ドメイン期限と証明書期限は別物
混同されやすいのが、次の 2 つです。
| 種類 | 何の期限か | 切れたときのイメージ |
|---|---|---|
| TLS 証明書 | HTTPS の「鍵マーク」の信頼 | サイトは動いていてもブラウザが警告 — 更新で復旧しやすい |
| ドメイン登録 | example.co.jp という名前そのものの保有 |
DNS 全体・メール・サブドメインが止まる — 業務影響が大きい |
攻撃面レビューでは、TLS は接続確認、 ドメインはWHOIS 等の公開情報から失効日を読み、 報告書に事実として載せます。
期限が近いと何が起きうるか
- Web・メールの一斉停止 — 代表ドメイン失効でサブドメインも含めサービスが解決不能に
- 更新忘れのシグナル — 担当者退職・レジストラ変更・請求メールの行方不明
- 失効後の名前取得 — 解放されたドメインを第三者が登録し、メール・Web を乗っ取られるリスク(レジストラ・期間による)
- 取引先の混乱 — 「公式ドメインが変わったのか、詐欺か」の判断を迫られる
高度なハッキングがなくても、 更新手続の1回忘れで表面化するため、 セキュリティ投資とは別軸の事業継続の話として捉えてください。
サンプル報告書の F-25
架空の報告書サンプルでは、 WHOIS 上の有効期限まで90 日未満であることを 重要度情報の所見(F-25)として記載しています。
脆弱性というより、 「そろそろ更新確認を」という運用リマインダーに近い所見です。 TLS の F-05(証明書期限の記載)と並べると、 「証明書とドメイン、どちらの期限を誰が見ているか」が社内で共有しやすくなります。
外部攻撃面レビューで「見る」こと(例)
| 観点 | 確認する内容(例) |
|---|---|
| 失効日 | WHOIS から読める Registry Expiry 等(レジストラ・TLD により表記差あり) |
| 残日数 | 90 日・30 日など、報告書内で閾値を揃えて記載 |
| 登録者情報 | Whois 公開範囲内の Registrant / 委任先 — 更新窓口の手がかり |
| 関連ドメイン | グループ会社・旧ブランドドメインの期限(契約・スコープ内) |
レジストラへのログインや更新代行は含みません。 更新は通常、御社またはドメイン管理委託先の業務です。
社内で確認すべきこと(御社側)
- 更新窓口 — 請求先メール・レジストラ管理画面のログイン権限者
- 自動更新 — 有効か、クレジットカード期限と連動しているか
- 台帳 — 代表ドメイン以外の関連ドメインも一覧化(サブドメイン棚卸しとセット)
- カレンダー — TLS 証明書・DMARC 見直しと同列の「年次チェック」に載せる
含まないこと(よくある誤解)
- ドメイン更新手続・レジストラ操作の代行
- Whois 非公開情報の取得、登録者への直接連絡
- 失効ドメインの取得・競合登録
- 社内 DNS サーバー設定の変更
調査データは閉域環境内で扱います
調査結果の記録は当社事業所内の閉域環境でのみ保管・処理します。 公開 WHOIS 等への問い合わせは発生しますが、 御社データを当社クラウドや第三者 SaaS に載せる運用は行いません。 報告書は基本メールで納品し、調査画面のログインはお渡ししません。
攻撃面シリーズの読み順(参考)
メール認証(DMARC 等)は別テーマです。 御社ドメインの公開情報をまとめて整理する場合は お問い合わせください。