## この記事でわかること - TLD swap 攻撃の代表的な罠 TLD - なぜ `.cm` `.om` `.ce` が狙われやすいのか - 日本企業向けの防御取得と監視の判断 - co.jp / ne.jp の関連リスク ## TLD swap 攻撃とは ![TLD swap の罠](/blog/tld-swap-risk-jp/trap-tlds.svg) ユーザが正規ドメインの **TLD 部分をタイプミス**することを狙い、攻撃者が類似 TLD でドメインを取得する手法。 代表的な罠 TLD(`.com` ターゲット): | 罠 TLD | 由来 | リスク | |---|---|---| | **`.cm`** | カメルーン ccTLD | `.com` の `o` を打ち忘れ | | **`.om`** | オマーン ccTLD | `.com` の `c` を打ち忘れ | | **`.ce`** | 一部レジストラの実験 | `.com` の `om` 部分をミスタイプ | | **`.co`** | コロンビア ccTLD | `.com` の `m` を打ち忘れ | | **`.cn`** | 中国 ccTLD | `m` と `n` の隣接キー | | **`.con`** | 一部レジストラ | `m` を `n` に置換 | `.co` は本来コロンビア用ですが、グローバル展開され(Twitter の `t.co` 等)一定の正当性もあります。一方 `.cm` `.om` は **タイプミス専用**と言えるレベルで悪用されています。 ## なぜ罠 TLD が機能するのか ### 1. `.cm` は文字通り 1 文字違い `amazon.com` → `amazon.cm` は **`o` をタイプし忘れた**ユーザがそのままアクセスしてしまう。 ### 2. レジストラが緩い `.cm` `.om` のレジストラは IDN チェックや WHOIS の真正性確認が緩く、攻撃者が安価に大量取得可能。 ### 3. ブラウザのオートコンプリート補正が効かない Chrome / Edge は `.com` の打ち忘れを自動補正することがありますが、確信度が低い場合は補正せず `.cm` のまま開いてしまう。 ### 4. 過去に大規模事例 Cameroon Cybercrime(2009 頃)以降、`amazon.cm`(既に Amazon が確保)等の防御取得が話題に。中小企業も同パターンで標的になります。 ## 日本企業向けの防御取得判断 ![日本企業の防御取得判断](/blog/tld-swap-risk-jp/jp-defense.svg) ### 取得すべき優先度(高い順) 1. **`example.co.jp`** に対する `example.com` / `example.jp` / `example.ne.jp`(複数 JP TLD) 2. **`.cm` / `.om` / `.co`** の罠 TLD 3. 主要海外向け **`.com`**(自社 ccTLD と分かれる場合) 4. 国際展開予定がある場合は **進出予定国の ccTLD** ### 取得しなくてよい - 全ての `.xyz` `.top` `.online` 等の新 gTLD(数百種ある、防御は限界) - 業界とまったく無関係な ccTLD(`.tv` `.mu` 等) 費用対効果で **5〜10 ドメインを年 $50〜100 程度**で防御するのが現実的です。 ## co.jp / ne.jp / 他の JP 関連 TLD のリスク | 攻撃パターン | 例(example.co.jp が正規) | |---|---| | **TLD 短縮** | example.jp | | **属性 TLD 入れ替え** | example.ne.jp / example.or.jp | | **JP → 国際 swap** | example.com / example.asia | | **登録順による先取り** | (新規ブランド立ち上げ時、競合に先回りされる) | JPRS(`.jp` レジストラ)は IDN や混在文字に厳しいので、Punycode 攻撃のリスクは比較的低い。一方で **属性 TLD 間の swap**(`co.jp` → `ne.jp` / `or.jp`)は防御取得を検討すべきです。 ## 監視の運用 新規 TLD が増え続けるため「全防御」は不可能です。代わりに: 1. **半年に 1 回**: ドメイン番人 [類似ドメイン棚卸し](/typosquat/check) で TLD swap も含めて棚卸し 2. **常時**: Google アラートでブランド名 + フィッシングキーワード 3. **新規事業立ち上げ時**: 主要 TLD は事前確保 ## まずは現状を把握しましょう [類似ドメイン棚卸し 単発チェック](/typosquat/check) で TLD swap を含む 200+ 候補を 30 秒で網羅できます。 棚卸しと防御取得の判断支援は [類似ドメイン棚卸し+ブランド保護診断](/contact)(5 万円〜)でご相談ください。 関連記事: - [Typosquatting とは](/blog/typosquatting-toha) - [ブランドドメイン棚卸しの実践 5 ステップ](/blog/brand-domain-junkin-bunseki) - [EC サイトの類似ドメイン被害事例 5 選](/blog/ec-typosquat-jirei) 総合点検は [無料のドメイン診断](/diagnose) を、SSL 単独は [SSL 単発チェック](/ssl/check) をご利用ください。