ある日突然、自社ドメインが他人のものになっていたら?— GoDaddy事件が教えるデジタル資産管理の盲点
# ある日突然、自社ドメインが他人のものになっていたら?— GoDaddy事件が教えるデジタル資産管理の盲点 「サイトが急に繋がらなくなって、調べたらドメインが他人名義になっていた」 こういう話を、最初に聞いたとき、正直ピンとこなかったんです。 「それってどういう状況?」と。 ところが少し調べると、これは決して珍
ある日突然、自社ドメインが他人のものになっていたら?— GoDaddy事件が教えるデジタル資産管理の盲点
「サイトが急に繋がらなくなって、調べたらドメインが他人名義になっていた」
ドメイン管理を怠ると、こういった事態が現実に起こります。最初に聞いたとき、正直ピンとこなかったんです。「それってどういう状況?」と。
ところが少し調べると、これは決して珍しい事故ではありませんでした。しかも、被害に遭った企業の多くが「ちゃんと管理していた」と思っていたのに、気づいたら手遅れだった、という点が怖い。
GoDaddy事件とは何だったのか——ドメイン乗っ取りの実態
2024年初頭、ドメイン登録・ホスティング最大手のGoDaddyで、複数の顧客ドメインが不正に第三者へ移管されるという事件が確認されました。
GoDaddy自身も米SEC(証券取引委員会)への提出書類の中で、「2019年から複数年にわたってインフラへの侵害があった」と認めています(2024年2月付け10-K報告書)。
これは単純なパスワード漏洩ではなく、GoDaddy社内のシステム自体が長期間にわたって侵害されていたということです。
つまり、利用者側がどれだけ慎重にパスワード管理をしていても、防ぎようがなかった可能性があるという点で、この件は性質が違います。
なぜドメイン移管は「気づきにくい」のか
ドメインが奪われると何が起きるか。
まず、自社のウェブサイトが表示されなくなる、あるいは全く別のページに誘導されるようになります。次に、メールサーバーへの接続が切れる。そして、顧客がアクセスしようとしても、見知らぬ「売り物」ページや、フィッシングサイトが表示されることがある。
問題は、この変化が「静かに起きる」点です。
オフィスの回線でキャッシュが残っていれば、社内では普通に表示される。気づくのが遅れる。発覚したときには、取引先がすでに別のページへ誘導されていた、なんてことも起きます。
さらに言うと、ドメインが第三者に移管されてしまうと、取り戻すための法的手続きにはUDRP(統一ドメイン名紛争解決方針)という国際仲裁手続きが必要で、解決まで数週間〜数ヶ月かかることがあります。
その間、自社ドメインは「他人のもの」です。
日本企業に特有の「ドメイン管理の盲点」
ここで少し視点を変えます。
先日、食品の輸出を手がける中小企業の担当者の方と話していたとき、こんな言葉が出てきました。
「そういえば、ドメインって誰が管理しているんだろう。設立のとき頼んだ制作会社さんかな……」
思わず「更新期限、確認しましたか?」と聞いてしまったんですが、その方も「言われてみれば全然見ていなかった」と。こういうケース、珍しくないかもしれません。
特に中小企業では、ドメインやサーバーの管理を「ITに詳しかった元社員」や「設立時に頼んだ制作会社」に任せきりにしている場合があります。
その担当者が退職・廃業すると、登録アカウントのメールアドレスにアクセスできなくなる。更新通知が届かない。気づいたら有効期限切れで第三者に取得されていた、という経路は、GoDaddy事件のようなサイバー攻撃とは全く別の、もっと地味な「うっかり事故」として毎年発生しています。
日本レジストラ協議会(JDRA)の公開情報でも、ドメイン失効後に悪意ある第三者が同一ドメインを取得する「ドロップキャッチ」への注意は繰り返し呼びかけられています。
海外展開企業が特に注意すべきデジタル資産管理
国内向けのビジネスであれば、ドメインが一時的に使えなくなっても「電話で対応する」「すぐに告知を出す」という代替手段が動く場合があります。
しかし、海外のバイヤーや取引先から見ると、話は違います。
初めて連絡を取ろうとしたとき、ウェブサイトが繋がらない、あるいは不審なページが表示された企業を「信頼できるパートナー」と判断するでしょうか。
それが1週間であれ、1ヶ月であれ、「その瞬間にサイトを確認した人」には永遠にその印象が残ります。
BtoB取引において信頼の構築は時間がかかります。でも失うのは一瞬です。
特に新規開拓の文脈では、メールで連絡を取り合ったあと「公式サイトで会社を確認しよう」という動きは自然に発生します。そのタイミングで不審なページに当たれば、返信が来なくなる。理由も教えてくれないまま。
私たちが観察している範囲でも、海外バイヤーへのアウトリーチで最初のレスポンスがあったあと、会社の公式情報確認フェーズで止まってしまうケースがあります。ドメインの信頼性は、営業の成否に直接影響するインフラだと感じています。
海外バイヤーとの信頼構築には、こうしたデジタル基盤の整備が前提になります。具体的なアウトリーチ方法については、別の記事でご紹介しています。
では、何をすればいいのか
大掛かりな投資は不要です。今日から確認できることを整理します。
