中古ドメインのリスクと購入前チェック
中古ドメインはSEO評価を引き継げる一方、過去のペナルティやブラックリスト登録でSEOが伸びず、メールも届かなくなるリスクがあります。3大リスクと購入前のチェックリストを解説します。
約 4 分で読めます
「セキュリティ」の記事
タグ「セキュリティ」が付けられた記事を新しい順に表示しています。
ドメインのステータスコード一覧と危険信号
clientHoldやpendingDeleteなど、ドメインのステータスコード(EPPステータス)の意味を一覧で解説。サイトやメールが止まる危険信号と、奪取を防ぐ付けるべきロックの見分け方がわかります。
約 4 分で読めます
Whois公開の個人情報リスクと公開代行の必要性
ドメイン登録時のWhoisでは氏名・住所・電話・メールが公開され、スパムや詐欺メールの温床になります。Whois情報公開代行(プライバシー保護)の仕組みと必要性、設定し忘れのリスクを解説します。
約 5 分で読めます
上場企業のDMARC設定率は?2026年実態調査
東証プライム上場企業663社のドメインを公開情報から調査。DMARC未設定26.2%、監視モード(p=none)のまま50.8%。大企業でも約8割が実際にはなりすましをブロックできていない実態と、自社の確認方法を解説します。
約 4 分で読めます
自社ドメインのなりすまし セルフチェック手順
自社ドメインがなりすまされやすいかを自分で確認する方法を解説。SPF / DKIM / DMARC の設定有無と強度を順にチェックし、放置リスクと対処の優先順位を Web 担当者向けに整理します。
約 6 分で読めます
オープンリレーの確認と対策|メールサーバ運用者向け
自社メールサーバがオープンリレーになっていないかを確認する方法と、Postfix での対策を整理しました。第三者中継の危険性から、テスト手順、認証必須化までを運用担当者向けに解説します。
約 7 分で読めます
STARTTLSとSMTPSの違い|587と465の使い分け
STARTTLSとSMTPS(Implicit TLS)の違いを、ポート25・465・587の役割とあわせて整理。RFC 8314の推奨に沿って587か465どちらを選ぶべきかを、設定例とよくある誤りまで解説します。
約 7 分で読めます
.jp の Whois プライバシー保護とは
.jp ドメインの Whois は JPRS が一元管理し、gTLD のような完全非公開はできません。登録者情報非表示設定と公開連絡窓口の代理公開の違いを Web 担当者向けに整理します。
約 6 分で読めます
DNS CAA レコードとは|中小企業の設定手順
CAA レコードはどの認証局に SSL 証明書の発行を許可するかを DNS で宣言する仕組みです。仕組み・必要な理由・Cloudflare での設定手順・中小企業が注意すべき点を Web 担当者向けに解説します。
約 8 分で読めます
Permissions-Policy と CSP の違い
セキュリティヘッダ Permissions-Policy と CSP の違いを解説。CSP はコンテンツとスクリプト実行、後者はカメラ等のブラウザ機能を制御します。併用の設定例も紹介します。
約 8 分で読めます
信頼できる送信元か確認する 3 つの方法
「これは本当に取引先からのメール?」と疑ったときに Web 担当者が試せる 3 つの確認方法を、専門ツールなしでできる順に整理しました。送信ドメイン認証の見方も解説。
約 3 分で読めます
Catch-all メールアドレスのリスクと代替策|Web 担当者向けの判断材料
存在しないメールアドレス宛のメールを全て特定のメールボックスで受信する catch-all 設定は、スパム・なりすまし・列挙攻撃の温床になります。具体的なリスク、運用上の落とし穴、エイリアス運用への移行手順を Web 担当者向けに整理しました。
約 3 分で読めます
DKIM リプレイ攻撃の仕組みと対策|署名済みメールを悪用される問題
DKIM で署名されたメールが攻撃者によって大量に転送(リプレイ)されると、署名は有効なまま無関係な宛先にスパムが届く問題があります。仕組み・実例・送信ドメイン側の対策(短い x= 期限 / l= 制限 / 配信制御)を Web 担当者向けに整理します。
約 4 分で読めます
ブランドドメイン棚卸しの実践 5 ステップ|中小企業の総務・法務担当者向け
