ドメインのセキュリティとは?初心者でもできる基本対策とリスク回避
ウェブサイトやメールに使うドメインを狙った攻撃は、数多く確認されています。
セキュリティ対策を怠ると、ドメインの乗っ取りや偽装などのリスクにさらされ、大切な情報が盗まれる恐れもあります。
「どんな攻撃があるのか分からない」「何をすればドメインを守れるのか不安」と感じている方も多いでしょう。
この記事では、初心者にも分かりやすくドメインのセキュリティ対策を解説します。
ドメインは、法人・個人の区分にかかわらず、ブランドを示す大事な資産。
攻撃の手口から、具体的なセキュリティ対策まで、順を追って解説していきます。
この記事を読んで、ドメインを守る一歩を踏み出しましょう。
ドメインのセキュリティとは
ドメインのセキュリティとは、ウェブサイトやメールに利用するドメイン名や関連情報を守ることです。
セキュリティ対策を怠ると、不正アクセスを受け、知らない間にドメインが乗っ取られてしまうなどの恐れがあります。
ドメインに関連するセキュリティリスクを防ぐには、「強いパスワードを設定する」「二要素認証を使う」「Whois情報を適切に管理する」などの対策が必要。
適切なセキュリティ対策を行うことで、ドメインの安全を保ち、信用を守ることができます。
くわしくは以降の内容で順に説明します。
ドメインのセキュリティはなぜ重要か
ホームページやブログなどに利用しているドメインは、法人・企業のビジネスや、個人の活動などのブランドを示す大切な資産です。
適切なセキュリティ対策をしないと、以下のようなリスクが生じる恐れがあります。
ドメインに関するセキュリティリスク例
- ウェブサイトが改ざんされ、事業の停止や信用の失墜につながる
- メールアドレスが悪用され、取引先や顧客が詐欺に遭う
- 検索エンジンやブラウザのブラックリストに登録され、アクセスが激減する
- 詐欺サイトの踏み台にされ、知らない間にサイバー犯罪に関与してしまう
- 顧客やユーザーの個人情報が流出し、損害賠償を請求されてしまう
- 業務メールが届かなくなり、重要な取引を失う
これらは一例ですが、いずれも事業や活動の継続が困難になるほどの深刻なダメージを与えます。
独自ドメインは低コストで取得できますが、そこに蓄積される実績や信頼の価値は非常に大きく、簡単には代えがききません。
現在の事業や活動を守るためには、定期的な監視やセキュリティ設定を行い、安全な運用を心がける必要があります。
ドメインが受ける主な攻撃手段
それでは、悪意をもった第三者が、どのような手口でドメインを攻撃するのかを見ていきましょう。
攻撃手段には以下のようなものがあります。
技術的な内容も少し含みますが、まずはおおまかに理解してもらうだけでも問題ありません。
手口を知ることで、有効なセキュリティ対策へのイメージがつきやすくなるはずです。
ドメインの乗っ取り(ドメインハイジャック)
ドメインの乗っ取り(ドメインハイジャック)とは、悪意のある第三者が不正な手段でドメインの管理権限を奪い、本来の所有者から使えないようにしてしまう攻撃です。
乗っ取られたドメインは、偽サイトの運営や詐欺メールの送信などに悪用され、大きな被害につながる恐れがあります。
攻撃者は、主に次のような方法を使います。
ドメイン乗っ取りの主な手口
- 管理アカウントの乗っ取り
パスワードを盗み、管理画面に不正ログインする - 不正なドメイン移管(管理会社の変更)
Whois情報を書き換え、勝手に移管手続きを進める - ドメイン登録業者(レジストラ)への攻撃
ドメイン管理業者のシステムを狙い、複数のドメインを奪う - 期限切れドメインの取得
更新されなかったドメインを買い取り、偽サイトを運営する - 法的手段の悪用
ブランドに関する商標権を悪用し、訴訟を起こして所有権を手放させる等
こうした攻撃を受けると、ウェブサイトの利用者や取引先にも影響が出て、信頼を損なう可能性があります。
ドメインの乗っ取りを防ぐには、強力なパスワードの設定、二要素認証の導入、ドメインプロテクションの活用が大切です。
ドメインの偽装(ドメインスプーフィング)
ドメインの偽装(ドメインスプーフィング)とは、本物のドメインに見せかけた偽のドメインを使い、ユーザーを騙す攻撃です。
ウェブサイトのURLやメールアドレスが偽装され、個人情報の盗難や詐欺被害につながる恐れがあります。
ドメイン偽装の主な手口
- ウェブサイトの偽装
- ホモグラフ攻撃
似た文字を使い、本物そっくりのドメインを作る
例:「example.com」→「examp1e.com」("l"の代わりに"1") - タイポスクワッティング
ユーザーの入力ミスを狙い、間違えやすいドメインを取得する
例:「gogle.com」や「amazoon.com」など
- ホモグラフ攻撃
- メールの偽装
- 送信者名のなりすまし
正規の企業や知人の名前を使い、偽のメールを送る - メールヘッダーの偽装
送信元のメールアドレスを本物のように見せかけ、受信者をだます
- 送信者名のなりすまし
これらの攻撃により、フィッシング詐欺やマルウェア感染が発生すると、取引先や顧客の信用を失ってしまうリスクがあります。
