ドメイン乗っ取り(ドメイン名ハイジャック)の手口と対策を解説
ドメイン名ハイジャックとは
ドメイン名ハイジャックとは、Webサイトの「住所」にあたるドメイン名を第三者が不正に乗っ取る攻撃です。 管理者のパスワードを盗むなどして登録情報を書き換え、本来のサイトではなく偽サイトへ利用者を誘導します。これにより、個人情報の窃取やウイルス感染などの被害が発生します。自分の知らないうちにサイトが「偽物」にすり替わってしまう、非常に危険な攻撃です。
ドメイン名は企業にとってWebサイトやメールの基盤となる重要な資産であり、一度乗っ取られると利用者が正しいURLでアクセスしたにもかかわらず詐欺サイトへ誘導されるなど、深刻な被害に発展します。本コラムでは、ドメイン名ハイジャックの主な手口・被害・ドメイン名ハイジャック対策を順に解説します。
目次
ドメイン乗っ取り(ドメイン名ハイジャック)とは
ドメイン名ハイジャックとは、他者が所有するドメイン名を不正に乗っ取る行為です。フィッシングなど多様な手口でドメイン所有者のアカウント情報を入手し、管理権限を奪おうとします。
この攻撃が厄介なのは、「乗っ取られてからでは遅い」点にあります。一度管理権限を奪われると、企業の社会的信用やブランド価値に深刻なダメージが生じます。
ドメイン名を奪取された場合、サイト利用者は正しいURLでアクセスしているにもかかわらず詐欺サイトへ誘導され、個人情報の漏洩や金銭被害に遭うリスクがあります。
また、更新手続きの失念によって意図せずドメイン名を失うケースもあります。ドメイン名の権利は一定期間で失効するため、期限管理の仕組みを整えることが不可欠です。
ドメイン名ハイジャックの主な手口
攻撃者がドメインを乗っ取る手口は主に以下の4つです。
管理画面への不正アクセス
レジストラ(ドメイン登録事業者)が提供する管理画面のIDとパスワードをフィッシング等で不正入手し、所有者情報やDNSサーバー情報を書き換えて管理権限を奪います。攻撃の入り口として最も多い手口です。
虚偽の移管申請
正規の所有者になりすまし、レジストラへドメイン名の移管申請を行うことで、不正にドメイン名を奪取します。
権威DNSサーバーへの不正な値の登録
ドメイン名の名前解決に使われる権威DNSサーバーに不正なIPアドレスやドメイン情報を登録し、攻撃者が管理する別サイトへ利用者を誘導します。
キャッシュDNSサーバーの悪用(DNSキャッシュポイズニング)
インターネットサービスプロバイダーなどが使うキャッシュDNSサーバーに不正情報を登録し、別サイトへ誘導します。この手法はDNSキャッシュポイズニングとも呼ばれます。
いずれの手口でもドメイン名を奪われると、企業のブランド価値を傷つけるだけでなく、サイト利用者にも被害が及ぶ可能性があります。各手口を理解し、適切な管理体制を整えることが重要です。
ドメイン乗っ取りによる影響
企業のドメイン名が乗っ取られると、攻撃者が正規サイトを装った偽のコピーサイトを作成し、利用者の個人情報やクレジットカード情報を窃取するといった被害が発生します。
技術系企業のダウンロードサイトなどでは、マルウェアに感染したソフトウェアをダウンロードさせるリスクもあります。さらに、乗っ取ったドメイン名をフィッシングメールの偽サイトURLとして悪用するケースもあり、企業にとっては看過できないリスクです。
なお、ドメイン名ハイジャックはあくまで攻撃の「入り口」に過ぎません。そこから社内ネットワークへの侵入や情報漏洩に発展するケースもあるため、ドメイン管理とあわせてWebサイト全体のセキュリティ対策も欠かせません。万一Webサイトが改ざんされた場合でも、早期に検知・対応できる体制を整えておくことが、被害を最小化する上で重要です。
ドメイン名ハイジャック対策
ドメイン乗っ取りを防ぐために、次の対策を講じましょう。
ドメイン名の更新と登録情報の定期確認
ドメイン名の登録期限を把握し、失効前に必ず更新手続きを行います。カレンダーや通知サービスを活用し、更新漏れを防ぐ仕組みを作りましょう。
また、登録情報が意図せず変更されていないかを定期的に確認することも重要です。さらに、自社ドメインに酷似した「ドッペルゲンガードメイン」の新規登録がないかもあわせて監視しましょう。
アカウント管理の強化
他サービスと使い回さない強固なパスワードを設定し、厳重に管理しましょう。レジストラのアカウントには二要素認証を設定するのが効果的です。また、複数の部署でドメインを管理している場合は、管理部署を一元化することで見落としリスクを下げられます。
