サブドメインテイクオーバーを初心者でも分かりやすく解説

2025年11月16日作成

用語

サブドメインテイクオーバーは、組織が管理するサブドメインを第三者が不正に乗っ取り、フィッシング詐欺やマルウェア配布の拠点として悪用するサイバー攻撃です。2025年1月には日本の複数の省庁でDNS設定の管理不備が発覚し、国土交通省のサブドメインが実際にオンラインカジノ広告サイトとして悪用される事件が発生しました。この攻撃は、サービス終了後にDNS設定を削除し忘れることで発生する「ダングリングレコード」を悪用するため、企業規模や業種を問わずあらゆる組織が標的となります。本記事では、サブドメインテイクオーバーの仕組みから最新の被害事例、具体的な対策方法まで、非IT技術者の方にも分かりやすく徹底解説します。

サブドメインテイクオーバーを初心者でも分かりやすく解説

サブドメインテイクオーバーとは？

サブドメインテイクオーバーは、組織が管理するドメインのサブドメインを、第三者が不正に乗っ取るサイバー攻撃です。Webサイト・APIの弱点を突いた攻撃手法の一つで、正式には「Subdomain Takeover」と呼ばれ、ドメイン乗っ取りやサブドメイン乗っ取りとも表現されます。

この攻撃は、ウェブサイトやサービスの運用終了後にDNS設定が削除されずに残ってしまう「ダングリングレコード」と呼ばれる状態を悪用します。攻撃者はこの設定ミスを見つけると、正規の組織になりすまして偽サイトを設置し、フィッシング詐欺やマルウェア配布などの悪質な活動に利用します。適切なセキュリティ対策を実施することで、このような被害を防ぐことができます。

特に深刻なのは、乗っ取られたサブドメインが正規ドメインの一部として表示されるため、利用者が信頼してアクセスしてしまう点です。サブドメインテイクオーバーは、企業や組織のブランドイメージを悪用した巧妙なサイバー攻撃手法として、近年急速に被害が拡大しています。

サブドメインテイクオーバーを簡単に言うと？

サブドメインテイクオーバーを身近なたとえで説明します。

あなたの会社が「example.co.jp」という表札のついた大きなビルを所有しているとします。このビルの3階に「campaign.example.co.jp」という看板をつけた部屋を借りて、期間限定のキャンペーンサイトを運営していました。

キャンペーン終了後、借りていた部屋は解約したのですが、ビルの入口にある案内板には「campaign.example.co.jpは3階です」という案内がそのまま残ってしまいました。すると、悪意のある第三者がその空き部屋を勝手に借り直して、あなたの会社の名前を悪用した詐欺ビジネスを始めてしまったのです。

訪問者は入口の案内板を見て「ここは確かにexample.co.jpのビルだ」と信じて3階に行き、詐欺の被害に遭います。これがサブドメインテイクオーバーの仕組みです。本来削除すべきだった「案内板の情報」がDNS設定に相当し、「空き部屋」が解約後のクラウドサービスに該当します。

サブドメインテイクオーバーの現状

サブドメインテイクオーバーは、2014年にセキュリティ研究者Frans Rosenによって初めて体系的に報告されました。当初は17のサービスプロバイダーで可能とされていましたが、現在では100以上のサービスで攻撃可能であることが確認されています。

2025年1月には日本で大きな事件が発生しました。国土交通省、総務省、厚生労働省など複数の中央省庁において、過去に使用したサブドメインのDNS設定が削除されずに残っており、第三者が悪用できる状態にあったことが判明しました。特に国土交通省の「daitoshi.mlit.go.jp」では、実際に海外のオンラインカジノ広告サイトとして悪用されていました。政府機関のドメイン「go.jp」を使った不正サイトが運営されていたこの事件は、サブドメインテイクオーバーの危険性を日本中に知らしめる契機となりました。

国際的には、2025年2月にセキュリティ企業WatchTowrが実施した調査で、150個の廃止されたAWS S3バケットを再設定して2か月間観察したところ、800万件以上のリクエストが集まったことが報告されています。これらのリクエストには、世界各国の政府系ネットワーク、アメリカ軍事系ネットワーク、Fortune 100/500企業からのアクセスが含まれていました。