ドメインの偽装を防ぐには、メール認証技術(DMARC・DKIM・SPF)の導入や、ドメイン名管理の徹底が大事です。
DNS改ざん・DNSキャッシュポイズニング
DNS改ざんとDNSキャッシュポイズニングは、どちらも「DNSサーバー」を狙い、ドメイン名のアクセス先(IPアドレス)を不正に書き換え、ユーザーを偽サイトへ誘導する攻撃です。
DNSサーバーとは
ドメイン名を入力したときのアクセス先を管理するサーバーのこと
フィッシング詐欺で個人情報が盗難されたり、マルウェアに感染させられたりするなどの被害が、発生する可能性があります。
DNS改ざんとは
DNS改ざんは、DNSサーバー自体が攻撃され、ドメインの本来の行き先が偽のものに変更される手口です。
主な攻撃の手口は以下のようなものです。
- 管理画面に侵入し、DNSの設定を直接変更する
- ドメイン管理業者のシステムを悪用し、DNS情報を書き換える
- マルウェアに感染させ、PCやルーターのDNS設定を書き換える
DNSキャッシュポイズニングとは
DNSサーバーが一時的に保存している情報(キャッシュ)が、偽のものにすり替えられる攻撃です。
正規のサイトにアクセスしようとしても、攻撃者が仕掛けた偽のサイトへ誘導されてしまいます。
主な攻撃の手口は以下のようなものです。
- DNSサーバーに偽の情報を登録し、不正なサイトに誘導する
- 偽の情報をDNSサーバーに長期間保存させ、複数のユーザーを繰り返し騙す
こうした攻撃を受けると、正規のページにアクセスしたつもりが、偽のサイトに誘導され、IDやパスワードといった重要な情報を盗まれるなどの恐れがあります。
これらを防ぐには、「信頼できるDNSサーバーを利用する」「定期的に設定を確認する」などのセキュリティ対策を行う必要があります。
DNSについては以下の記事も参考にしてみてください。
ドメインシャドウイング
ドメインシャドウイングとは、正規のドメインの下に、不正なサブドメインを作成し、気づかれないように悪用する手口です。
サブドメインとは
サブドメインとは、メインのドメイン(例: example.com)に文字列を追加して作られる別のドメインです。
たとえば、「shop.example.com」や「blog.example.com」のように、用途ごとに区別して使われます。
攻撃者は、乗っ取ったドメインの管理情報を使い、サブドメインを密かに作成し、不正なサイトやマルウェアの配布に利用します。
ドメインシャドウイングの攻撃の手口
- ドメインの管理画面に不正アクセスし、サブドメインを追加
- ウェブサーバーへの攻撃を行い、サブドメインを隠れて運用
- 脆弱なサーバー設定を利用し、サブドメインを不正に作成
サブドメインが悪用されれば、個人情報の盗難やウイルス感染などの問題が起こる恐れがあります。
また、Googleなどの検索エンジンがドメイン全体を危険と判断し、検索結果から除外するなどのペナルティを受けてしまうことも考えられます。
この攻撃は、自社で管理しているサブドメインとして誤認しやすく、発覚が遅れやすいという特徴があります。
ドメインシャドウイングを防ぐには、定期的なサブドメインの確認や、ドメイン管理アカウントのセキュリティ強化が重要です。
ドメインを守る10個のセキュリティ対策
攻撃の手口を把握したところで、実際にどのようなセキュリティ対策を取ればよいのでしょうか。
ここでは以下のセキュリティ対策を紹介します。
ドメインへのセキュリティ対策
すべてに十分な対策をするのは難しい場合もありますが、万全を期すためにも、できる限り多くの対策に取り組むことをおすすめします。
まずは取り組みやすいものから順に見直していくことが大切です。
ハードルの低い対策から始め、可能な範囲で対応を進めていくことで、セキュリティの強化につながります。
1. 強力なパスワードの設定
パスワードの強化は、ドメインを守るための基本中の基本です。
簡単なパスワードや使い回しは、乗っ取りのリスクを高めます。
強固なパスワードを設定し、適切に保管することが大事です。
パスワードの設定と管理のポイント
- 英数字・記号を組み合わせ、できれば16文字以上にする
- 「password」「123456」など、推測されやすいものは使わない
- 誕生日、電話番号、社名・組織名など個人情報に関連するものは使わない
- 他のサービスに使い回さない
- パスワードの流出が確認された場合はすぐに変更する
- パスワード管理ツールを使って管理負担を下げる
以前は「定期的なパスワード変更」が推奨されていましたが、昨今では不要とされています。
変更の負担から、パスワード強度が甘くなってしまったり、使い回してしまったりするほうが問題視されているためです。
実際は「流出したパスワードが攻撃者に悪用される」ことが最大のリスクです。
強度の高いパスワードを設定し、流出が確認されたときにはすぐ変更するようにしましょう。
2. 二要素認証(2FA)の利用
ドメインのセキュリティを強化するには、管理アカウントへのログインに、パスワードだけでなく、二要素認証(2FA)を活用するのも有効です。
二要素認証(2FA)とは?
