Defaults.Exposed › レポート
ドメインおよびDNSハイジャック:ドメインが盗まれる仕組みと自社ドメインを守る方法(2026年)
公開日 2026-07-01
数値は2026-06-29時点 · 方法論v7。 採点済みドメイン261百万件を対象とした集計センサスデータです。ハイジャックとは、ドメインのDNSまたは登録情報を掌握し、そのトラフィックとメールを別の宛先へリダイレクトすることを指します。採点方法をご覧ください。
ドメインハイジャックはウェブサイトそのものには手を触れません。ウェブサイトを指し示しているDNSやレジストラアカウントを乗っ取ることで、自社の訪問者やメールを密かに攻撃者へと転送させます。 このリスクを最も低減する2つのDNS対策は、ウェブ上で最も導入が進んでいないものの一つです。有効なDNSSECを持つドメインはわずか**1.99%、CAAレコードを公開しているのはたった1.56%**にすぎません。以下では、ドメインが盗まれる仕組みと、自社ドメインを守る方法を解説します。
ドメインが実際にハイジャックされる仕組み
- レジストラアカウントの乗っ取り — レジストラのログインでフィッシングされた、あるいは使い回されたパスワードが漏れると、攻撃者はネームサーバーを変更したり、ドメインそのものを移管したりできます。最も影響が大きく、そして最も防ぎやすい経路です。
- DNSレコードの改ざん/キャッシュポイズニング — 偽造されたDNS応答がユーザーやメールを別の宛先へと導きます。これはまさにDNSSECが防ぐために設計されたものです。DNSSECを備えているのは1.99%のドメインにとどまります(さらに3.02%は署名されているものの機能していません)。
- ダングリングレコード(宙に浮いたレコード) — すでに自社の所有ではなくなったクラウドリソースを指し示したまま残されたDNSエントリは、他者にそれを主張される(サブドメイン乗っ取り)余地を与えます。
- 失効ドメインの再登録 — ドメインを失効させると、誰でも再登録でき、その残存トラフィックと信頼を引き継げます。センサス全体では、**6.2%**のドメインがもはや名前解決できず、失効した名前の大きなプールとなっています。インターネットの死んだドメインをご覧ください。
- 不正な証明書の発行 — どの認証局が自社ドメインの証明書を発行できるかを制限するCAAレコードがなければ、誤発行された証明書を入手しやすくなります。CAAを設定しているドメインはわずか1.56%です。
集中がシステミックな側面を加える
ほとんどのドメインは少数のDNSプロバイダーに依存しているため、単一のプロバイダーで起きたインシデントが不釣り合いに広い範囲へ波及します。最大のネームサーバー運用者だけで、認識されたプロバイダーを利用するドメインの**15.4%を担っており、上位5社を合わせると42.1%**に達します。集中は自社だけで修正できる欠陥ではありませんが、自社が管理できる対策を確実に整える理由にはなります。ネームサーバーの集中をご覧ください。
自社ドメインを守る方法
- レジストラアカウントを保護する — 固有のパスワード、強力なMFAを用い、レジストラロック(移管禁止)を有効にして、明示的なロック解除なしにはドメインを移動できないようにします。
- DNSSECを有効にする — ホスティング事業者が自動化している場合に有効化しましょう。リゾルバの段階で偽造されたDNS応答を防ぎます。
- CAAレコードを公開する — 自社が利用する認証局のみを指定し、不正な証明書が発行されないようにします。
- DNSのダングリングレコードを監査する — すでに管理していないリソースを指し示すエントリを削除します。
- 重要なドメインを決して失効させない — 登録を自動更新に設定し、連絡先情報を最新に保って、更新通知を見落とさないようにします。
よくある質問
ドメインハイジャックとは何ですか? 実際のサーバーへ侵入することなく、ドメインの登録情報やDNSを掌握し、そのウェブおよびメールのトラフィックをリダイレクトすることです。
DNSハイジャックはどう違うのですか? DNSハイジャックは、(アカウント乗っ取り、キャッシュポイズニング、あるいはDNSホストの侵害を通じて)ドメインを名前解決するレコードそのものを改ざんすることを特に指します。DNSSECは偽造された応答から守りますが、これを備えているのはわずか1.99%のドメインです。
最も効果的な単一の保護策は何ですか? レジストラアカウントを固く守ること、すなわち固有のパスワード、MFA、そしてレジストラの移管ロックです。ほとんどのハイジャックは、巧妙な攻撃ではなくアカウントへのアクセスから始まります。
DNSSECはハイジャックを防げますか? 偽造・汚染されたDNS応答という重要な一種は防げますが、レジストラアカウントの乗っ取りは防げません。アカウントのセキュリティおよびCAAと併せて用いてください。
これらに費用はかかりますか? いいえ。レジストラロック、DNSSEC、CAAはいずれも無料の設定です。かかるのは、それらを適用する規律だけです。
自社ドメインのDNS防御を無料でチェック
DNSSECとCAAが導入され、正しく構成されているかどうかを確認できます。プライベートに、所有者のみが利用できます。
自社ドメインをチェック → · DNSSECを修正 → · CAAを修正 → · 採点方法 → · 集計データのみ。データはEU内で保存・処理されます。