さらに2025年5月、Infobloxは「Hazy Hawk」と呼ばれる攻撃者グループの活動を報告しました。このグループは、米国政府系機関、大学、医療系企業、大手メディアのサブドメインを体系的に乗っ取り、マルウェア配布やフィッシング詐欺の拠点として悪用していました。Hazy Hawkが標的としているサービスには、Akamai、Amazon EC2/S3/Elastic Beanstalk、Azure、Cloudflare CDN、GitHub、Netlifyなどが含まれています。

セキュリティ企業Detectifyの調査によれば、2020年から2021年にかけてサブドメインテイクオーバーの脆弱性が25%増加し、ドメインあたりの脆弱性の中央値は2020年と比較して100%増加しています。また、Keytos Researchは、Azure環境だけで毎月15,000以上の脆弱なサブドメインを発見していますが、実際に対策を実施している組織はわずか2%に過ぎません。

HackerOneなどのバグバウンティプラットフォームにおいても、サブドメインテイクオーバーの報告件数は年々増加傾向にあり、2014年以降の統計では明確な上昇トレンドが確認されています。Uber、Lamborghini、Snapchat、USA.govなど、著名企業や政府機関でも被害が発生しており、もはや規模や業種を問わず、あらゆる組織が標的となる可能性があります。

サブドメインテイクオーバーで発生する被害は？

サブドメインテイクオーバーによる被害は、単なる技術的な問題にとどまらず、組織の信頼性や事業継続性に深刻な影響を与えます。このサイバー攻撃では、攻撃者が正規ドメインの権威を悪用できるため、被害は多岐にわたります。

サブドメインテイクオーバーの最大の特徴は、攻撃者がサーバーに侵入することなく、正規の手続きで乗っ取りを実行できる点です。そのため、従来のセキュリティ対策では検知が困難であり、被害発覚までに長期間を要することも少なくありません。

サブドメインテイクオーバーで発生する直接的被害

フィッシング詐欺の実行拠点化

乗っ取られたサブドメインは、正規の組織ドメインの一部として表示されるため、利用者は疑うことなくアクセスします。攻撃者はこの信頼性を悪用して、本物そっくりのログイン画面を設置し、利用者のIDやパスワード、クレジットカード情報などを窃取します。特に銀行やECサイトのサブドメインが乗っ取られた場合、多数の顧客が被害に遭う可能性があります。2020年にはShopifyのサブドメイン不正取得により、多数のEコマースサイトが影響を受ける大規模な攻撃が発生しました。

マルウェアの配布と拡散

攻撃者は乗っ取ったサブドメインを通じてマルウェアを配布します。正規ドメインからのダウンロードとして認識されるため、セキュリティソフトやブラウザの警告を回避しやすくなります。2025年にはNPMエコシステムにおいて、assets.npmjs.comのサブドメインテイクオーバーにより、攻撃者がS3バケットを制御し、広く使用されているJavaScriptライブラリに悪意のあるコードを注入する事件が発生しました。この事件では、数百万人の開発者が影響を受ける可能性がありました。

ブランドイメージの毀損と信頼性低下

サブドメインテイクオーバーは、組織のブランドイメージに長期的なダメージを与えます。2025年1月の日本の省庁事例では、政府機関のドメインがオンラインカジノ広告に悪用されたことで、行政機関のデジタル管理能力に対する国民の信頼が揺らぎました。企業の場合も同様で、自社ドメインが詐欺サイトや違法コンテンツの配信に使われれば、顧客離れや取引先との関係悪化を招きます。ソーシャルメディアでの拡散により、風評被害が加速する可能性も高くなります。

サブドメインテイクオーバーで発生する二次的被害

SEO操作とドメインレピュテーションの低下

攻撃者は乗っ取ったサブドメインを利用して、検索エンジンの順位を不正に操作します。大量のスパムコンテンツや低品質なリンクを設置することで、検索エンジンから組織全体のドメインがペナルティを受ける可能性があります。その結果、正規のウェブサイトの検索順位が低下し、新規顧客の獲得機会が失われます。また、メールサーバーのレピュテーションも低下し、正規のメールが迷惑メールとして扱われるようになる可能性があります。

サプライチェーン攻撃への発展

サブドメインテイクオーバーは、サプライチェーン攻撃の入口として機能します。大企業のサブドメインが乗っ取られると、攻撃者はそのドメインの信頼性を利用して、取引先企業や顧客を標的とした攻撃を展開します。Infobloxが報告したHazy Hawkのケースでは、正規企業のサブドメインを通じてマルウェアを配布し、ビジネスパートナーのネットワークに侵入する手法が確認されています。この攻撃により、一つの組織の管理不備が業界全体のセキュリティリスクとなります。