1. ドメイン管理の登録情報と有効期限を確認する
自社ドメインの登録先(レジストラ)にログインし、以下を確認します。
- 登録名義が現在の会社・担当者になっているか
- 有効期限がいつか(できれば2〜3年先まで更新しておく)
- 更新通知の宛先メールアドレスが現在も使えるものか
「誰のメールアドレスで登録されているか分からない」という場合は、WHOIS情報(ドメインの公開登録情報)を確認するか、レジストラに問い合わせることが第一歩です。
日本でよく使われるレジストラとしては、お名前.com・ムームードメイン・スタードメインなどがあります。たとえばお名前.comであれば、ログイン後「ドメイン設定」→「ネームサーバー・DNS設定」→「ドメイン一覧」から有効期限と登録メールアドレスを確認できます。ムームードメインも同様に、コントロールパネルの「ドメイン管理」から一覧で確認できます。
2. レジストラ側の二段階認証を有効にする
GoDaddy事件の文脈では、レジストラのアカウントに二段階認証(2FA)が設定されていたかどうかが、被害範囲に影響していたケースがあります。
パスワードだけでなく、SMS認証やAuthenticatorアプリによる認証を追加することで、不正ログインのリスクを下げられます。
これは5分でできる設定変更です。
3. ドメイン移管ロック(Transfer Lock)を確認する
多くのレジストラでは、設定画面から「移管ロック」をオンにできます。
これを有効にしておくと、第三者がドメインを別のレジストラへ移管しようとしても、レジストラ側で一度ブロックされます。
お名前.comでは「ドメイン設定」→対象ドメイン選択→「移管禁止設定」から確認・変更できます。デフォルトでオンになっていることも多いですが、何らかの理由でオフになっている場合もあるため、一度確認しておくと安心かもしれません。
4. ドメイン管理の担当者と引き継ぎ手順を明文化する
これが一番地味で、でも一番効くことかもしれません。
「ドメインの管理アカウントのID・パスワードをどこに保管しているか」「有効期限の更新は誰がいつ確認するか」——この2点を社内のどこかに書いておく。
Notionでも、スプレッドシートでも、紙でも構いません。属人化している管理体制を、最低限「別の人が見れば分かる」状態にしておくことです。
よくある質問(FAQ)
Q. ドメイン移管ロックはどこで設定できますか? A. 各レジストラの管理画面(ドメイン設定ページ)から設定できます。GoDaddyやお名前.comなど主要なレジストラでは「Transfer Lock」または「移管禁止」という項目がドメイン詳細画面に表示されます。ログイン後、対象ドメインの設定を開いて確認してみてください。ムームードメインではコントロールパネル内の「ドメイン操作」から同様の設定が可能です。
Q. ドメイン乗っ取りに遭った場合、どうやって取り戻せますか? A. まずレジストラのサポートに即座に連絡し、不正移管の申告を行います。それでも解決しない場合、UDRP(統一ドメイン名紛争解決方針)に基づく国際仲裁手続きを利用することになります。ただし解決まで数週間〜数ヶ月かかるケースが多いため、事前のドメイン管理対策が何より大切だと感じています。
Q. 自社のドメインが現在安全かどうか、どうやって確認できますか? A. WHOIS検索ツール(例:whois.domaintools.comなど)で自社ドメイン名を検索すると、登録名義・有効期限・移管ロックの状態を確認できます。登録メールアドレスが現在もアクセス可能かどうかも合わせて確認しておくとよいかもしれません。
「デジタル資産管理」という感覚そのものが薄い
今回の話を書きながら、少し別のことも考えていました。
土地や建物は「資産」として管理する感覚が自然にある。でも、ドメイン、メールアカウント、SNSのページ、クラウド上のデータは?
これらも事業活動を支える重要なデジタル資産なのに、「維持費のかかる便利ツール」として扱っていることが多い気がします。
特にドメインは、会社のオンラインにおける「住所」です。これが第三者のものになるというのは、会社の看板を勝手に書き換えられるのと近い感覚で受け取ってもらえると、この問題の深刻さが伝わりやすいかもしれません。
GoDaddy事件は、規模や信頼性のある大手サービスでも起きうることを示しました。一方、日本で日常的に起きている事故の多くは、「有効期限の更新を誰も確認していなかった」という、ずっとシンプルな理由です。
後者は、今日確認するだけで防げます。
まとめにかえて
ドメイン管理を最後に見直したのはいつでしょう。
有効期限、登録メールアドレス、移管ロックの状態——この3点を5分で確認するだけで、今日から「気づいたら手遅れ」のリスクをかなり下げられます。
海外取引先の信頼は、メールの文章だけでなく、会社のデジタル基盤全体から作られています。派手な営業施策より先に、足元の管理が整っているかどうか。ここを一度見直してみてください。
気になる点があればコメントか、LINEでお気軽にどうぞ。 Add LINE friend
#ドメイン管理 #サイバーセキュリティ #中小企業 #デジタル資産 #越境EC #海外取引 #B2B営業 #輸出 #海外営業 #輸出ビジネス #コールドメール
