URLがIPアドレスのまま公開されている企業サイトの実態|営業リスト作成で見つけた例外的なケース

vivisec
IPアドレスのまま公開されている企業サイトの実態|営業リストで見つけた例外的なケース

営業リストを作成していると、さまざまな企業サイトを確認することになります。

その中で、ほとんどのサイトは問題なくドメイン(example.comなど)で運用されていますが、あるとき少し違和感のあるURLに出会いました。

クリックして開いたサイトのURLが、ドメインではなくIPアドレスだったのです。

最初は見間違いかと思いましたが、実際にそのままIP形式で公開されていました。

こうしたケースは頻繁に見かけるものではありませんが、実際に存在していることが分かりました。

IPアドレス直アクセスとは何か|ドメインとの違い

通常、Webサイトはドメイン名でアクセスされます。

https://example.com

このドメインは、DNS(ドメインネームシステム)によってサーバーのIPアドレスに変換され、実際の通信が行われます。

一方で、IP直アクセスとはこの変換を介さず、直接IPアドレスでアクセスする状態です。

http://123.45.67.89

技術的には問題なく動作しますが、一般的な企業サイトの公開方法としてはほとんど使われません。

なぜIPアドレスのまま公開されているのか

今回のようなケースはかなり例外的ですが、いくつか考えられる理由があります。

  • DNS設定がされていない
  • 仮設サイトのまま公開されている
  • サーバー移行時の設定ミス
  • 制作会社に任せたまま放置されている

いずれも技術的な問題というよりは、運用の抜け漏れで発生している可能性が高いと考えられます。

IP直アクセスのまま運用される問題点

IPアドレスで公開されていること自体は、ただちに危険というわけではありません。

ただし、Webサイトとしてはあまり好ましい状態とは言えません。

信頼性の低下

ユーザーから見ると、IPアドレスのURLは明らかに不自然です。

そのため、

  • フィッシングサイトではないか
  • 正規の企業サイトなのか

といった疑念を持たれる可能性があります。

HTTPSの問題

SSL証明書は基本的にドメインに対して発行されます。

そのためIPアドレスでアクセスした場合、ブラウザで警告が表示されることがあります。

これはユーザー体験の低下にもつながります。

運用の甘さが見える

IPアドレスのまま公開されているということは、

  • ドメイン管理がされていない
  • 公開前のチェックが不十分

そのため、ちゃんと管理されていないなという印象はあります。

サイト単体の問題というより、全体的な管理体制が見えてしまうポイントでもあります。

IPアドレスで公開されているサイトは、SSLの設定にも問題があるケースがあります。詳しくは以下の記事でも触れています。

企業サイトの13%がSSL未対応だった|HTTPのままのリスクと実態

攻撃者視点で見るIPアドレス直アクセスのリスク

少しセキュリティ寄りの視点で見ると、この状態は別の意味を持ちます。

IPアドレスのまま公開されているサイトは、それだけで例外的な運用であることが分かります。

攻撃者の視点では、

  • 他の設定も甘いのではないか
  • 更新が止まっているのではないか
  • セキュリティ対策が不十分ではないか

といった推測につながる可能性があります。

こうした運用の甘さは、WordPressの初期設定がそのまま残っているケースとも共通しています。

ユーザー列挙が可能な状態なども含め、基本的な設定のまま公開されているサイトは少なくありません。

実際にどのような状態になるのかは、以下の記事でまとめています。

WordPressでユーザー名がバレる理由と対策|ユーザー列挙攻撃をログから解説
wp-json/wp/v2/usersにアクセスされる理由|WordPressユーザー列挙の仕組みと対策

実際に確認できた件数

今回、営業リスト作成中にこのようなサイトを確認しました。

ただし、同様のケースはほとんど見かけることはなく、3年ほどリスト作成をしてきた中でもごく少数です。

多くの企業サイトは適切にドメインで運用されているため、このような状態はあくまで例外的なケースと言えます。

最低限やっておきたい対策

この問題は、基本的な設定で解消できます。

  • ドメインの取得・設定
  • DNSの正しい設定
  • HTTPSの有効化

いずれも特別に難しいものではなく、本来は公開前に整っているべき項目です。

まとめ|例外的だが気になる運用管理

IPアドレスで公開されている企業サイトは、頻繁に見かけるものではありません。

しかし実際には、例外的にこうした状態のサイトも存在しています。

問題なのはIPアドレスそのものではなく、その状態で公開され続けていることです。

多くの企業が適切に運用している中で、このような例外は逆に目立ちます。

営業リスト作成のように多くのサイトを見ていると、こうした違和感に気づくことがあります。

普段あまり意識されない部分ですが、Webサイトの運用状態を考えるうえで一つの参考になるポイントだと感じました。

【関連記事】

このブログの運営環境

  • WordPress
  • GeneratePress
  • エックスサーバー

エックスサーバー公式サイト