## この記事でわかること - ドメインを「持っている」だけでは守れず、3 つの防御線を同時に維持する必要があること - Transfer Lock(クライアント転送ロック)が解除されているとドメイン奪取につながる仕組み - DNSSEC を有効にしている場合、DS と DNSKEY の整合が崩れると DNS 全停止になる落とし穴 ## ドメイン管理の 3 つの防御線 ドメイン管理というと「期限切れに気をつけましょう」だけが注目されがちですが、実務では以下の 3 つの防御線を同時に維持する必要があります。 ![ドメイン管理の3つの防御線](/blog/domain-management-defense/three-defenses.svg) - **① 有効期限**: 期限切れ → 全停止に直結(メール・サイト・SaaS 連携すべて) - **② Transfer Lock**: 解除されている → 第三者が勝手に他社へ移管できる - **③ DNSSEC チェーン整合**: 親(レジストラ)の DS と自ゾーンの DNSKEY のずれ → DNS 自体が引けなくなる それぞれ独立した防御線なので、1 つ落ちると別の角度から事業が止まります。順に見ていきます。 ## 有効期限|全停止に直結する最大リスク ドメインには登録時に決めた有効期限があり、放置すると失効します。失効後はおおむね以下の段階を経て、最終的に第三者が取得可能になります。 ![ドメイン期限切れの3段階](/blog/domain-management-defense/expiry-stages.svg) ### 段階別の挙動 - **更新猶予期間(Auto-renew Grace、約 0〜45 日)**: 多くのレジストラで、期限切れ後でも数日〜数週間は通常料金で更新可能 - **Redemption Grace Period(約 30 日)**: 期限切れの状態が続くと「復旧期間」に移行。**この期間に復旧するには高額な復旧料金(数万円規模)が必要**になることが多い - **Pending Delete(約 5 日)**: 復旧期間も過ぎると削除待ち状態に入り、その後は誰でも取得可能になる 期限切れ中は WHOIS / RDAP の有効期限情報が「切れている」状態となり、メール認証・サイト・SaaS 連携など、ドメインを使うすべての機能が停止します。 ### 中小企業の現実的な防御策 - レジストラの自動更新設定を確認し、有効期限の 60 日前にも目視チェックする運用を組む - クレジットカードの期限切れで自動更新が失敗するケースが多いので、年 1 回の決済情報メンテナンスを習慣化する - 期限切れからの復旧手順は [ドメイン更新忘れ|Redemption からの復旧手順](/blog/domain-renewal-recovery) で解説しています ## Transfer Lock|ドメイン奪取の主要な防御線 Transfer Lock(正式名称: clientTransferProhibited)は、レジストラ側で設定する「他社レジストラへの移管を一切受け付けない」というロックです。RDAP/WHOIS の status 欄に表示されます。WHOIS に並ぶ各ステータスコードの読み方は[ドメインのステータスコード一覧と危険信号](/blog/epp-domain-status-codes)で解説しています。 ### なぜ重要か ドメイン管理画面のログイン情報(管理者メールやパスワード)を奪われた場合、攻撃者は以下の流れでドメインを乗っ取ろうとします。 1. レジストラの管理画面に不正ログイン 2. **Transfer Lock を解除** 3. AuthCode(移管承認コード)を取得 4. 別のレジストラに移管申請 5. 移管完了後、元の所有者は管理権を失う この流れで「**Transfer Lock が解除された状態の時間**」を縮めることが、奪取防止の生命線です。Transfer Lock を常時 ON にしておけば、たとえログインを許しても攻撃者は移管手続きの第一歩で止まります。 ### Transfer Lock の確認方法 レジストラの管理画面、または WHOIS / RDAP の status 欄で確認できます。状態の表示例は以下です。 - `clientTransferProhibited` → ロック有効(推奨) - `ok` または該当なし → ロック解除中(要対応) ### 解除すべきケース - 自社で別のレジストラへ正規に移管する直前のみ。移管完了後は速やかに再ロック - 第三者から「Transfer Lock を外してください」と要請された場合は要警戒。社内手続きとして二段階確認を必須化する ドメイン管理を外注する際の論点は [ドメイン管理 外注のメリット(記事準備中)](/diagnose) でも整理予定です。 ## DS と DNSKEY の整合|DNSSEC チェーンを切らない DNSSEC を有効にしている場合、レジストラ側に登録した **DS(Delegation Signer)レコード**と、自分の DNS ゾーンに公開した **DNSKEY レコード**の整合が必要です。両者のハッシュ値が一致して初めて、上位の DNS サーバーから「このゾーンは正しく署名されている」と認められます。 ### 整合が崩れると何が起きるか DS だけが残って DNSKEY が消えた、または鍵を変更したのに DS を更新し忘れた場合、**「DS はあるが検証できない」状態となり、対応する DNS リゾルバ(Cloudflare 1.1.1.1、Google 8.8.8.8 など)が SERVFAIL を返します**。結果として、DNS 検証を行うリゾルバ経由のユーザーから自社ドメインが一切引けなくなります。 これは DNSSEC を入れていない場合より深刻な障害です。「DNSSEC は止めておきましょう」と判断する中小企業が多い理由はここにあります。 ### 中小企業の判断基準 - すでに DNSSEC を有効にしている → DS と DNSKEY の整合を**運用ルール化**する。鍵の交換時は必ず DS 側を先に更新 - これから DNSSEC を有効にしようか検討中 → 依存サービス(Google Workspace / Microsoft 365 等)が DNSSEC 検証必須でなければ後回しでよい - 一度だけ有効にした記憶があるが現状不明 → 今すぐ無料診断で確認することを推奨 DNS インフラ全般の整理は [NS 冗長性と DNS 健全性|中小企業の DNS リスク](/blog/dns-infra-health) も参照してください。 ## まとめ|3 つの防御線をどう守るか 中小企業がドメイン管理の防御線を維持するための優先順位は以下です。 - **必須**: ドメイン有効期限の 60 日前監視と自動更新の決済情報メンテナンス - **必須**: Transfer Lock を常時 ON。移管時のみ短時間で OFF/ON - **条件付き**: DNSSEC 有効ゾーンは DS-DNSKEY 整合を運用ルール化 3 つのうちどれが欠けてもビジネスが止まります。地味ですが、メール認証や SSL より上流の「ドメイン自体の保有」を守るレイヤーは、優先度を下げないことを推奨します。 ## まずは現状を把握しましょう [無料のドメイン診断](/diagnose) では、ドメイン有効期限の残日数・Transfer Lock の状態・DS と DNSKEY の整合を一括で確認できます。設定状況がひと目で把握できるので、対策の優先順位を考える出発点としてご活用ください。 「ドメイン管理を専門家に任せたい」「Transfer Lock の状態を確認できない」といった場合は、[お問い合わせ](/contact) からご相談いただけます。現在の状態を整理し、運用ルールの整備までサポートします。