## この記事でわかること

- Typosquatting（タイポスクワッティング）の仕組み
- 11 パターンの代表的な攻撃手法
- 中小企業のブランドが受ける実害
- 棚卸しと是正の進め方

## Typosquatting とは

![Typosquatting の仕組み](/blog/typosquatting-toha/mechanism.svg)

ユーザのタイプミスを狙って **正規ドメインに似たドメイン**を取得し、フィッシング・広告誘導・ブランド毀損に悪用する攻撃手法です。

例:
- `examp1e.com`（l→1）
- `еxample.com`（先頭が Cyrillic е）
- `example.co`（.com → .co）
- `examle.com`（p の omission）

被害の実態は HackerOne の Bug Bounty 報告や警察庁レポートで日常的に観測されており、**中小企業のブランドも標的**になります。

## 11 パターンの代表的な攻撃手法

![11 パターンの攻撃手法](/blog/typosquatting-toha/patterns.svg)

| パターン | 例（example.com を対象） |
|---|---|
| addition | examplea.com |
| bitsquatting | exampme.com（m の bit flip） |
| homoglyph | еxample.com（Cyrillic e） |
| hyphenation | ex-ample.com |
| insertion | exqample.com |
| omission | xample.com / examle.com |
| repetition | exxample.com |
| replacement | exqmple.com（QWERTY 隣接） |
| subdomain | ex.ample.com |
| transposition | exmaple.com |
| tld-swap | example.cm / example.co / example.cn |
| vowel-swap | axample.com |

10 文字程度のブランド名で **200〜300 候補**が生成可能です。

## 中小企業の実害

### 1. フィッシングメールの踏み台
偽ドメイン（`mybrand.com` 風）から請求書詐欺メールが取引先に届く。被害は取引先側で発生。

### 2. ブランド毀損
偽ロゴ・偽商品・偽キャンペーンページを偽ドメインで公開され、SNS 拡散される。

### 3. アフィリエイト誘導
タイプミスで偽ドメインに飛んだユーザを、競合製品 / 怪しい広告サイトに送り込まれる。

### 4. 認証情報の窃取
ログイン画面の偽サイトで顧客の ID / パスワードが盗まれる。

## 棚卸しと是正の進め方

### ステップ 1: 全候補の生成

dnstwist や類似ツールでブランド名から類似ドメイン候補を 200+ 生成。手動でやると漏れます。詳しくは [dnstwist の使い方](/blog/dnstwist-tsukaikata) を参照。

### ステップ 2: 各候補の生死判定

WHOIS / DNS / HTTP HEAD で「登録済 / Web 配信中 / MX 設定」を確認。リスク 3 段階に分類:
- **高**: Web 配信中 + MX 設定（フィッシング送信能力あり）
- **中**: Web 配信中（コンテンツ配信中）
- **低**: 登録のみ / parking

### ステップ 3: 高リスクから優先対処

- **DMCA 通知**（コンテンツが自社著作物を流用）→ レジストラまたはホスティング先へ
- **WIPO UDRP 申請**（商標を侵害）→ WIPO 認定代理人 or 弁護士
- **防御取得**（自社で類似ドメインを取得して攻撃面を減らす）

詳しくは [DMCA テンプレ](/blog/dmca-template-domain) と [UDRP 申請手順](/blog/udrp-shinsei-tetsuduki) を参照。

自社名のドメインが取れない、または既に取られている場合の対処は[会社名ドメインが取れない・取られた時の対処](/blog/brand-domain-defensive-registration)で整理しています。

### ステップ 4: 定期棚卸し

半年〜1 年に 1 回、新規登録された類似ドメインがないか再点検します。

## まずは現状を把握しましょう

ドメイン番人の [類似ドメイン棚卸し 単発チェック](/typosquat/check) で 30 秒で確認できます。dnstwist 11 パターン × 主要 20 TLD で 200+ 候補を網羅し、リスク 3 段階で分類します。

棚卸しと DMCA / UDRP テンプレ提供は [類似ドメイン棚卸し＋ブランド保護診断](/contact)（5 万円〜）でご相談ください。**申請代行は行いません**（弁護士領域）。

関連記事:
- [Homoglyph 攻撃の見分け方](/blog/homoglyph-kogeki)
- [Punycode を悪用した偽ドメインの仕組み](/blog/punycode-taisaku)
- [偽ドメインを検出する方法 5 選](/blog/nise-domain-kenshutsu)

総合点検は [無料のドメイン診断](/diagnose)、SSL 単独は [SSL 単発チェック](/ssl/check) をご利用ください。