Defaults.Exposed › レポート
設定ミスの殿堂:Webで最も奇妙なセキュリティ記録(2026年)
公開日 2026-06-29
数値は 2026-06-29 時点 · 方法論 v7。 261 百万件の格付け済みドメインにわたる集計センサスデータ。以下のすべての数値は、一度きりの事例ではなく、実在する反復的なパターンです。私たちの格付け方法をご覧ください。
ほとんどのセキュリティ上の失敗は退屈なものです。設定をオフのままにしただけ。しかし、いくつかは本当に笑える——窓に「テナント名をここに記入」の看板を掲げたまま建物を引き渡すデジタル版のようなものです。 私たちは 261 百万件のドメインを格付けしました。ここでは、思わず二度見してしまった記録を紹介します。
1. 誰も名前を変えなかった証明書
OpenSSL のデフォルトのプロンプトで TLS 証明書を生成し、ただ Enter を押すと、組織名はプレースホルダーになります。これらのプレースホルダーは本番稼働前に置き換えられるべきものです。そうはなりませんでした。
| 本番証明書の「発行者」名 | サイト数 |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
「Internet Widgits Pty Ltd」 は OpenSSL のサンプル設定における文字どおりのデフォルト値であり、244,468 件の公開サイトがそれを刻印した証明書を配信しています。明らかなプレースホルダー名やデフォルト名すべてを合わせると、685,732 件のサイトが看板を一度も変えていませんでした。それらのすべては自己署名でもあるため、訪問者はブラウザの警告を受け取ります——プレースホルダーとエラーの両方を配信しているのです。
2. 翻訳で失われた DMARC
DMARC ポリシーは、p=none、p=quarantine、または p=reject と正確に記述されている場合にのみ機能します。48,648 件のドメインはそれ以外のものを公開しました——ポリシーの単語のスペルミス、あるいは完全に別の言語で書かれたもの(実データには「none」のスペイン語、フランス語、ポルトガル語版が含まれます)。意図は正しかったのですが、正確なスペルはそうではなく——DMARC は英語のキーワードしか受け付けないため、それらすべては保護をまったく提供しません。(件数付きの完全な最新リスト:インターネットで最も一般的な DMARC のタイプミス。)
3. SPF のウェルカムマット
SPF の唯一の仕事は、どのサーバーがあなたとしてメールを送信してよいかを示すことです。36,014 件のドメインは、レコードを +all で終わらせています——これは正反対の意味です。「インターネット上のどのサーバーも、私として送信する権限がある。」 これは、鍵をドアにテープで貼り付けるのと同等のセキュリティです。さらに 7,958 件は、10 回の DNS ルックアップ制限を超えることで密かに SPF を壊し、完全に無効化しています。(詳細:SPF 設定ミスレポート。)
4. 特別賞:数百万の自己署名
おかしな名前を超えて、3,378,080 件のサイトが自己署名証明書を配信しています——自分自身に発行し、ブラウザが拒否するものです。たいていはルーター、テスト機、または誤って公開インターネットに向けられ、本物の証明書を一度も取得しなかった内部ツールです。
おかしな事例に共通すること
ここにあるすべての項目は、退屈な失敗と同じ根本原因を持っています。手つかずのデフォルト値、スキップされたステップ、完了しなかったコピー&ペースト。ウェブは劇的に失敗するのではなく——惰性で失敗するのです。名前を変えていないプレースホルダーが一つずつ。良い面は、これらのすべてが 5 分で直せるということです。
よくある質問
なぜこれほど多くの証明書に「Internet Widgits Pty Ltd」と書かれているのですか? それは OpenSSL のサンプル設定におけるデフォルトの組織名です。誰かが証明書を生成してデフォルト値を受け入れると、そのプレースホルダーが本番証明書に載ってしまいます。244,468 件の公開サイトがそれを一度も変えていません。
別の言語で書かれた DMARC ポリシーは何か機能しますか?
いいえ。DMARC は正確なキーワード none、quarantine、reject のみを認識します。ポリシーの単語にスペルミスがある、または別の言語で書かれたレコードは無効であり、無視されます——そのドメインはなりすまし可能なままです。
SPF +all は何をしますか? インターネット上のすべてのサーバーに、あなたのドメイン名でメールを送信する権限を与えます——SPF がまったくない場合よりも悪いです。36,014 件のドメインがそれを持っており、ほぼ常に誤りによるものです。
これらはまれなエッジケースですか? いいえ——それぞれが数十万から数百万のドメインに及び、261 百万件のドメインのセンサスで一貫して見つかっています。これらは一般的なデフォルト値であり、奇妙な事故ではありません。
あなたのドメインが次回の版に載らないか確認しましょう
これらのほとんどは 1 行で直せる修正です。あなたのドメインを非公開で無料でチェックしましょう——インターネットが見ているとおりに、あなたの証明書、DMARC、SPF を確認できます。
あなたのドメインをチェック → · DMARC のタイプミス → · SPF 設定ミスレポート → · 証明書エラーレポート → · 集計データのみ。データは EU 内で保存・処理されます。