ドメインハイジャック対策 どめいんはいじゃっくたいさく
簡単に言うとこんな感じ!
「example.co.jp」みたいな自社のドメイン名を第三者に乗っ取られないようにする取り組みだよ!ドメインを奪われると、メールの乗っ取りや偽サイトへの誘導が起きて大変なことになるんだ。
ドメインハイジャック対策とは
ドメインハイジャックとは、企業や個人が正当に所有するドメイン名を、攻撃者が不正な手段で奪い取る行為です。ドメインを乗っ取られると、Webサイトを偽サイトに差し替えられたり、メールを盗み見られたりと、被害は経営レベルに直結します。
ドメインハイジャックの手口は主に2つあります。ひとつはレジストラ(ドメイン登録業者)への不正ログインや不正移管申請によるもの、もうひとつはDNSサーバーの設定を書き換えるDNS乗っ取りです。どちらも「ドメイン名というインターネット上の住所札を差し替える」行為であり、被害に気づきにくいのが特徴です。
ドメインハイジャック対策とは、これらの攻撃を未然に防ぐための技術的・運用的な施策の総称です。特に自社ブランドや顧客との信頼に直結するドメインは、登録管理から技術設定まで多層的に守る必要があります。
ドメインハイジャックの手口と対策の全体像
| 攻撃手口 | 具体的な内容 | 主な対策 |
|---|---|---|
| 不正ログイン | レジストラ管理画面へのパスワード攻撃・フィッシング | 強力なパスワード+多要素認証(MFA) |
| 不正移管申請 | 攻撃者が別レジストラへの移管を申請 | 移管ロック(Transfer Lock)の有効化 |
| ソーシャルエンジニアリング | 担当者を騙してレジストラに電話・メール | レジストリロック・認証手続きの厳格化 |
| DNS設定書き換え | ネームサーバーやAレコードの改ざん | DNSSEC・ゾーン変更の通知設定 |
| ドメイン失効・失念 | 更新し忘れによる第三者への再登録 | 自動更新設定・有効期限アラート |
覚え方:「移転・失効・改ざん」の3リスク
ドメインハイジャックのリスクは「移転(不正移管)」「失効(更新忘れ)」「改ざん(DNS書き換え)」の3つで整理すると覚えやすいです。それぞれに専用の対策があり、3つを組み合わせることで多層防御が実現できます。
対策の強度レベル
| レベル | 施策 | 効果 |
|---|---|---|
| 基本 | 移管ロック(Transfer Lock) | 無断移管を防ぐ |
| 基本 | 多要素認証(MFA) | 不正ログインを防ぐ |
| 中級 | Whois情報の正確な管理 | 連絡先の確実な受け取り |
| 中級 | 自動更新+有効期限アラート | 失効リスクを排除 |
| 上級 | レジストリロック | 人間の審査なしに変更不可 |
| 上級 | DNSSEC | DNS応答の改ざんを検出 |
歴史と背景
- 2000年代初頭:ドメイン移管プロセスの自動化が進み、不正移管が現実的な攻撃手口として浮上
- 2003年:VeriSign(現Verisign)がWild Card DNS問題を起こし、DNSの信頼性への関心が高まる
- 2005年:DNSSECの標準化が進み、IETFがRFC 4033〜4035としてまとめる
- 2008年:著名なDNSキャッシュポイズニング脆弱性(Kaminsky攻撃)が公開され、DNS改ざんへの警戒が世界的に高まる
- 2010年代:大手企業のドメインハイジャック被害が相次ぐ。TwitterやNYTimesのDNSが乗っ取られる事例も発生
- 2019年:ICANNがDNSインフラへの攻撃増加を警告する公式声明を発表。レジストリロックの導入を強く推奨
- 2020年代:クラウドサービス普及に伴い「サブドメインテイクオーバー」と呼ばれる新手口も登場。対策の範囲が拡大
主要な対策技術の比較と仕組み
各対策の役割と守備範囲を整理しておきましょう。
移管ロック(Transfer Lock)
移管ロックは、ドメインレジストラが提供する最も基本的な保護機能です。有効にすると、別のレジストラへのドメイン移管申請が自動的に拒否されます。ほとんどのレジストラで無料で利用でき、管理画面から数クリックで設定できます。新規登録後60日間は移管禁止というICANNルールもありますが、ロックは常時有効にしておくのが鉄則です。
レジストリロック
レジストリロックは移管ロックよりも強力な仕組みで、ドメイン情報の変更に際して電話やFAX等の人的確認を必須とするものです。.comや.jpなどのレジストリ(ICANN認定の管理機関)レベルで設定するため、レジストラへの不正ログインが起きても変更できません。大企業や金融機関の重要ドメインに推奨されますが、変更に時間がかかるデメリットもあります。
DNSSEC(DNS Security Extensions)
DNSSECはDNS応答に電子署名を付加することで、DNSキャッシュポイズニング(DNS応答の偽造)や改ざんを検知する技術です。攻撃者がDNSの応答を偽造しても、署名の検証に失敗するため、正規のサーバーからの応答ではないと判断されます。DNSSECを有効にするにはレジストラとDNSプロバイダー双方での設定が必要です。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4033 | DNSSECの概要・設計目標を定義 |
| RFC 4034 | DNSSECで使用するリソースレコードの仕様 |
| RFC 4035 | DNSSECのプロトコル変更仕様 |
| RFC 5011 | DNSSECトラストアンカーの自動更新 |
| RFC 7489 | DMARCの仕様(ドメインを使ったメール詐欺対策) |
関連用語
- DNS(ドメインネームシステム) — インターネットの電話帳。ドメイン名をIPアドレスに変換する仕組み
- DNSSEC — DNSの応答に電子署名を付けて改ざんを防ぐ拡張セキュリティ機能
- レジストラ — ドメイン名の登録・管理を受け付ける認定事業者
- DNSキャッシュポイズニング — DNSキャッシュに偽の情報を注入して通信を誘導する攻撃手法
- フィッシング — 偽サイト・偽メールで認証情報をだまし取るサイバー攻撃
- DMARC — 自社ドメインを騙ったなりすましメールを防ぐ認証の仕組み
- 多要素認証(MFA) — パスワード以外の認証要素を追加してアカウント乗っ取りを防ぐ技術
- サブドメインテイクオーバー — 使われなくなったサブドメインを攻撃者が乗っ取る攻撃手法