以下の情報のうち、異なる2つの要素を組み合わせて認証を行う仕組みのことです。
- パスワード・PINコードなどの知識情報
- スマホアプリの認証コード、ワンタイムパスワードなどの所持情報
- 指紋認証・顔認証などの生体情報
二要素認証を設定すれば、たとえパスワードが流出したり、突破されたりしても、追加の認証によって、攻撃者が不正にログインするのを防げます。
ログイン先のサービスが対応しているか、ログイン設定画面やセキュリティ設定を確認してみてください。
利用できる場合は、ぜひ活用してみましょう。
『XServerドメイン』をはじめとした当社サービスでは、いずれもログイン時にスマホアプリを用いる二要素認証が利用できますので、ぜひ活用してみてください。
いつもと異なる環境から不審なログインがあったときに、追加認証を求める機能もあります。
3. Whois情報代理公開の利用
ドメインを取得すると、所有者の氏名・住所・電話番号・メールアドレスなどがWhois(フーイズ)のデータベースに登録され、インターネット上で誰でも閲覧できる状態になります。
Whois情報が何の対策もなく公開されたままだと、なりすまし詐欺に悪用されたり、ドメインが不正に乗っ取られたりするリスクが高まってしまいます。
こうしたリスクを防ぎ、ブランドの信頼を守るために有効なのが、Whois情報の代理公開サービスです。
Whois情報の代理公開サービスを利用すると、登録者の個人情報に代わり、ドメイン登録事業者の情報が公開されるようになり、リスクを低減できます。
当サービス『XServerドメイン』では、専用の管理画面から無料で簡単に利用できますので、ぜひご利用ください。
Whoisについては以下の記事も参考にしてみてください。
4. 定期的なドメイン管理
ドメインを安全に運用し、ブランドの信頼を守るには、定期的な管理が欠かせません。
放置していると、不正アクセスや設定の変更に気づかないまま、悪用されてしまう恐れがあります。
たとえば以下のようなことを定期的に確認してみてください。
ドメインの管理として定期確認するべきポイント
- 期限切れしそうなドメインがないか
- ネームサーバーやIPアドレスの設定が変更されていないか
- 覚えのないサブドメインが作られていないか
- メールの送受信が正常に機能しているか
ドメインの契約期限を管理する必要があるのは、言うまでもありません。
期限が切れてしまえば、ドメインが利用できなくなりますし、さらに放置すれば第三者に再取得されてしまう恐れもあります。
自動更新設定が可能な場合は、設定しておくと安心です。
そのほか、覚えのない変更がないかもチェックしておくとよいでしょう。
次に紹介するドメインプロテクションなども利用して、変更時に通知が届くようにしておくと、より安心です。
5. ドメインプロテクションの利用
「ドメインの不審な変更を実際に確認できるのか……」と不安に感じた方は、「ドメインプロテクション」機能の利用がおすすめです。
ドメインプロテクションとは?