法的責任とコンプライアンス違反

サブドメインテイクオーバーによって個人情報が窃取された場合、組織は個人情報保護法やGDPRなどの法規制違反に問われる可能性があります。適切な管理体制を怠った過失として、監督官庁からの指導や罰金が科される可能性もあります。また、被害を受けた顧客からの損害賠償請求訴訟に発展するリスクもあります。2025年に発覚した日本の省庁事例では、デジタル庁がドメイン管理ガイドラインの改定を決定し、再発防止策の強化を各省庁に要請する事態となりました。

インシデント対応コストの発生

サブドメインテイクオーバーが発覚した場合、組織は緊急のインシデント対応を実施する必要があります。DNS設定の修正、影響範囲の調査、被害者への通知、広報対応など、多岐にわたる作業が必要となり、相当な人的・金銭的コストが発生します。Darktrace社の報告によれば、あるギャンブルサイトへの誘導に悪用されたサブドメインテイクオーバー事例では、検知から完全な回復まで数週間を要し、ブランド評判の回復にはさらに長期間を要したとされています。

サブドメインテイクオーバーの対策方法

サブドメインテイクオーバーの対策は、技術的な設定と組織的な運用管理の両面から実施する必要があります。攻撃の根本原因である「ライフサイクル管理の失敗」を防ぐため、サービス開始から終了までの全プロセスで適切な管理を行うことが重要です。

サブドメインテイクオーバーの対策を簡単に言うと？

サブドメインテイクオーバーの対策を、先ほどのビルのたとえで説明します。

あなたの会社のビル「example.co.jp」で部屋を借りる際の対策は、「部屋を借りたら必ず案内板に書き、解約したら必ず案内板から消す」という当たり前のルールを守ることです。

具体的には以下の3つを実践します。まず、新しい部屋（クラウドサービス）を借りる時は、先に部屋の契約を確定させてから案内板（DNS設定）に書きます。これにより、案内板だけ先に書いて部屋が空いている状態を防ぎます。

次に、部屋を解約する時は、真っ先に案内板から消してから部屋を返却します。これで「部屋は空いているのに案内板だけ残っている」という危険な状態を回避できます。

最後に、定期的にビル全体を見回り、使われていない部屋がないか、案内板に間違った情報が残っていないかをチェックします。これを自動化するシステムを導入すれば、人的ミスを減らせます。

DNS設定の適切なライフサイクル管理

サービス開始時の正しい順序

新しいウェブサイトやサービスを立ち上げる際は、必ず「クラウドサービスやホスティングの契約確定→DNS設定の追加」という順序を守ります。DNS設定を先に行うと、参照先が存在しない期間が発生し、その間に攻撃者がサービスを登録する可能性があります。GitHub PagesやAWS S3などのサービスでは、ドメイン所有権の検証を完了してからDNS設定を行うことで、乗っ取りのリスクを低減できます。

サービス終了時の確実な削除手順

サービス終了時は、「DNS設定の削除→クラウドサービスの解約」という逆の順序で作業を実施します。多くの組織では、コスト削減のため真っ先にクラウドサービスを解約しますが、これがダングリングレコードを生む主要因です。DNS設定は通常無料で維持できるため放置されがちですが、必ず削除を優先してください。総務省の特別定額給付金サイト「kyufukin.soumu.go.jp」の事例では、さくらインターネットのレンタルサーバを解約した後もCNAMEレコードが残存し、第三者による乗っ取りが可能な状態になっていました。

定期的なDNS監査の実施

組織が管理するすべてのドメインとサブドメインのインベントリを作成し、四半期ごとに監査を実施します。特にCNAMEレコードとNSレコードに注目し、参照先のサービスが実際に稼働しているかを確認します。日本レジストリサービス（JPRS）が提供する「DNS健全性チェッカー」や、digコマンドを使用した非再帰問い合わせにより、ダングリングレコードの有無を検証できます。Detectifyの調査では、定期監査を実施している組織は、サブドメインテイクオーバーのリスクを90%以上削減できることが報告されています。

