東京都知事選

ここは公式サイトではありません。

東京都知事選挙特設サイト

Contact

Osumi, Yusuke


主に東京都選挙管理委員会の方へ:政府・地方公共団体はドメインをどう取るべきか

ひとことで(読むのがダルい人用)

以下のいずれかがベターです。

解説

特定期間をもって終わる「一回モノ」のためにドメインを取る場合、特に政府や市町村など公的機関は十分に注意すべきです。基本的には、これら「一回モノ」のため安易にドメイン取得を行うべきではありません。

大きな理由は、そのようなドメインは期間が終わると更新されず放置され、結果として第三者により取得されるためです。例えば2018年、さいたま市で行われた「世界盆栽大会」は独自ドメインを取得し、大会終了後にドメイン更新しなかったためアダルトサイト業者にドメインが取得されました。

埼玉新聞:世界盆栽大会の公式HP、アダルトサイトに変更される 市民から指摘、さいたま市が登録の削除呼び掛け
※これはもちろん、正当な方法で空いていたドメインを取ったのですから、アダルト業者にはなんの非もありません

多くの官民の機関が「世界盆栽大会」へのリンクを張ったでしょうが、それらはすべて消して回らなくてはいけません。しかしそれは現実的には不可能です。このケースではアダルトサイトでしたからまだ「マシ」でした。マルウェア(ウイルス)をばらまくサイトとなっていれば、もっと大きな実被害が出ていたはずです。

さて、今回の2020年東京都知事選のWebは以下のURLとなっています。

http://2020tochijisen.tokyo/

.tokyoドメインは、gTLDのひとつで、公的機関だけでなく誰でも取得できます。既にマスコミなど多くの機関がリンクを張っています。2020年の東京都知事選が終わったあと、さてこのドメインをいつまで維持し続けるのでしょうか? 終わったから更新しない、では世界盆栽大会と同じことが起こります。また歴史的な資料としても、東京都選挙管理委員会はWebページを残すべきです。結果として余計なドメイン更新料をレジストラに払い続けることになります。

TLS証明書によりhttpsを使っていないことも問題です。このサイトは検索ボックスがあるため、検索内容は暗号化されずインターネットを流れます。監視されている環境下などでは、「誰がどのページを見たか」を監視者がトラッキングできます。また何かしらのサイバー攻撃を受けてドメイン乗っ取りなどにあった際、httpでは容易に偽ページへ誘導することができます。(httpsであれば、攻撃者が細工しても証明書のエラーになるため緩和策となります)
(2020年6月23日追記:本日確認したところ、https化されたようです。ご対応ありがとうございます。)

話はこれだけではなく、偽サイトやフィッシングサイトに利用される可能性があります。.tokyoドメインは誰でも取れますから、たとえば以下のようなドメインは誰でも取得できます。

2020tochijiisen.tokyo (iが一つ多い)

このような偽サイトを作って、本物のサイトと誤認した訪問者へ特定の候補者を批判するページを見せたり、あるいはフィッシングサイトを作成して詐欺行為を行うことは非常に簡単です。

lg.jpドメインならば、このようなことは起こりません。地方公共団体だけが取得可能なドメインだからです。

どうすればよいか

主催となる政府や市町村は既にgo.jpまたはlg.jpドメインを持っているのですから、そこで行うのが原則です。

たとえば総務省のガイドラインには、以下のように記載されています。

(注11)...(省略)... また、ウェブサイトを構築する場合は、「lg.jp」ドメインを含む属性型・地域型JPドメイン名の使用を調達仕様書に含めることが必要である。

総務省:地方公共団体における情報セキュリティポリシーに関するガイドライン(平成30年9月版)ⅲ-88 より引用)

lg.jpドメインは、原則として地方公共団体しか取得できません。またgo.jpドメインは政府機関や独立行政法人等しか取得できません。たとえば上記ガイドラインが配布されているのは、soumu.go.jpドメインでありTLS証明書が使われたhttpsのページであるため、総務省の管轄である。と人間・機械ともに容易に判断できます。

そのため、繰り返しになりますが以下のいずれかがベターです。

まとめ

お前は誰なのか

IT企業で働いているセキュリティエンジニアです。このドメイン tochijisen.tokyo は本文書の閲覧目的のために取得し、これ以上は何もしませんので、ご安心ください。