そもそもドメインとは？

ドメインとはURLの「○○○.com」や「△△△.jp」といった文字列のことを指します。
任意の文字列に「.com」や「.jp」などのトップレベルドメインというものを組み合わせて一つのドメインとして扱います。
例えばこのサイトであればURLの「.io」がトップレベルドメインになります。

ドメインはインターネット上の住所のようなもので、任意の文字列とそのあとにつくトップレベルドメインの組み合わせで、どのサイトかを識別しています。
そのため誰かがそのドメインを利用している間は、他の人が全く同じドメインを使用することはできません。

ウェブサイトを世に公開するためには、このドメインを取得して利用するわけですが、事業やイベント・サービスの終了やブランド名の変更などの理由によって、使わなくなることもありますよね。

しかしそのまま契約の更新を忘れてしまったり、手放してしまうことで、そのドメインは誰でも自由に取得できる「空き家」になってしまうのです。

この「空き家」を狙って、悪意ある第三者が再取得し、詐欺に利用するケースが近年急増しています。

「中古ドメイン」はどのように悪用されるのか

様々な理由で手放されたドメインは、一定期間が経過すると他の人が取得できるようになります。

このように再登録が可能になったタイミングで、そのドメイン名が第三者に取得されることを「ドロップキャッチ」と言います。

なぜ新しいドメインではなく中古のドメインを取得するのかというと、中古ドメインには、以前使用されていたときの過去の運営実績や検索エンジンからの評価が蓄積されています。

例えばGoogleが何らかの事情があって「google.com」というドメインをある日いきなり手放したとしましょう。
このような大きな知名度やアクセス数もあるサイトの中古ドメインはかなり高額になりますが、もし取得できれば新しくドメインを取得するよりアクセス数ははるかに多いでしょう。

このように中古ドメインが持つ「信頼性」や「知名度」を悪用した詐欺が横行しているのです。

中古ドメインの悪用例

最近では、QRコードを読み込むと、特定のサイトが表示されるという仕組みを悪用した被害などもありました。

過去のキャンペーンで使っていたQRコードの読み込み先のサイトのドメインが、そのキャンペーン終了後に契約を更新しなかったため、その後第三者が取得できる状態になりました。
しかしそのドメインを悪意を持った第三者が取得したことにより、過去のチラシなどに掲載されていたQRコードを読み込むと、悪質サイトに誘導されるという事態が発生しました。

このような中古ドメインの悪用例は他にも詐欺が横行しています。

ケース1：フィッシング詐欺や偽サイトに

過去に有名企業が使っていたドメインを再取得し、本物そっくりの偽ウェブサイトを立ち上げます。
訪れたユーザーはそのサイトを本物だと誤認してしまうので、そこで入力したIDやパスワード、クレジットカード情報なをの入力してしまうと大切な個人情報を抜き取られてしまいます。

ケース2：ウイルス感染の入り口に

安全だと思い込んでアクセスしたサイトから、不正なプログラムが自動的にダウンロードされたり、巧妙な手口でアプリをインストールさせられたりすることがあります。

ケース3：悪質なコンテンツへ誘導サイトに

過去のドメインが持っていた検索エンジンでの評価を悪用し、アダルトサイトや不正な情報商材の販売サイトなど、悪質なコンテンツへユーザーを誘導します。
たとえ短期間であっても、過去に信頼性のあったドメインにアクセスしてしまったことで、検索エンジンの履歴からそのような情報に触れたと判断され、後々不利益を被る可能性もゼロではありません。

普段から注意深く警戒しておくことが大事

とはいえ、検索画面から怪しいサイトかどうかを見分けることは難しいです。
上位に表示されてるからと言って、必ずしも安全なサイトとは限りませんし、広告と付いていても、偽サイトが広告を出しているというケースもあるのです。

そのため普段から

• ・知らない相手からのメールや、信用できない発信元に記載されているURLを安易にクリックしない
• ・URLの文字列を注意深く確認する

といった最低限のことは心がけておきましょう。

また、普段私たちはサイトや記事のタイトルを見て、検索結果からどのサイトを閲覧するかを決めていると思いますが、そのほかの情報も注意深く見ることが大切です。

• ・タイトルは日本語なのに、そのすぐ下の抜粋されている本文は他の言語になっている
• ・抜粋されている文章が明らかに検索結果にそぐわない文である
• ・「他の人はこちらも検索」の部分に『詐欺』『注意』など怪しいサジェスト（関連キーワード）が並んでいる

