2026 年 5 月 22 日、宮崎県は過去に運用していた 2 ドメインが第三者に再取得されたと発表した。notten-miyazaki.jp(のってん!プロジェクト、2022 年 3 月停止)と www.bokusui.com(若山牧水賞、2023 年 12 月停止)の 2 件で、県は両サイトと無関係であるとして不用意なアクセスをしないよう呼びかけている。
なぜ廃止ドメインが「狩られる」のか #
期限切れの自治体ドメインは、攻撃者から見ると 積み上がった信頼資産 だ。go.jp / lg.jp 系の公式サイト、ローカル新聞、観光案内などからの被リンクが数年分こびりつき、丸ごと引き継げば検索エンジンには初日から「正規っぽい」サイトに見える。残存する DMARC / SPF レコードを利用したなりすましメール、旧ブックマーク経由で古い住民を引き込む導線、と攻撃面は広い。.jp の廃止情報はパッシブ DNS 業者が機械的に監視しており、価値ある旧ドメインから順に拾われていく。
連鎖する自治体・大企業のドメイン狩り #
2026 年 4 月:ロート製薬
旧 DRX ブランドサイトのドメインが取得され、不正サイトへの転送を確認。
2026 年 4 月:名古屋市
廃止ドメイン名を第三者が再取得、市が注意喚起。
2026 年 4 月:東海大学
インシデント対応の一時利用ドメインが第三者の広告サイトに。
2026 年 5 月:宮崎県
キャンペーン用と文学賞用の 2 ドメインが再取得される。
直近 2 ヶ月だけでこの規模で続発しており、狙う側は明らかに体系化している。
対策は「立てる前」に決まる #
県は今後 lg.jp ドメインに統一する方針を示した。これは正しい。lg.jp は地方公共団体しか取得できないため再取得リスクがない。問題は 単発のキャンペーンサイトに xxxx-miyazaki.jp のような汎用 .jp を新規発行してしまう運用 にある。立ち上げ時はかわいくて覚えやすいが、終了後は攻撃者の宝箱になる。「捨てるなら最低 5〜10 年は保持し続ける」「最初から本体ドメインのサブパスで運用する」のどちらかを企画段階で決めておく必要がある。サイト終了は技術判断ではなく、ドメイン資産管理の話だ。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。