Typosquatting - Dominios falsos por URLs mal escritas

Lectura de 2 min aprox.

タイポスクワッティングとは、正規の Web サイトのドメイン名に似た 紛らわしいドメインを取得し、ユーザーの打ち間違いを狙って 偽サイトに誘導する攻撃手法です。 「 google.com 」に対する「 gogle.com 」「 googel.com 」のように、 1 文字の入れ替え・欠落・追加で偽ドメインを作成します。 2025 年現在、 npm や PyPI でのパッケージタイポスクワッティングが 深刻化しており、開発者を標的にした攻撃が急増しています。

現場での使用例

「開発チームのメンバーが npm install で lodash のタイポスクワッティング パッケージ (lodahs) を誤ってインストールしていました。 CI パイプラインの依存関係監査で検出し、 悪意あるコードが実行される前に除去できました。」

攻撃の手口と目的

タイポスクワッティングの目的は多岐にわたります。フィッシングサイトとして ログイン情報を窃取するケース、広告収入を得るためにパーキングページを 表示するケース、マルウェアを 配布するケースなどがあります。 近年はプログラミング言語のパッケージマネージャー (npm 、 PyPI) でも 人気パッケージに似た名前の悪意あるパッケージを公開する 「パッケージタイポスクワッティング」が問題になっています。ドメインセキュリティの入門書 (Amazon)で体系的に学べます。

対策方法

個人ユーザーは、ブックマークの活用、 URL バーの確認、 ブラウザの自動補完機能の利用で被害を防げます。 企業側は、自社ブランドに類似するドメインを先行取得 (防衛的登録) し、 ドメイン監視サービスで新規登録される類似ドメインを検知する対策が有効です。 DMARC 、 SPF 、 DKIM の設定でメールのなりすましを防ぎ、DNS セキュリティを 強化することも重要です。 強力なランダムパスワードでドメイン管理アカウントを保護し、 ドメインの不正移管を防ぎましょう。ブランド保護の書籍 (Amazon)も参考になります。