などよく見ると検索結果からでも、このサイトは怪しいかもしれない、と分かる場合もあります。

少しでも不安を感じる方は、公式アプリやSNS、その他信頼できる情報源から直接サイトにアクセスしましょう。
サイトにアクセスする前に、公式アプリやSNSなどにドロップキャッチに関する注意喚起が掲載されてないかどうかも、合わせてチェックすることも重要です。

運営者向け：自社のドメインを守るための対策

このコラムを読んでいる方の中には、すでにドメインを取得してウェブサイトを運営されている、もしくはこれからウェブサイトを作成予定の企業の方もいるかもしれません。
ドロップキャッチ被害を防ぐためには、利用者の注意だけでなく、ドメインを管理する企業側の対策が最も重要です。

1.自動更新設定や管理体制の徹底

ドメインの契約の多くは1年や数年単位です。
そのため、単純に更新するのを忘れていて急にサイトが見れなくなった、といったケースや、
異動や退職などで元々管理していた人がいなくなってしまい、その後誰が管理しているか不明な状態で更新を忘れてしまったという場合も珍しくありません。

事前にメールなどで通知はしてくれますが、更新忘れによるドメインの失効を防ぐため、自動更新される設定にしておき、契約情報や更新日が不明確にならないよう、ドメイン管理の責任者や担当部署は明確にしておきましょう。

2.使わなくなったドメインの扱いは慎重に

経費削減のために、使用していないドメインはできるだけ手放したいかもしれませんが、ドロップキャッチのリスクなどを考えると、基本的に一度取得したドメインは安易に手放さない方が良いです。

それでも様々な事情でドメインを手放すのであれば、事業やサービスの終了後すぐ手放すのではなく、1〜2年程度はドメインを保持しておきましょう。
（サイトがクローズしたことを知らないユーザーが訪れる恐れがあるため）

• サイト内やSNSなどに掲載したそのサイトへの導線（URL）を削除する
• ユーザーにアクセスできなくなる旨を周知しておく
• 該当のURLにアクセスしても自動的に公式サイトへ転送されるよう設定しておく（※この設定は、ドメインを手放すと無効になるため、手放す前の最後の防衛策として有効です。）

上記のような対策をしてから、手放すようにしてください。

3.管理が難しい場合は、安易に新しいドメインを取得しない

キャンペーンや新しいサービスを始めるからといって、そのたびに新しくドメインを取得するのは、管理やコストの面でも負担がかかります。

ドメインは誰かが再利用できるという性質上、悪意のある第三者によってドロップキャッチをされてしまうと、ブランドやサービス・会社のイメージなどに悪い影響を与えてしまいかねません。
それらを防ぐためにも、安易に新しいドメインを取得しないことが大切です。

ドメインの使用期間やサービス内容、今後手放す可能性なども考えたうえで、新しく必要だと判断した場合のみ取得するようにしましょう。

新しくドメインを取得せずとも、サブドメイン（例：campaign.example.com）やサブディレクトリ（example.com/campaign）などのすでに取得しているドメインを活用する方法も一度検討してみてください。

まとめ：知識と管理体制が、会社やサービスを守る盾になる

見覚えのあるドメインが、必ずしも安全とは限らない時代になってしまいました。

インターネットの安全は、ユーザー個人の注意だけでなく、ドメインを管理する企業側にもかかっています。
ドメインは「資産」であると同時に、管理を怠れば「リスク」にもなり得ます。
適切な管理体制こそが、自社のブランドと顧客の信頼を守る最大の防御策となるのです。

弊社では、ウェブサイトの制作と合わせて、お客様のドメインの取得・管理もおまかせください。
ドメインの契約更新忘れなどの不安を解消し、安心して事業に専念できるようサポートいたしますので、以下のボタンからぜひお気軽にお問い合わせください。