ドメインプロテクションとは、ドメインの不正な移管や設定変更を防ぐためのセキュリティ機能のこと。
一般的には、設定変更時に本人確認のための追加認証が必要になるため、第三者による不正な操作を未然に防ぐ仕組みです。
サービスによっては、「ドメインロック」など名称が異なったり、提供内容が異なったりします。
提供元のサービスによって異なりますが、主に以下のような設定変更を保護します。
ドメインプロテクションで変更を制限できる主な項目
- ネームサーバーに関する設定:サイトやメールの接続先を決める設定
- DNSレコードに関する設定:サーバーやドメインの情報を管理する設定
- Whois情報に関する設定:ドメイン所有者情報を管理する設定
- レジストラロックに関する設定:ドメインの不正移管を防ぐ設定
悪意のある変更を未然に防げるだけでなく、通知によって不審な動きにも気づけます。
サービスによっては料金がかかりますが、『XServerドメイン』では無料で簡単に「ドメインプロテクション」機能が利用できます。
以下の記事でくわしく解説していますので、参考にしてみてください。
6. メール認証技術の実装(DKIM・SPF・DMARC)
メールは簡単に偽装できるため、攻撃者が正規のドメインを装い、詐欺メールを送るケースが数多く発生しています。
メールのなりすましを防ぎ、取引先や顧客の信頼を守るためには、DMARC・DKIM・SPFといったメールに関する認証技術を導入するのが有効です。
DKIM・SPF・DMARCとは
DKIM(ディーキム)・SPF(エスピーエフ)・DMARC(ディーマーク)とは、メールの送信元や内容が正しいかを確認し、なりすましや改ざんを防ぐ仕組みです。
- DKIM:メールに電子署名をつけ、改ざんがないかを検証する
- SPF:送信元のサーバーが正規のものかをチェックする
- DMARC:追加の認証を行いつつ、SPF・DKIMの結果をもとに、不正メールの扱いを指示する
2024年2月、GoogleがGmailアカウントへのメール送信のガイドラインに、DKIM・SPF・DMARCの設定を義務付ける内容を組み込みました。
これらはメールの到達率にも影響するため、対応の必要性が高まっています。
技術的で難しい話だと感じるかもしれませんが、XServerならドメイン設定時に自動的に設定されたり、管理画面から簡単に設定できたりしますので、ぜひ使ってみてください。
利用方法のほか、認証技術の仕組みも以下の記事でくわしく解説しています。
7. 認証レベルの高いSSL証明書の導入
OV SSL(企業認証SSL)やEV SSL(拡張認証SSL)といった高い認証レベルのSSL証明書を導入することも、セキュリティ対策として有効です。
SSL証明書とは
ウェブサイト上のデータ通信を暗号化するとともに、サイトの正当性を証明する電子証明書のこと。
利用していると、URLの頭が「http」ではなく「https」で始まります。
「OV SSL」「EV SSL」とは?
- OV SSL(企業認証SSL)
企業や団体の実在確認を行い、組織の信頼性を証明するSSL証明書 - EV SSL(拡張認証SSL)
OV SSLより厳格に審査されるため、実在性にいっそう高い信頼がおけるSSL証明書
これらのSSL証明書は、サイトの運営者が本当に正規の企業や組織であるかを証明してくれるため、フィッシング詐欺やなりすましサイトの被害を防ぐのに有効です。
直接的にドメインの悪用を防ぐ対策ではありませんが、結果的にブランドへの信頼を守ることにつながります。
XServerでも、信頼性の高いOV・EV SSL証明書を手頃な価格で提供していますので、ぜひご検討ください。
8. ブランド名や商標に関するドメイン名の確保
重要なブランドや商標に利用するドメインなら、実際に利用するドメイン名以外にも、複数のバリエーションでドメイン名を確保しておくと安心です。
というのも、価値の高いブランド名や商標であるほど、以下の例のような悪用リスクが高まるためです。
ブランド名や商標に類似したドメインの悪用例
- 類似するドメイン名を用いて、フィッシング詐欺サイトを運営される
- 偽のメールアドレスからのなりすましメール送信
- ブランドに似せたドメインでの偽情報の拡散
- 類似ドメイン名を先に登録し高額で売りつけられる
具体的には、以下のようなドメイン名を確保することで、ブランドを保護しやすいです。
対策として取得するとよいドメイン名の例
例)「example.com」に対して
- ブランド名に完全一致するドメイン名
「example.jp」や「example.net」など - スペルミスを考慮したドメイン名
「exampel.com」や「exampl.com」など - タイプミスを考慮したドメイン名
「exzmple.com」や「exanple.com」など - 見た目が似ている文字を利用したドメイン名
「examp1e.com」や「exarnple.com」など - ブランド名に何らかの単語を組み合わせたドメイン名