レジストラロックの活用
レジストラロックを有効化すると、ドメイン所有者以外による移管や情報変更の試みを自動的にブロックできます。ドメイン名ハイジャック対策として、管理者が必ず設定しておきたい機能のひとつです。
インシデント対応手順の準備
万一乗っ取られた場合に備え、インシデント対応手順と関係者の連絡先をあらかじめ整備しておきましょう。被害が拡大する前に迅速に動けるよう、事前の準備が重要です。
使わなくなったドメイン名の廃棄にも注意
サービス終了などでドメイン名が不要になったとき、すぐに廃棄すると予期しない被害につながる場合があります。
廃棄されたドメイン名は第三者が取得できる
ドメイン名を廃棄する際は、他サイトに残っているリンクをすべて削除または変更するよう依頼する必要があります。廃棄後は一定期間が経過すると第三者が取得可能になるため、リンクが残ったままでは突然リンク先がまったく別のサイトに変わってしまいます。
悪意のある攻撃者が廃棄ドメインを取得した場合、リンクをたどった利用者が詐欺サイトなどに誘導されるリスクがあります。
また、廃棄のタイミングを狙って登録する行為は「ドロップキャッチ」と呼ばれ、特に正規サービスで使われていたドメインは「優良中古ドメイン」として価値があるため、オークションにかけられたり不審なサイトの運営に使われたりするリスクがあります。
廃棄ドメインへの有効な対策
一度登録・利用したドメイン名は、その後も継続して保持し続けるのが最善策です。やむを得ず廃止する場合は、サービス終了後も最低10年程度は継続取得したうえで廃止する方法が考えられます。
廃止したドメイン名を第三者が登録した場合、話し合いや訴訟で取り戻す手段もありますが、継続取得と比べてはるかに高額な費用と時間がかかる上、確実に取り戻せる保証もない点に注意が必要です。
(参考:フィッシング対策協議会 フィッシング対策ガイドライン 2024年度版)
まとめ
ドメイン乗っ取り(ドメイン名ハイジャック)は、個人情報漏洩やサービス信頼性の失墜など、企業に多大な影響をもたらすサイバー攻撃です。規模の大小を問わず、著名なサービスでも被害が確認されています。
レジストラロックの有効化、二要素認証の設定、定期的な登録情報の確認といった基本的な対策を着実に実施することが、リスクを下げる近道です。また、ドメイン管理に加えてWebサイト自体の監視・保護も組み合わせることで、より強固なセキュリティ体制を築けます。
よくある質問(Q&A)
Q. ドメイン乗っ取り(ドメイン名ハイジャック)とは何ですか?
ドメイン名ハイジャックとは、企業や個人が正規に運用しているドメイン名を、第三者がフィッシングや虚偽の移管申請などの不正な手段で奪うサイバー攻撃です。被害を受けると、正しいURLでアクセスした利用者が攻撃者の詐欺サイトへ誘導されるなど、深刻な事態につながります。
Q. ドメイン名ハイジャックを防ぐには何をすればいいですか?
主な対策は次の4点です。①レジストラロックを有効化して不正な移管・情報変更をブロックする、②レジストラのアカウントに二要素認証を設定する、③ドメイン名の登録期限と登録情報を定期的に確認する、④インシデント発生時の対応手順を事前に整備する。これらのドメイン名ハイジャック対策を組み合わせることで、乗っ取りのリスクを大幅に低減できます。
Q. 使わなくなったドメイン名は廃棄してよいですか?
すぐに廃棄するのはリスクを伴います。廃棄後に第三者がそのドメインを取得した場合、以前のリンクをたどった利用者が詐欺サイトへ誘導される可能性があります。やむを得ず廃止する場合は、サービス終了後も最低10年程度は継続取得した後に廃止することが推奨されています。廃棄前には他サイトに残るリンクの削除・変更依頼も行ってください。
Q. レジストラロックとは何ですか?
レジストラロックとは、ドメイン名の登録情報が無断で変更されるのを防ぐ機能です。有効化すると、ドメイン所有者以外の者がドメインの移管や情報変更を試みた際に自動的にブロックされます。ドメイン名ハイジャック対策としてドメイン管理者が最初に設定すべき機能のひとつです。
Q. ドメイン名ハイジャックに遭った場合はどう対応すればよいですか?
まず、利用者への注意喚起を公式SNSなどで速やかに行い、次にレジストラのサポートや専門のセキュリティ機関に連絡します。被害の拡大を防ぐためにも、事前にインシデント対応手順と関係者の連絡先を整備しておくことが重要です。対応が遅れると、偽サイトによる被害範囲が広がるため、早期発見・早期対応が不可欠です。
