が必要なわけではありません。
基本的な運用を見直すだけでも十分です。
- 独自ドメインが正しく設定されているか確認する
- 公開前・公開後にURLを含めた最終チェックを行う
- WordPressやプラグインを定期的に更新する
- 不要なファイルや設定が残っていないか見直す
いずれも基本的な内容ですが、こうした積み重ねがサイト全体の安全性につながります。
まとめ
営業リスト作成という作業の中でも、サイトの状態を見ることで多くの情報が読み取れます。
仮ドメインのまま公開されているサイトは、その中でも分かりやすい例です。
- 表示できていることと、適切に管理されていることは別の問題
- 運用体制の状態が表に出る
- セキュリティリスクの兆候になり得る
こうした視点を持つことで、単なるデータ収集以上の価値を見出すことができます。
仮ドメインのまま公開されているケースは、運用管理の問題が表に出ている一例です。
同様に、URLがIPアドレスのまま公開されているケースも確認されています。
