IT用語集

URLハイジャッキングとは? 10分でわかりやすく解説

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

UnsplashWonderlaneが撮影した写真

URLハイジャッキングは、正規サイトやブランドに見せかけたURL、類似ドメイン、リダイレクト、名前解決などを悪用し、利用者を偽サイトや不正なページへ誘導する攻撃を指す表現として使われることがあります。実際の被害は、フィッシング詐欺タイポスクワッティング、オープンリダイレクト、DNSの改ざん、ドメイン管理権限の侵害などに分かれます。企業が対策を選ぶには、「どの導線で利用者が誘導されるのか」を分けて確認する必要があります。

URLハイジャッキングとは何か

URLハイジャッキングの定義

URLハイジャッキングは、正規サイトに見えるURLやリンクを悪用し、利用者を偽サイト、不正なログイン画面、マルウェア配布ページなどへ誘導する行為を広く指す場合があります。URLそのものを奪うというより、利用者が「正規サイトへアクセスしている」と誤認する導線を作る点が中心です。

ただし、URLハイジャッキングは標準化された単一の攻撃名として常に同じ意味で使われるわけではありません。文脈によって、タイポスクワッティング、フィッシング、ドメインハイジャック、DNSハイジャック、オープンリダイレクト悪用まで含めて語られることがあります。対策を考える際は、名称よりも攻撃が成立する箇所を確認します。

URLハイジャッキングに含まれやすい手口

  • 類似ドメインへの誘導:打ち間違い、文字の置き換え、TLD違いなどを使い、正規サイトに似せたドメインへ誘導する
  • ホモグラフ攻撃:見た目が似た文字や国際化ドメイン名を使い、正規ドメインに見えるURLを作る
  • オープンリダイレクト悪用:正規ドメインのリダイレクト機能を悪用し、外部の偽サイトへ転送する
  • サイト改ざん:正規サイト内のリンク、フォーム送信先、スクリプトを改ざんし、利用者を不正ページへ送る
  • DNSハイジャック:DNS設定やルーター設定を改ざんし、正しいURLを入力しても偽サイトへ到達させる
  • ドメイン管理権限の侵害:レジストラアカウントやDNS管理権限を奪い、正規ドメインの設定を変更する

攻撃の典型的な流れ

  1. 攻撃者が、利用者が信じやすいURL、メール、広告、検索結果、SNS投稿、チャット投稿を用意する
  2. 利用者がリンクを開き、偽サイトや改ざんされたページへ誘導される
  3. ログイン情報、決済情報、個人情報を入力する、または不正ファイルを開く
  4. 盗まれた情報が不正ログイン、不正送金、社内侵入、マルウェア感染、ランサムウェア攻撃に使われる

攻撃者は、利用者に短時間で判断させるため、アカウント停止、未払い、配送不備、セキュリティ警告、請求書確認などの文面を使います。URLの確認を省かせ、認証情報や決済情報を入力させることが狙いです。

主な目的

認証情報の窃取偽ログイン画面へ誘導し、メール、SaaS、VPN、社内ポータル、ECサイトなどのIDとパスワードを盗みます。
金銭被害不正送金、クレジットカード悪用、ECアカウント乗っ取り、請求書詐欺などに利用します。
マルウェア感染偽サイトや不正ファイルからマルウェアを感染させ、情報窃取、遠隔操作、ランサムウェア攻撃につなげます。
ブランド悪用正規企業になりすまし、顧客の不信、問い合わせ増加、取引先対応、法務対応を発生させます。

URLハイジャッキングの主な手口

タイポスクワッティング

タイポスクワッティングは、正規ドメインの打ち間違いを狙う手口です。文字の抜け、入れ替え、似た文字への置換、TLD違いなどを使い、利用者が誤入力した場合や、リンクを十分確認しない場合に偽サイトへ誘導します。

たとえば、英字の「l」と数字の「1」、英字の「o」と数字の「0」、一文字抜け、隣接キーの打ち間違いなどが悪用されます。企業側では、主要ブランド名、サービス名、キャンペーン名、よくある表記揺れを確認し、リスクの高い類似ドメインを監視します。

ホモグラフ攻撃

ホモグラフ攻撃は、見た目が似た文字を使って正規ドメインに見せかける手口です。国際化ドメイン名では、異なる文字体系の文字が見た目上似る場合があります。利用者の画面上では正規URLに近く見えても、実際には別のドメインである可能性があります。