組織体制とプロセスの整備

クロスファンクショナルな管理体制

サブドメインテイクオーバー対策は、IT部門だけでなく、マーケティング部門、広報部門、法務部門など、ドメインを利用するすべての部署が関与する必要があります。各部署がキャンペーンサイトや一時的なサービスを立ち上げる際のチェックリストを作成し、DNS設定の追加と削除を確実に記録する仕組みを構築します。CrowdStrikeが推奨する「DNS entry removal checklist」を活用することで、設定漏れを防止できます。

担当者変更時の引き継ぎ強化

ドメイン管理の担当者が変更される際、管理されているすべてのサブドメインとその用途、関連するクラウドサービスの一覧を確実に引き継ぎます。多くの組織では、前任者しか知らないサブドメインが存在し、それが放置される原因となっています。デジタル庁が2025年3月に改定したドメイン管理ガイドラインでも、担当者変更時のドキュメント整備と引き継ぎプロセスの明確化が強調されています。

セキュリティ教育と意識向上

サブドメインテイクオーバーのリスクと対策方法について、全従業員向けの教育プログラムを実施します。特に、ウェブサイトやサービスを運用する部署の担当者には、DNS設定の重要性とライフサイクル管理の必要性を理解してもらう必要があります。フィッシング対策協議会が実施した勉強会の資料を活用することで、具体的な事例を通じた効果的な教育が可能です。

技術的な対策とツールの活用

自動監視ツールの導入

サブドメインの状態を継続的に監視する自動化ツールを導入します。CrowdStrike Falcon Exposure Management、Darktrace、Qualys FlowなどのASM（Attack Surface Management）ツールは、ダングリングレコードの検出と警告機能を提供します。これらのツールは、新しいサブドメインの追加や既存サブドメインの変更を自動的に検知し、脆弱性が発生した場合に即座にアラートを送信します。

ドメイン所有権の検証強化

多くのクラウドサービスプロバイダーは、サブドメインテイクオーバー対策として、ドメイン所有権の検証プロセスを強化しています。GitHub Pagesでは、カスタムドメインを設定する際にTXTレコードを使用した所有権検証が必須となっています。Azureなども同様の仕組みを実装しており、これらのサービスを利用する際は、検証プロセスを確実に完了させることが重要です。

脆弱性の少ないサービス選定

新規サービスを導入する際は、サブドメインテイクオーバーに対する対策が実装されているプロバイダーを選定します。セキュリティコミュニティが管理する「can-i-take-over-xyz」リポジトリでは、各サービスの脆弱性状況が公開されています。ただし、この情報は常に最新とは限らないため、プロバイダーの公式ドキュメントも併せて確認する必要があります。

証明書管理の適正化

HTTPSで使用するSSL/TLS証明書の管理も重要です。サブドメインの証明書が有効期限切れになっていないか、不要になった証明書が失効（revoke）されているかを定期的に確認します。2025年の省庁事例では、国土交通省の一部サブドメインで2025年4月まで有効な証明書が残存しており、攻撃者がHTTPS通信で悪用できる状態になっていました。文部科学省を除く多くの省庁では証明書の無効化能力がなく、これが問題を深刻化させました。

インシデント対応体制の整備

緊急対応計画の策定

サブドメインテイクオーバーが発生した場合の対応手順を事前に策定します。DNS設定の即時削除、影響範囲の調査、被害者への通知、広報対応など、実施すべき作業を時系列で整理したプレイブックを準備します。中京大学の鈴木常彦教授のように、緊急避難的にサブドメインを保護できる体制を社内に構築することも検討すべきです。

ログ分析とフォレンジック

サブドメイン乗っ取りの痕跡を早期に発見するため、DNSクエリログやアクセスログを継続的に分析します。不審なトラフィックパターンや、本来アクセスがないはずのサブドメインへのリクエストを検知することで、被害の拡大を防止できます。Infobloxの調査では、ログ分析により平均30日早く攻撃を検知できることが報告されています。

ステークホルダーとの連携

サブドメインテイクオーバーは、自組織だけでなく顧客や取引先にも影響を及ぼします。インシデント発生時の連絡体制を事前に整備し、必要に応じて警察やセキュリティ機関（JPCERT/CC、IPAなど）への報告を迅速に行える体制を構築します。また、サブドメインを使用しているすべてのステークホルダーへの通知プロセスも明確化しておく必要があります。

サブドメインテイクオーバーに関連した攻撃手法

サブドメインテイクオーバーは単独で発生するだけでなく、他のサイバー攻撃と組み合わせることで、より深刻な被害をもたらします。ここでは、Webサイト・APIの弱点やサイバー攻撃の中でも、サブドメインテイクオーバーと密接に関連する3つの攻撃手法について解説します。

