CSCの2022年ドメインセキュリティー報告書で、グローバル2000社中3/4近くの企業が警告に値する高いレベルでセキュリティー脅威にさらされていることが判明

米デラウェア州ウィルミントン--(BUSINESS WIRE)--（ビジネスワイヤ） -- （ビジネスワイヤ） -- エンタープライズ・クラスのドメインレジストラでありドメインおよびドメインネームシステム（DNS）脅威軽減の世界的リーダー企業でもあるCSCは本日、当社で3番目となる例年恒例のドメインセキュリティー報告書を発表し、その中でフォーブス・グローバル2000社の3/4がいまだに本格的なドメインセキュリティー手段を採用しておらず、これらの企業が高リスクのセキュリティー脅威にさらされていることを明らかにしています。これらの企業がこれまで実施したドメインセキュリティー手段は、すべてのドメインセキュリティー手段のうちの半分にも達していません。

しかも、類似ドメインもこれらの企業をターゲットにしており、ホモグリフで登録されたドメインの75%は無関係の第三者のものとして登録されています。これはつまり、世界最大級のブランドは、自社のブランドに似せて悪意により登録されたドメインへの対処を迫られているということです。こうした偽ドメイン登録の意図は、ターゲットとするブランドに対して置かれている信頼を活用してフィッシング攻撃を仕掛けたりその他の形でデジタルブランドの悪用やIP侵害を行ったりすることにあり、これは、収益喪失、トラフィック・ダイバージョン、ブランドの評判の低下につながります。ホモグリフ・ドメインはフィッシング攻撃者や悪意の第三者が使用する無数のドメインスプーフィングやドメイン変換手口の、ごく一部に過ぎません。

そのほか、CSCの調査で判明した重要な点には以下のようなものがあります。

• 137社（6.8%）はドメインセキュリティーのスコアが「0」
  推奨のドメインセキュリティー手段をどれも導入していないこれらの企業は、ドメインおよびDNSの乗っ取り攻撃、ネットワークやデータ侵害、フィッシングやランサムウエア攻撃、ビジネスメール詐欺（BEC）など、さまざまな攻撃リスクにさらされます。

• エンタープライズ・クラスのドメインレジストラを使用している企業の45%はレジストリロックも導入している
  レジストリロックは偶発的または不当な改変に対してドメイン名を保護するための非常にコスト効率の高い手段です。一般消費者レベルのレジストラを使用している企業のうちレジストリロックを導入している企業は5%にすぎません。またグローバル2000社のうち、全体としてのドメインセキュリティーのスコアが最高であった企業は6社にすぎず、これはその6社がエンタープライズ・クラスのレジストラを使用していることと関係しています。

• ドメインセキュリティー手段として今年大幅に採用が増えたはDMARCのみ
  フィッシング攻撃の規模や複雑さの増加など、フィッシング攻撃に関するニュースが多数あることから、過去12カ月間でドメインベース・メッセージ認証・報告・適合（DMARC）の採用が12パーセント増加したことは驚くにあたりません。しかし、レジストリロックやドメインネームシステム（DNS）冗長化、DNSセキュリティー拡張手段（DNSSEC）、認証局許可（CAA）など、他のドメインセキュリティー手段に関しては前年からそれほど増えていません。

CSCデジタル・ブランド・サービシズのプレジデントのマーク・カランドラは、次のように語っています。「この報告書から、フォーブス・グローバル2000社に挙げられている企業の多くは一定の前進はしたものの、相変わらず基本的なドメインセキュリティー手段の完全実施を軽視していることが分かります。ゼロトラスト・モデルを提唱する企業が常に身を守りサイバーリスクに対抗するためには、正規ドメインを保護しながら並行して悪質ドメインを監視する活動を、より優先度の高い課題と捉えるべきです。そうしなければ、企業は自社のサイバーセキュリティー態勢、データ保護、知的財産、サプライチェーン、消費者安全、収益、評判に影響を与え得る大きな企業リスクに身をさらすことになります。」

またCSCの報告書から、ホモグリフ・ドメインを登録している第三者の82%が自らの素性を積極的に隠していることも分かります。これはドメイン所有を隠そうとする試みであることの証拠であり、そこに何か悪辣な意図がある可能性を示しています。また、MXレコードを持つ企業は2021年には43%でしたが、2022年は48%になっています。MXレコードはフィッシングメールの送信やメールの盗み見に使用することもできます。

ドメインセキュリティーに対するCSCのアプローチの詳細については、cscdbs.comをご覧ください。ドメインセキュリティー報告書はcscdbs.com/securityreportからダウンロード可能です。

CSCについて

CSCは、企業のドメイン名、ドメインネームシステム（DNS）、デジタル証明書管理に加え、デジタルブランド保護と不正対策の分野において、フォーブス・グローバル2000とベスト・グローバル・ブランド100の企業にセキュリティーおよび脅威インテリジェンスで信頼される選好プロバイダーです。世界的企業がセキュリティー体制に多大な投資を行う中で、CSCは存在する既知のサイバーセキュリティー上の見落としを理解し、オンラインのデジタル資産とブランドのセキュリティーを確保できるよう、企業を支援しています。CSCの専有的技術を活用することで、企業はセキュリティー体制を揺るぎないものにして、自社のオンライン資産やブランドの評判失墜を狙うサイバー脅威のベクトルから守り、壊滅的な収益損失と一般データ保護規則（GDPR）のような政策による多額の罰金を回避できます。また、CSCはデジタル資産保護に全体的な手法を取りながら、オンラインブランド保護のサービス（オンラインブランドモニタリングと対応措置の組み合わせ）を提供しており、フィッシングに対抗する詐欺防止サービスも提供しています。1899年以来、米国デラウェア州ウィルミントンに本社を置くCSCは、米国、カナダ、欧州、アジア太平洋地域に事業所を構えています。CSCは、お客さまがどこにいてもビジネスを行うことができる世界的企業であり、手掛けるビジネスすべてで専門家を雇用することによってそれを実現しています。cscdbs.comをご覧ください。

本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。