対策では、利用者教育だけに依存せず、ブラウザやメールゲートウェイの保護、類似ドメイン監視、ブランド監視、URLフィルタリングを組み合わせます。重要サービスでは、利用者に検索結果やメールリンクからアクセスさせず、ブックマークや公式アプリからの利用を案内します。

オープンリダイレクト悪用

オープンリダイレクトは、Webアプリケーションが外部から与えられたURLへ検証不足のまま転送してしまう状態です。攻撃者は、正規ドメインを含むURLをメールやチャットに記載し、クリック後に偽サイトへ転送させます。

この手口では、リンクの冒頭に正規ドメインが見えるため、利用者が信じやすくなります。Webアプリケーション側では、外部遷移先を許可リストで制限し、任意のURLをパラメータで受け取って転送する実装を避けます。外部サイトへ移動する場合は、中間確認画面や遷移先ドメインの明示も検討します。

サイト改ざんによる誘導

正規サイトが改ざんされると、利用者は正規サイトを開いたつもりのまま偽サイトへ誘導されます。攻撃者は、リンク、フォーム送信先、JavaScript、広告タグ、CMSテンプレートなどを変更し、不正な外部サイトへ送ります。

改ざんを防ぐには、CMS本体、プラグイン、テーマ、ミドルウェアを更新し、管理画面に多要素認証を適用します。不要アカウントの削除、権限最小化、ファイル改ざん検知、管理画面のアクセス元制限、WAFも組み合わせます。

DNSハイジャック

DNSハイジャックは、名前解決やDNS設定を改ざんし、正しいドメイン名を入力しても攻撃者が用意したサイトへ誘導する手口です。DNS管理画面、レジストラアカウント、家庭用ルーター、社内DNS、クラウドDNSの設定が狙われます。

DNSの改ざんは、複数利用者に同時に影響する場合があります。DNS管理権限を限定し、変更承認、監査ログ、変更通知、DNSレコード監視を整備します。重要ドメインでは、DNSSECやレジストリロック、レジストラロックの適用可否も確認します。

検索広告や検索結果の悪用

攻撃者は、検索広告や検索結果を悪用して偽サイトへ誘導する場合があります。利用者がサービス名で検索し、上位に表示された広告や類似ページを開くと、偽ログイン画面やマルウェア配布ページへ到達することがあります。

企業側では、ブランド名での検索結果を定期的に確認し、不審な広告、類似ドメイン、偽サイトを発見した場合に証拠を保全します。検索事業者、ホスティング事業者、レジストラへの通報手順も用意します。

企業に起こる被害

顧客と従業員の認証情報が盗まれる

偽ログイン画面に誘導されると、顧客や従業員の認証情報が盗まれます。メール、SaaS、VPN、社内ポータル、管理画面の認証情報が悪用されると、不正アクセス、情報漏えい、社内侵入に発展します。

パスワードだけに依存している場合、フィッシングで取得された認証情報がそのまま使われます。重要システムでは、耐フィッシング性を考慮した耐フィッシング多要素認証、アクセス元制御、異常ログイン検知を組み合わせます。

ブランドと信用が損なわれる

偽サイトが顧客被害を発生させると、正規企業にも問い合わせ、苦情、説明対応が集中します。被害者からは「公式に見えた」「検索で上に出ていた」「メールが本物に見えた」と受け止められやすく、企業の信用に影響します。

被害が発生した場合は、偽サイトのURL、発見日時、誘導経路、入力された可能性のある情報、顧客への案内、問い合わせ窓口を整理します。広報、法務、情報システム、カスタマーサポート、CSIRTが連携できる体制を事前に決めます。

メール到達率やドメイン評価に影響する

自社ドメインになりすましたメールが大量に送信されると、受信側で迷惑メールと判定されやすくなり、正規メールの到達率にも影響する場合があります。フィッシングメールの通報が増えると、顧客向け通知や業務連絡の信頼性が下がります。

送信元のなりすましを抑えるには、送信ドメイン認証を整備します。SPFDKIMDMARCを設定し、正規送信元の棚卸し、DMARCレポートの確認、段階的なポリシー強化を行います。

URLハイジャッキングへの対策

ドメイン管理を強化する

正規ドメインを奪われたり、紛らわしいドメインを悪用されたりしないよう、ドメイン管理を統制します。管理対象ドメイン、サブドメイン、キャンペーン用ドメイン、委託先が管理するドメインを棚卸しし、責任者と用途を明確にします。

