Defaults.Exposed

Defaults.Exposed › レポート

ドメインおよびDNSハイジャック:ドメインが盗まれる仕組みと自社ドメインを守る方法(2026年)

公開日 2026-07-01

数値は2026-06-29時点 · 方法論v7。 採点済みドメイン261百万件を対象とした集計センサスデータです。ハイジャックとは、ドメインのDNSまたは登録情報を掌握し、そのトラフィックとメールを別の宛先へリダイレクトすることを指します。採点方法をご覧ください。

ドメインハイジャックはウェブサイトそのものには手を触れません。ウェブサイトを指し示しているDNSやレジストラアカウントを乗っ取ることで、自社の訪問者やメールを密かに攻撃者へと転送させます。 このリスクを最も低減する2つのDNS対策は、ウェブ上で最も導入が進んでいないものの一つです。有効なDNSSECを持つドメインはわずか**1.99%、CAAレコードを公開しているのはたった1.56%**にすぎません。以下では、ドメインが盗まれる仕組みと、自社ドメインを守る方法を解説します。

ドメインが実際にハイジャックされる仕組み

集中がシステミックな側面を加える

ほとんどのドメインは少数のDNSプロバイダーに依存しているため、単一のプロバイダーで起きたインシデントが不釣り合いに広い範囲へ波及します。最大のネームサーバー運用者だけで、認識されたプロバイダーを利用するドメインの**15.4%を担っており、上位5社を合わせると42.1%**に達します。集中は自社だけで修正できる欠陥ではありませんが、自社が管理できる対策を確実に整える理由にはなります。ネームサーバーの集中をご覧ください。

自社ドメインを守る方法

  1. レジストラアカウントを保護する — 固有のパスワード、強力なMFAを用い、レジストラロック(移管禁止)を有効にして、明示的なロック解除なしにはドメインを移動できないようにします。
  2. DNSSECを有効にする — ホスティング事業者が自動化している場合に有効化しましょう。リゾルバの段階で偽造されたDNS応答を防ぎます。
  3. CAAレコードを公開する — 自社が利用する認証局のみを指定し、不正な証明書が発行されないようにします。
  4. DNSのダングリングレコードを監査する — すでに管理していないリソースを指し示すエントリを削除します。
  5. 重要なドメインを決して失効させない — 登録を自動更新に設定し、連絡先情報を最新に保って、更新通知を見落とさないようにします。

よくある質問

ドメインハイジャックとは何ですか? 実際のサーバーへ侵入することなく、ドメインの登録情報やDNSを掌握し、そのウェブおよびメールのトラフィックをリダイレクトすることです。

DNSハイジャックはどう違うのですか? DNSハイジャックは、(アカウント乗っ取り、キャッシュポイズニング、あるいはDNSホストの侵害を通じて)ドメインを名前解決するレコードそのものを改ざんすることを特に指します。DNSSECは偽造された応答から守りますが、これを備えているのはわずか1.99%のドメインです。

最も効果的な単一の保護策は何ですか? レジストラアカウントを固く守ること、すなわち固有のパスワード、MFA、そしてレジストラの移管ロックです。ほとんどのハイジャックは、巧妙な攻撃ではなくアカウントへのアクセスから始まります。

DNSSECはハイジャックを防げますか? 偽造・汚染されたDNS応答という重要な一種は防げますが、レジストラアカウントの乗っ取りは防げません。アカウントのセキュリティおよびCAAと併せて用いてください。

これらに費用はかかりますか? いいえ。レジストラロック、DNSSEC、CAAはいずれも無料の設定です。かかるのは、それらを適用する規律だけです。

自社ドメインのDNS防御を無料でチェック

DNSSECとCAAが導入され、正しく構成されているかどうかを確認できます。プライベートに、所有者のみが利用できます。

自社ドメインをチェック → · DNSSECを修正 → · CAAを修正 → · 採点方法 → · 集計データのみ。データはEU内で保存・処理されます。