貴社ブランドのドメインリスクを棚卸しする実践 5 ステップをWeb 担当者向けに整理。商標 / 類似ドメイン / TLD バリエーション / 国際展開 / 譲渡履歴の観点別チェックリスト、半年に 1 回の運用ルール化まで解説します。
約 2 分で読めます
ドメイン侵害の DMCA 通報テンプレ|Web 担当者向け実例とレジストラ別の連絡先
貴社ブランドを悪用した偽ドメインに対する DMCA 通報の書き方をWeb 担当者向けに整理。Verisign / GoDaddy / お名前.com 等のレジストラ別連絡先、英文・和文テンプレ、通報後のフロー、申請代行は弁護士領域である理由まで解説します。
約 5 分で読めます
dnstwist の使い方|OSS でブランド類似ドメインを網羅列挙する手順
dnstwist(OSS)でブランドの類似ドメインを 11 パターン × 主要 TLD で網羅列挙する手順をWeb 担当者向けに整理。インストール / 基本コマンド / 結果の絞り込み / 自動化の組み込みまで実例付きで解説します。
約 4 分で読めます
EC サイトの類似ドメイン被害事例 5 選|中小事業者が学ぶべき教訓
EC サイト運営者が遭遇した類似ドメイン(typosquat)被害の公開事例 5 件を中小事業者の視点で整理。フィッシング・偽商品販売・アフィリエイト誘導・ブランド毀損のパターンと対策を解説します。
約 3 分で読めます
Homoglyph 攻撃とは?キリル・ギリシャ・漢字を使った類似ドメインの見分け方
Homoglyph 攻撃(同形文字攻撃)の仕組みを図解で解説。Cyrillic / Greek / 漢字を ASCII の代わりに使った Punycode IDN ドメインがブラウザのアドレスバーで判別困難になる仕組みと、Web 担当者向けの検出・対策手順を整理しました。
約 3 分で読めます
偽ドメインを検出する方法 5 選|dnstwist と CT log の組み合わせ
貴社ブランドに似た偽ドメインを検出する 5 つの方法をWeb 担当者向けに解説。dnstwist による候補生成、CT log(証明書透明性)からの実在確認、商標監視サービス、Google アラート、自社用棚卸しツールの長所短所と組み合わせ方を整理しました。
約 3 分で読めます
Punycode を悪用した偽ドメインの仕組みと中小企業の対策手順
Punycode(RFC 3492)が IDN(国際化ドメイン名)を ASCII にエンコードする仕組みと、攻撃者が `xn--` プレフィックスを使った Homoglyph 偽ドメインを登録する手口をWeb 担当者向けに整理。検出 / 対策 / 防御取得の判断軸まで解説します。
約 3 分で読めます
SSL Labs で A+ を取得する完全ガイド|Web 担当者向け 5 つのチェックポイント
SSL Labs(ssllabs.com)の評価で A+ を取得するための具体的な設定変更をWeb 担当者向けに整理。証明書 / プロトコル / 暗号スイート / HSTS / OCSP Stapling の 5 ポイントを Nginx / Apache 別に解説します。
約 4 分で読めます
短縮 URL の安全性を確認する方法|リダイレクト追跡 + ブラックリスト照会で 30 秒で判定
bit.ly / t.co / ow.ly 等の短縮 URL の最終リダイレクト先を確認し、ブラックリスト判定(Safe Browsing / VirusTotal / PhishTank)を経由で安全性をチェックする方法をWeb 担当者向けに整理。クリック前に確認できる無料ツールを紹介します。
約 3 分で読めます
TLD swap 攻撃のリスク|example.com → example.co の罠と日本企業の対策
TLD swap(example.com → example.co / example.cm / example.cn)攻撃のリスクと、日本企業が取るべき防御取得・監視の手順を整理。.co / .cm / .om / .ce 等の罠 TLD と、co.jp / ne.jp の関連リスクまで解説します。
約 3 分で読めます
Typosquatting(タイポスクワッティング)とは?仕組みと影響を 5 分で解説
Typosquatting(タイポスクワッティング)の仕組みを図解で 5 分で理解できるよう解説。なぜ「1 文字違いのドメイン」が攻撃の踏み台になるのか、Punycode / Cyrillic 置換の実例、中小企業のブランド毀損リスクと対策を整理します。
約 3 分で読めます
UDRP(統一ドメイン名紛争処理方針)申請手順|WIPO への取消請求の流れ