  • レジストラアカウントに多要素認証を適用する
  • 移管ロック、更新ロック、レジストリロックの適用可否を確認する
  • DNSレコードの変更権限を限定し、承認と監査ログを残す
  • 期限切れドメインを放置せず、自動更新や管理台帳で確認する
  • 主要ブランド名や表記揺れに近い類似ドメインを監視する

HTTPSとHSTSを適用し、限界も説明する

URLの安全性を考えるうえで、HTTPSは不可欠です。通信経路の盗聴や改ざんを抑え、利用者が正しいドメインと暗号化通信しているかを確認しやすくします。サイト全体をHTTPS化し、HTTPアクセスはHTTPSへ統一します。

一方で、HTTPSだけでは偽サイト対策として不十分です。偽サイト側も証明書を取得できるため、鍵アイコンやHTTPS表示だけで正規サイトと判断できません。HSTSを適用し、証明書の発行状況を監視し、利用者にはドメイン名の確認方法を案内します。

Webサイトの改ざんとオープンリダイレクトを防ぐ

正規サイトが攻撃導線に使われると、利用者が疑いにくくなります。Webサイトの脆弱性対応、CMS更新、プラグイン管理、管理画面の保護、ログ監視を継続します。

  • CMS、プラグイン、テーマ、ミドルウェアを更新する
  • 管理画面に多要素認証とアクセス元制限を適用する
  • 不要な管理者アカウントを削除し、権限を最小化する
  • ファイル改ざん、未知の外部送信、リダイレクト増加を監視する
  • 外部リダイレクトは許可リスト方式にし、任意URLへの転送を避ける

メールとチャットからの誘導を減らす

URLハイジャッキングは、メール、チャット、SNS、SMSを起点に発生しやすい攻撃です。送信元なりすましを抑え、利用者がリンクを開く前に確認できる運用を整えます。

  • SPF、DKIM、DMARCを設定し、正規送信元を棚卸しする
  • 重要操作はメール内リンクではなく、ブックマークや公式アプリから実施するよう案内する
  • 短縮URLの利用を制限し、業務連絡では遷移先が分かる表記にする
  • 不審メールや偽サイトを報告できる窓口を明確にする
  • 社内の通知文面、送信元、リンク形式を統一し、偽通知との差を分かりやすくする

利用者教育は行動ルールまで決める

利用者教育では、知識だけでなく、迷ったときの行動を決めます。URLを完全に見分けることを利用者に求め続けると、確認漏れが起こります。重要操作は正規のアクセス手順に限定し、不審な通知は報告するルールにします。

  • ドメイン名とサブドメインの違いを説明する
  • 短縮URLやリダイレクトリンクを開く前に確認する
  • アカウント停止、未払い、セキュリティ警告などの通知は急いで入力しない
  • パスワード変更や送金は、メールリンクではなく公式サイトや公式アプリから行う
  • 報告した利用者を責めず、早期報告を評価する運用にする

監視とテイクダウン手順を整える

偽サイトや類似ドメインは、社内だけで発見しきれない場合があります。ブランド監視、ドメイン監視、証明書透明性ログの監視、検索結果監視、SNS監視、脅威インテリジェンスを組み合わせます。

偽サイトを見つけた場合は、URL、スクリーンショット、DNS情報、証明書情報、誘導メール、受信日時、送信元情報を保全します。そのうえで、ホスティング事業者、レジストラ、検索事業者、メール事業者、関係機関への通報やテイクダウンを進めます。顧客被害が見込まれる場合は、注意喚起と問い合わせ窓口を早期に整備します。

インシデント対応計画に組み込む

URLハイジャッキングは、完全な予防だけではなく、発生時の被害限定まで設計します。事前に、報告窓口、判断者、初動手順、顧客告知、法務確認、広報対応、再発防止の流れを決めます。

  • 不正ログインの遮断、該当アカウントの無効化、セッション破棄、パスワードリセットを行う
  • 入力された可能性のある情報と影響範囲を確認する
  • 偽サイト、類似ドメイン、誘導メール、改ざん箇所の証拠を保全する
  • 顧客向けFAQ、問い合わせ導線、注意喚起文を用意する
  • メール、Web、DNS、ドメイン管理のどこで攻撃が成立したかを確認し、対策を追加する

