1. ゆるITエンジニア道場
  2. テストで使うドメインはマジで..
2025-08-11 04:40

テストで使うドメインはマジで気をつけよう

ろうた(riddle)
ろうた(riddle)
Host

テストでドメインやメールアドレス使うことありますよね?意外とセキュリティ的な落とし穴があるので注意しましょう!


今回参照したドキュメント

・https://www.rfc-editor.org/rfc/rfc2606.html

・https://www.rfc-editor.org/rfc/rfc6761


--------------------------------------------------------------


riddle : https://x.com/riddle_tec

ひびの : https://x.com/nasustim


番組へのお便りはこちら:https://forms.gle/gp78XNFgERDFDkb88

サマリー

テストに使うドメイン名に注意が必要で、実在のドメインや不適切な形式が問題を引き起こすことがあると説明されています。RFCに基づいた適切なテスト用ドメインの使用が推奨されています。

ドメインのリスク
こんにちは、シニアソフトウェアエンジニアのリドルです。このポッドキャストは、IT業界のいろんな話や、我々の失敗談、またキャリアの話や採用の話、なんていういろんなことを話していくポッドキャストになっています。
今回は、テストで使うドメインはマジで気をつけよう、っていう回です。皆さん、テスト書いてますか?そしてテストの時のドメイン名やメールアドレス、ダメなやつ使ってないですか?
例えば、test.com みたいなものを使ってますか?これはね、実際に存在する会社なので使っていると問題です。
また、ほげほげふがふがみたいなものだったり、ぺけぺけぺけ.ぺけぺけぺけみたいなものを使っている人いませんか?
ぺけぺけぺけはですね、スポンサードトップレベルドメインというやつで、主にアダルトサイトで使われています。
例えば、これを会社の公的な文章だったり、外向きに出す文章にぺけぺけぺけみたいな感じで書いてあると、クリックするとアドルトサイトに飛んでしまうみたいな可能性もありますよね。
ということで、今回はテストにどういうドメインを使うべきなのかということについてご紹介します。
ではまず最初にですね、なぜ変なものを使っちゃいけないのかっていう問題点をいくつか紹介します。
冒頭にも申し上げた通り、実際にそのドメインが存在するかもしれないので、意図しないデータが実在するドメインに流れる可能性があります。
場合によってはメールが送られて、情報漏洩につながることもありますし、ご送信のリスクもあります。
ただですね、向こう側としてもいきなり知らないところからメールが送りつけられ、しかもテストの旅に送りつけられるみたいな話になると、
スファーム行為とかね、不正アクセスとみなされるリスクもあったりするので、その点ご注意ください。
また、実在するドメインが本当に動いていたりすると、DNSが名前解決成功してですね、APIとかサービスとかと接続してしまって、
テストがですね、外部環境に依存することになります。要するにフリーキーテストになったりだとか、良くしない結果を生まれることがあるので、
テストが不安定化しますよね。そういった感じで色々と課題があります。では何を使えば良いのでしょうか。
テスト用ドメインの選択
これはですね、RFCにきちんと規定されています。RFCの2606、2606番と6761番を実際に見てみましょう。
規定されているのは4種類。テスト、エグザンプル、インバリット、ローカルホスト、この4つですね。
まずテスト、これはね簡単です。テスト用途です。なのでこれを基本的には使いましょう。例えば、our environment.test みたいな感じですよね。
このテストというやつはですね、自分たちのDNSサーバーで名前解決をすることもできるので、もし特定のIPアドレスにルーティングしたいみたいなことがあれば、
ホスト、DNSファイルに書いたりとか、ホストファイルに書いたりすることでやりたいことをやることができると思います。
続いてインバリット。これはですね、絶対に解決させたくないときに使います。
まあいわゆる失敗を測定するときとかですかね。RFC的にはインバリットを指定したドメインに対して名前解決が行われると、必ずNXドメインという存在しないよーっていうものが返ってくる
ということが規定されているので、そういったことに使いたい場合はこちらがオススメです。また、エグザンプルですね。
こちらは読み物とか書き物とか、実際に例だよということを示すときに使うのがオススメだそうです。
あとはローカルホストですね。ほげほげドットローカルホストみたいな使い方をしますが、こちらは特殊でループバックアドレスに名前解決されそうです。
まあ自分自身ってことですね。127.0.0.1みたいなやつです。なので基本的にテストをする際にはドットテストのものを使うと良いでしょう。
またですね、実際につながるものを使いたいケースもありますよね。その場合はexample.com、example.net、example.orgのいずれかを使うと良いです。
こちらはRFC的にですね、規定されていてしっかりとテスト用として確保されているものなので、こちらに対して操作を行うというのが一番良いでしょう。
はい、ということで今回はテストで使うドメインはマジで気をつけないと情報漏洩のリスクとか予期せぬ問題が起きる可能性があるので、
RFCに規定された.invalid.test.example.local.localhostまたexample.com.net.orgのいずれかを使うようにしましょう。
このポッドキャストはハッシュタグURLITで皆様からの感想やコメントを待ちしております。
またチャンネルの概要欄にありますGoogleフォームのリンクからもコメントや質問を募集しております。ありがとうございました。
04:40

コメント

スクロール