UDRP(Uniform Domain-Name Dispute-Resolution Policy)に基づき、貴社ブランドを侵害する偽ドメインの取消・移転請求を WIPO に申請する手順をWeb 担当者向けに整理。3 要件・費用・期間・申請代行は弁護士領域である理由を解説します。
約 3 分で読めます
退職者が立てた検証環境サブドメインの棚卸し方法|Web 担当者向け実践手順
退職者が在職中に立てた staging / dev / app などの検証環境サブドメインを、退職後に放置されたまま危険な状態にしないための棚卸し手順と、退職時のチェックリストをWeb 担当者向けに整理しました。
約 4 分で読めます
AWS S3 のサブドメインテイクオーバー対策|Web 担当者向け実践手順
AWS S3 で Static Website Hosting バケットを削除した後にカスタムドメインの CNAME を消し忘れると、攻撃者に同名バケットで占有される dangling CNAME 問題が発生します。検出方法と是正手順を整理します。
約 4 分で読めます
CT log でサブドメインを列挙する方法
CT log(証明書透明性)から自社のサブドメインを網羅的に列挙する方法を解説。crt.sh と CertSpotter の違い、検索クエリ、API 自動化、攻撃にも使われる理由まで Web 担当者向けに整理します。
約 5 分で読めます
dangling CNAME(宙ぶらりん CNAME)とは?リスクと検出方法をWeb 担当者向けに整理
dangling CNAME(宙ぶらりん CNAME)の意味と、サブドメインテイクオーバーへ繋がる仕組みを図解で解説。CT log と DNS から自社の dangling CNAME を検出する手順、是正方法をWeb 担当者向けに整理します。
約 4 分で読めます
GitHub Pages のサブドメインテイクオーバー対策|Web 担当者向け実践手順
GitHub Pages を解約・削除した後にカスタムドメインの CNAME を消し忘れると、攻撃者に同名リポジトリで占有される dangling CNAME 問題が発生します。検出方法と是正手順をWeb 担当者向けに整理します。
約 3 分で読めます
Heroku のサブドメインテイクオーバー対策|Web 担当者向け実践手順
Heroku でアプリを削除した後にカスタムドメインの CNAME を消し忘れると、攻撃者に同名アプリで占有される dangling CNAME 問題が発生します。検出方法と是正手順をWeb 担当者向けに整理します。
約 3 分で読めます
シャドー IT サブドメイン棚卸しの実践手順|Web 担当者・情シス・制作会社向け
営業部や開発部が情シスを通さずに契約・解約した SaaS のサブドメイン残骸(シャドー IT)を、CT log + DNS から網羅的に洗い出す実践手順をWeb 担当者向けに整理しました。
約 3 分で読めます
Web 担当者向け サブドメイン棚卸しチェックリスト|半年に 1 回の運用ルール
Web 担当者・情シス・制作会社向けに、サブドメイン棚卸しの 12 項目チェックリストと半年に 1 回の運用フローを整理。CT log + DNS + SaaS 占有確認まで、現実的に回せる手順にまとめました。
約 3 分で読めます
サブドメインテイクオーバーの公開事例 5 選|EC・スタートアップ・制作会社が学ぶべき教訓
Microsoft / Starbucks / Uber などで公開されたサブドメインテイクオーバー事例 5 件を EC・スタートアップ・制作会社の視点で整理。攻撃者がどのように dangling CNAME を見つけて悪用したか、どこに落とし穴があったかを解説します。
約 4 分で読めます
サブドメインテイクオーバーとは?仕組みと EC・スタートアップ・制作会社への影響を 5 分で解説
サブドメインテイクオーバー(subdomain takeover)の仕組みを図解で 5 分で理解できるよう解説。dangling CNAME がなぜ攻撃の踏み台になるのか、EC ブランドやスタートアップがフィッシングに悪用されるリスクと対策を整理します。
約 5 分で読めます
メールセキュリティ|中小企業・スタートアップ向けの最低限 3 層防御
Web 担当者が IT 予算を抑えながら取り組めるメールセキュリティの全体像を、認証・送信・受信の3層に分けて整理します。何から始めれば被害を防げるか、優先順位とあわせて解説。
約 4 分で読めます