サプライチェーン攻撃

サプライチェーン攻撃は、信頼されたソフトウェアやサービスの供給経路を悪用する攻撃手法です。サブドメインテイクオーバーは、このサプライチェーン攻撃の強力な足がかりとなり、企業のセキュリティ対策を回避する手段として悪用されます。

典型的なシナリオは以下の通りです。大企業AがJavaScriptライブラリをホストするためにサブドメイン「cdn.companyA.com」を使用していたとします。多くのウェブサイトやアプリケーションがこのCDNからライブラリを読み込んでいました。企業Aがサービスを終了してCDNを解約した後もDNS設定が残っていた場合、攻撃者はこのサブドメインを乗っ取り、悪意のあるコードを含むライブラリを配布できます。

2025年に発生したNPMエコシステムの事例は、この攻撃パターンの深刻さを物語っています。「assets.npmjs.com」というサブドメインがテイクオーバーされ、攻撃者がS3バケットを制御することで、広く使用されているJavaScriptライブラリに悪意のあるコードを注入しました。数百万人の開発者が影響を受ける可能性があり、これらの開発者が作成したアプリケーションを通じて、さらに多くのエンドユーザーが危険にさらされました。

WatchTowrの2025年の調査では、150個の廃止されたAWS S3バケットを再設定して観察したところ、Fortune 100/500企業や政府系ネットワークから800万件以上のリクエストが集まりました。これは、サブドメインテイクオーバーが個別の組織の問題にとどまらず、ビジネスエコシステム全体に波及する脅威であることを示しています。

サプライチェーン攻撃としてのサブドメインテイクオーバーが特に危険なのは、信頼の連鎖が攻撃の拡散を助長する点です。セキュリティ対策が万全な大企業でも、取引先や提携先のサブドメインテイクオーバーを通じて侵害される可能性があります。このため、自組織だけでなく、ビジネスパートナーのセキュリティ体制も確認し、サードパーティリスク管理の一環としてサブドメインの管理状況を評価することが重要です。

フィッシング

フィッシング攻撃は、サブドメインテイクオーバーの最も一般的な悪用パターンです。攻撃者は乗っ取ったサブドメインに偽のログイン画面を設置し、ユーザーの認証情報やクレジットカード情報を窃取します。このサイバー攻撃は、正規ドメインの信頼性を悪用するため、従来のフィッシング詐欺よりも検知が困難です。

サブドメインテイクオーバーを利用したフィッシングの最大の特徴は、URLの信頼性が極めて高いことです。通常のフィッシング攻撃では、攻撃者は似たようなドメイン名を登録する必要がありますが（例：「amazon.com」の代わりに「arnazon.com」）、サブドメインテイクオーバーでは正規の組織ドメインをそのまま使用できます。例えば、「login.example.co.jp」という正規のサブドメインが乗っ取られた場合、ユーザーは疑うことなくアクセスしてしまいます。

2020年のShopify事例では、複数のEコマースサイトのサブドメインが不正取得され、顧客の決済情報を窃取するフィッシングサイトとして悪用されました。Uber社でも、auth.uber.comの認証バイパス攻撃がsaostatic.uber.comのサブドメインテイクオーバーを起点として実行された事例が報告されています。

さらに、サブドメインテイクオーバーによるフィッシングは、Cookie の読み取りやセッション乗っ取りにも発展します。サブドメイン（subdomain.example.com）は親ドメイン（example.com）のCookieを設定できるため、攻撃者は正規サービスのセッション情報を窃取し、ユーザーアカウントを完全に乗っ取ることが可能になります。適切なセキュリティ対策により、このような被害を防ぐことが重要です。

DNSキャッシュ汚染／ドメイン乗っ取り

DNSキャッシュ汚染（DNS Cache Poisoning）とドメイン乗っ取りは、サブドメインテイクオーバーと同様にDNSの仕組みを悪用する攻撃手法です。サブドメインテイクオーバーが「管理不備による設定ミス」を突くのに対し、DNSキャッシュ汚染は「DNSサーバーへの直接攻撃」によって不正な情報を注入します。両者はWebサイト・APIの弱点を突く代表的なサイバー攻撃です。