「secure-example.com」や「example-login.com」など
少し面倒でコストもかかりますが、正しいドメインの運用を確保し、ブランドや商標を守ることに役立つ対策です。
9. 不要になったドメインの維持管理
不要になったドメイン名は、利用しおわったあとも、一定期間保持しておくと安心です。
なぜなら期限が切れて取得できるようになったドメイン名を、第三者が取得して悪用する可能性があるためです。
「.jp」ドメインの登録・管理を行う日本の公式機関であるJPRSからは、以下のように注意喚起されています。
<WebサイトのURLとして使っている場合のご注意>
廃止したドメイン名であっても、他のWebサイトからのリンクや、検索エンジンによるドメイン名の評価に関する情報は残り、アクセス数などが見込めることなどから、そのドメイン名が関係のない第三者に登録され悪用される可能性があります。
悪用される例:詐欺サイト、誹謗中傷サイトなど<メールアドレスとして使っている場合のご注意>
廃止されたドメイン名を第三者が登録し、同じメールアドレスを作って、素性を偽ったメールとして悪用される可能性があります。また、他のサービスでメールアドレスを利用している場合(SNSアカウントのログインIDなど)は、 メールアドレスを利用したパスワードの初期化などにより、SNSアカウントを乗っ取られたり、登録している情報を盗み見られたりする可能性があります。(引用:ドメイン名の廃止に関する注意 - JPRS)
たとえば以下のような形でドメインが不要になった場合などに、注意が必要です。
不要ドメインが生じる状況の例
- キャンペーンやプロジェクトの終了
- 組織の名称変更や合併
- 提供していたサービスの終了
いずれもそれまで使っていたドメインが不要になるものの、事業や活動自体は続くようなパターンにあたります。
悪用されれば、ドメイン名にアクセスしたユーザーが、所有者が変わっていることに気づかず、フィッシング詐欺に遭ってしまうことも考えられます。
ブランドイメージを損ない、事後対処に追われることを避けるためには、ドメイン名をしばらく保持しておくのが安心です。
10. セキュリティに関する教育や周知
直接的な対策とは少し異なるように見えるかもしれませんが、教育や周知というのも有効です。
管理者自身がセキュリティの重要性を理解することはもちろん不可欠。
さらに、法人・企業の場合は、組織内のスタッフにも適切なセキュリティ教育を行うことで、全体の意識が向上し、攻撃の早期発見につながります。
また、取引先や顧客に対して、発生しているなりすまし事例などを周知・共有することは、被害拡大の防止にもつながります。
ドメインの悪用自体を防止することはもちろん、被害を最小限にとどめるようにすることも意識しましょう。
ドメインへのセキュリティ対策でリスクを回避しよう
この記事では、ドメインのセキュリティについて、攻撃の手口やリスクから、具体的なセキュリティ対策まで解説しました。
要点をまとめると以下のとおりです。
まとめ
- ドメインのセキュリティ対策を怠ると、乗っ取りや偽装などのリスクにさらされる
- ドメインを攻撃されると、事業や活動の継続が困難になるほどの深刻なダメージを受ける恐れがある
- ドメインへの攻撃の手口はさまざまあり、複数の側面から対策することが重要
具体的に紹介したセキュリティ対策は以下のとおりです。
ドメインへのセキュリティ対策
ドメインは、ウェブサイトやメールの基盤となり、ブランドを示す大切な資産です。
適切なセキュリティ対策を行わないと、攻撃者による乗っ取りや偽装が発生し、ブランドの信頼を損なう可能性があります。
とくに、パスワードの強化、二要素認証の導入、Whois情報の適切な管理は、初心者でもすぐに取り組める基本的な対策。
また、定期的なドメインの管理や、メール・SSL証明書の認証技術を活用することで、より強固なセキュリティを実現できます。
ドメインを安全に運用し、長期的にブランド価値を守るためにも、今すぐできる対策から取り組んでいきましょう。
ドメインもサーバーもご利用なら
エックスサーバーで
ドメインずっと0円
ドメインと一緒にサーバーもご利用なら、当社が提供するレンタルサーバーでの「独自ドメイン永久無料特典」がお得!
ドメイン取得はもちろん、更新料金もずっと0円! 移管にも適用可能です。
「.com」「.jp」「.co.jp」など、定番の人気ドメイン各種から選べます(諸条件あり)。
\ 国内シェアNo.1(※) /
\ 法人特化レンタルサーバー /
※ 2024年10月時点、W3Techs調べ。
ドメインの取得・移管は
人気ドメインも1円から取得可能!
人気ドメインも1円から取得可能!
人気ドメインも
1円から取得可能!
エックスサーバーが運営する、お手頃価格でご利用可能なドメイン取得サービスです。人気ドメインの「.com」や「.net」、企業・団体向けの「.co.jp」などを年額1円~取得することができます。70種類を超えるドメイン取得が可能で、ドメイン取得後も様々な関連サービスとの連携もラクラク。
まずはドメインの空きを検索!
