Shopifyの独自ドメインが乗っ取られてしまった話

注意喚起も含めて、記録として投稿。

ある日、Shopifyで使っていたメールアドレス宛に不審なメールが届いた。

Google Search Consoleから届いたもので、「”URL”の新しい所有者を追加しました」という内容。まったく見に覚えのない内容で、追加された所有者のメールアドレスはまったく知らないものであった。
※”URL”は、追加先のURL

最初はフィッシングメールかと思ったが、正規の送信元から配信されたもので、追加先のURLは以前Shopifyに割り当てていたサブドメイン。Shopifyのストアは、使うことがなくなったので、2年前に有料プランを解約して、非アクティブ状態にしていた。

以前割り当てていたサブドメインにアクセスしてみると、オンカジっぽいサイトへの誘導ページが表示されている…。この誘導ページ自体は、Shopify上に構築されているようで、別のShopifyストアに勝手に紐づけられたのが原因のようだ。

そもそも、Shopifyの独自ドメインの設定は、設定したいドメインのDNS Aレコードに「23.227.38.65」を指定し、Shopifyストアの設定画面から紐づけたいドメインを指定するだけで設定が出来てしまう。

解決方法は至って簡単で、Shopifyに向けていたDNSのAレコードを削除すればいいだけ。

おそらく、Shopifyストアは閉鎖してから2年間はデータが保持されるので、2年が過ぎたタイミングで独自ドメインの割り当て情報も削除されるのではないだろうか。

どこにも紐づいてない状態で、Shopifyに向けられているドメインが分かっていれば、早いもの勝ちでShopifyストアに割り当てできちゃうというわけだ。（多分）

ちなみに勝手に紐づけられても通知も何もこないので気づかなかった。Google Search Consoleからメールが届いてなければ、気づかなかったかもしれない。

Shopifyストアを閉鎖する場合は、必ずDNSの設定も削除しておこうという話でした。