両者の関連性は、攻撃の最終的な目的が共通している点にあります。サブドメインテイクオーバーで乗っ取られたサブドメインは、DNSキャッシュ汚染攻撃の踏み台として利用される可能性があります。攻撃者は、正規ドメインの一部として認識されるサブドメインを利用することで、ユーザーや他のDNSサーバーの信頼を獲得し、さらに広範囲なDNS汚染を実行できます。

Infobloxが報告した「Sitting Ducks攻撃」では、サブドメインテイクオーバーとDNS再委任を組み合わせた高度な手法が使用されていました。2018年以降、この手法により数万のドメインが乗っ取られており、100万以上の登録ドメインが脆弱である可能性があると推定されています。攻撃者はダングリングレコードを悪用してサブドメインを乗っ取り、その後DNSの権威サーバー自体を不正に再委任することで、ドメイン全体の制御を奪取しました。このような複合的な攻撃に対しては、包括的なセキュリティ対策が不可欠です。

サブドメインテイクオーバーのよくある質問

サブドメインテイクオーバーはどうやって検知できますか？

サブドメインテイクオーバーの脆弱性を検知する方法は主に3つあります。

まず、手動でのDNS設定確認です。「dig」コマンドや「nslookup」コマンドを使用して、サブドメインのCNAMEレコードやNSレコードが指す先が実際に稼働しているかを確認します。特に「NXDOMAIN」「404エラー」「このバケットは存在しません」といったメッセージが返ってくる場合は、ダングリングレコードの可能性が高いです。JPRSが提供する「DNS健全性チェッカー」を使用すると、より詳細な診断ができます。

次に、自動監視ツールの活用です。CrowdStrike Falcon Exposure Management、Detectify、Qualys Flowなどの専門ツールは、組織のすべてのサブドメインを継続的にスキャンし、脆弱性を自動的に検出します。これらのツールは、新しいサブドメインの追加や既存サブドメインの状態変化を即座に検知し、アラートを送信するため、人的ミスによる見落としを大幅に削減できます。

最後に、外部からの通報に注意することです。セキュリティ研究者やホワイトハッカーが脆弱性を発見し、組織に報告する場合があります。2024年末から2025年初頭にかけて、日本の省庁のダングリングレコードは、中京大学の鈴木常彦教授による調査と保護活動によって明らかになりました。このような外部からの指摘を真摯に受け止め、速やかに対応することが重要です。

クラウドサービスを解約したらDNS設定は自動で削除されますか？

いいえ、クラウドサービスの解約とDNS設定の削除は完全に独立したプロセスです。多くの組織がこの点を誤解しており、これがサブドメインテイクオーバーの主要な原因となっています。

クラウドサービス（AWS S3、GitHub Pages、Azureなど）を解約すると、そのサービス側のリソースは削除されます。しかし、自組織が管理するDNSサーバーに設定されたCNAMEレコードやNSレコードは、手動で削除しない限り永続的に残り続けます。これは、DNSサービスが通常無料で維持できるため、自動削除の仕組みがないことも一因です。

総務省の特別定額給付金サイト「kyufukin.soumu.go.jp」の事例では、さくらインターネットのレンタルサーバを解約した後も、CNAMEレコードが残存し、第三者による乗っ取りが可能な状態でした。同様に、国土交通省の「daitoshi.mlit.go.jp」も、2015年度にサービスを終了した後、DNS設定が約10年間放置されていました。

したがって、クラウドサービスを解約する際は、必ず事前にDNS設定を削除することを徹底する必要があります。理想的には、「DNS設定削除→24時間待機（DNS情報の伝播）→クラウドサービス解約」という手順を踏むことで、攻撃者が介入する隙を与えません。

小規模な企業でもサブドメインテイクオーバーの対策は必要ですか？

はい、企業規模にかかわらず、サブドメインを使用しているすべての組織で対策が必要です。

サブドメインテイクオーバーの攻撃者は、組織の規模や知名度ではなく、脆弱性の存在を基準に標的を選びます。むしろ、セキュリティリソースが限られる中小企業の方が、管理が行き届かずダングリングレコードが放置されやすい傾向があります。Detectifyの2021年の調査では、スキャンしたドメインの4分の1以上で何らかの脆弱性が検出されており、ドメインあたりの脆弱性の中央値は前年比で2倍に増加しています。