発見時に確認するポイント

誘導経路を確認する

最初に、利用者がどこから偽サイトへ移動したかを確認します。メール、SMS、チャット、検索広告、検索結果、SNS、正規サイト内リンク、QRコード、短縮URLなど、経路によって封じ込め先が変わります。

正規サイト側の影響を確認する

正規サイトが改ざんされていないか、リダイレクト機能が悪用されていないか、フォーム送信先が変わっていないかを確認します。CMS、プラグイン、サーバーログ、Webアプリケーションログ、外部スクリプト、広告タグも確認対象です。

認証情報の悪用を確認する

偽サイトで入力された可能性がある場合は、該当アカウントのログイン履歴、アクセス元、操作履歴、権限変更、転送設定、APIトークン、セッション情報を確認します。必要に応じて、パスワードリセット、セッション失効、多要素認証の再登録、トークン失効を実施します。

まとめ

URLハイジャッキングは、正規サイトやブランドに似せたURL、類似ドメイン、リダイレクト、DNS設定などを悪用し、利用者を偽サイトや不正ページへ誘導する攻撃を指す表現として使われます。実態は一つの手口ではなく、タイポスクワッティング、ホモグラフ攻撃、オープンリダイレクト、サイト改ざん、DNSハイジャック、ドメイン管理権限の侵害などに分かれます。

企業の対策は、ドメイン管理、Webサイト保護、メールなりすまし対策、利用者教育、監視、テイクダウン、インシデント対応を組み合わせる必要があります。HTTPSは必要な対策ですが、偽サイトもHTTPSを使えるため、ドメイン確認、HSTS、証明書監視、送信ドメイン認証、耐フィッシング多要素認証を併用します。

被害を抑えるには、名称に引きずられず、攻撃が成立した箇所を特定することが重要です。メールで誘導されたのか、Webサイトが改ざんされたのか、DNSが改ざんされたのか、ドメイン管理権限が奪われたのかを分けて確認し、それぞれの管理策を継続的に見直します。

Q.URLハイジャッキングとは何ですか?

A.正規サイトに見せかけたURL、類似ドメイン、リダイレクト、DNS設定などを悪用し、利用者を偽サイトや不正ページへ誘導する攻撃を指す表現として使われます。

Q.URLハイジャッキングとフィッシングの違いは何ですか?

A.URLハイジャッキングは偽サイトへ誘導する導線の悪用を指す場合が多く、フィッシングは偽画面や偽通知で認証情報や個人情報を盗む行為です。

Q.HTTPSが付いていれば安全ですか?

A.安全とは限りません。HTTPSは通信の暗号化に役立ちますが、偽サイトもHTTPSを使えるため、ドメイン名と遷移元の確認が必要です。

Q.利用者がURLを確認するときの要点は何ですか?

A.ドメイン名、サブドメイン、文字の置き換え、短縮URL、リダイレクトの有無を確認します。重要操作はメールリンクではなく公式サイトや公式アプリから行います。

Q.企業が優先すべき対策は何ですか?

A.ドメイン管理、レジストラアカウントの保護、Webサイトの脆弱性対応、送信ドメイン認証、類似ドメイン監視、インシデント対応手順の整備を優先します。

Q.類似ドメインはすべて取得すべきですか?

A.すべてを取得するのは現実的ではありません。主要ブランド名、重要サービス名、よくある表記揺れ、主要TLDなど、被害が大きい範囲を優先します。

Q.正規サイトが改ざんされると何が危険ですか?

A.利用者が正規サイトを開いたつもりで偽サイトへ誘導されるため、認証情報や決済情報を入力してしまう可能性が高くなります。

Q.DNSハイジャックはURLハイジャッキングと関係しますか?

A.関係します。URLが正しくても、DNS設定や名前解決が改ざんされると、利用者が偽サイトへ誘導される場合があります。

Q.偽サイトを見つけたらどう対応しますか?

A.URL、スクリーンショット、DNS情報、誘導メールなどの証拠を保全し、社内窓口へ報告します。その後、通報、テイクダウン、顧客注意喚起を検討します。

Q.被害が起きたら最初に何を確認すべきですか?

A.誘導経路、入力された可能性のある情報、不正ログインの有無、正規サイト改ざんの有無、影響を受ける顧客や従業員の範囲を確認します。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article