また、小規模企業でも、取引先企業や顧客への影響は深刻です。例えば、地域の信用金庫や医療機関のサブドメインが乗っ取られてフィッシングサイトとして悪用された場合、地域住民の個人情報や金融情報が危険にさらされます。ビジネスパートナーとしての信頼も失われ、取引停止や契約解除につながる可能性があります。

幸いなことに、基本的な対策は高額な投資を必要としません。サービス終了時にDNS設定を確実に削除するという基本的なプロセスを徹底するだけでも、リスクを大幅に削減できます。四半期ごとのDNS監査も、digコマンドなどの無料ツールで実施可能です。小規模企業こそ、限られたリソースを効率的に活用するため、予防的な対策に注力すべきです。

サブドメインテイクオーバーされた場合、どのように対応すればよいですか？

サブドメインテイクオーバーが発覚した場合、迅速かつ体系的な対応が必要です。

第一に、DNS設定の即時削除です。影響を受けたサブドメインのDNSレコードを直ちに削除します。DNSの変更が世界中に伝播するまでには最大48時間かかる場合がありますが、通常は数時間で完了します。この間も攻撃が継続される可能性があるため、並行して次の対策を実施します。

第二に、影響範囲の調査です。乗っ取られたサブドメインへのアクセスログを分析し、どのようなコンテンツが配信されていたか、どれくらいのユーザーがアクセスしたかを特定します。フィッシングサイトとして悪用されていた場合は、窃取された可能性がある情報の種類（ID、パスワード、クレジットカード情報など）を評価します。

第三に、ステークホルダーへの通知です。影響を受けた可能性がある顧客や取引先に対して、速やかに状況を説明し、必要な予防措置（パスワード変更、不審な取引の確認など）を案内します。個人情報保護法やGDPRなどの法規制に基づき、監督官庁への報告が必要な場合もあります。

第四に、SSL/TLS証明書の失効です。乗っ取られたサブドメインの証明書が有効な場合、攻撃者がHTTPS通信で悪用している可能性があります。証明書発行機関に連絡し、証明書を即座に失効（revoke）させます。2025年の省庁事例では、国土交通省の一部サブドメインで証明書が有効なまま残っており、問題を深刻化させました。

最後に、根本原因の分析と再発防止策の実施です。なぜダングリングレコードが発生したのか、組織のどのプロセスに問題があったのかを徹底的に調査します。その上で、本記事で解説したような対策（ライフサイクル管理の強化、定期監査、自動監視ツールの導入など）を実施し、同様の事態が再発しないようにします。

サブドメインテイクオーバーとドメインハイジャックの違いは何ですか？

サブドメインテイクオーバーとドメインハイジャックは、いずれもドメインの不正利用という点で共通していますが、攻撃の仕組みと対象が異なります。

サブドメインテイクオーバーは、組織が管理するサブドメイン（例：blog.example.com）のDNS設定ミスを悪用する攻撃です。攻撃者は、ダングリングレコードが指す先のクラウドサービスに正規の手続きでアカウントを作成し、そのサブドメインを制御します。ドメインレジストラやDNSサーバーへの侵入は必要なく、組織の運用プロセスの隙を突く攻撃です。

一方、ドメインハイジャックは、ドメイン自体（例：example.com）の登録情報を不正に変更し、ドメイン全体の制御を奪取する攻撃です。攻撃者は、ドメインレジストラのアカウントに不正アクセスしたり、レジストラの管理者を騙したりして、ドメインの所有者情報やネームサーバー設定を書き換えます。これにより、ドメイン全体とそのすべてのサブドメインが攻撃者の支配下に置かれます。

技術的な観点から見ると、サブドメインテイクオーバーは「DNS設定とクラウドリソースの整合性の問題」であり、ドメインハイジャックは「ドメイン登録情報の不正変更」です。サブドメインテイクオーバーでは親ドメインの制御は奪われませんが、ドメインハイジャックではドメイン全体が失われます。

ただし、両者が組み合わさることもあります。Infobloxが報告した「Sitting Ducks攻撃」では、サブドメインテイクオーバーから始まり、最終的にはNSレコードの不正な再委任によってドメイン全体が乗っ取られる高度な攻撃手法が確認されています。2018年以降、この手法により数万のドメインが被害を受けており、100万以上のドメインが脆弱であると推定されています。

したがって、サブドメインテイクオーバー対策だけでなく、ドメインレジストラのアカウント保護（強力なパスワード、多要素認証、レジストラロックなど）も併せて実施することが、包括的なドメインセキュリティには不可欠です。