25年9月号 なんだこのURL……?
著者:PACIFICサイバーセキュリティ研究所 研究員 S.A
公開日:2025年9月30日(火)
コラムテーマ:セキュリティ一般
先日、Microsoft 365で障害が発生していないか確認するためにService Health Statusページへアクセスした際、アドレスバーに違和感を覚えました。
以前アクセスした際は「status[.]office365[.]com」でしたが、「.microsoft」で終わる見慣れないURLが表示されたため不審サイトにアクセスしてしまったのかと一瞬ヒヤッとしました。しかし念のため、開いたページの電子証明書を確認(※1)したところ、Microsoftによって発行され、かつ有効期限内のものであることが確認できました。つまり、不審サイトではなく、正規のMicrosoftのサイトでした。
この「.microsoft」で終わるURLについて調べてみると、これは「ブランドトップレベルドメイン(TLD)」と呼ばれるものだとわかりました。2014年ごろから取得可能となったものですが、私の勉強不足か、目にしたことはあまりありませんでした。
例えば、Googleは「.google」や「.youtube」等、Amazonは「.aws」や「.prime」等、Appleも「.apple」を取得しているようです。さらには、国内でも複数の企業が取得しているようです。(残念ながら当社やそのグループ会社では取得例はありません。)
ここで、ブランドTLDを使用するメリットについて考えてみたいと思います。まだあまり見かけない仕組みのため、目を引き、自社名や関連製品の名前のアピールになるのはもちろんですが、実はセキュリティ的にもメリットがあります。
例えば、「.com」ドメインは取得に当たって特別な条件などは設定されていません。そのため、類似のドメインを攻撃者に取得され、悪用されてしまう可能性があります。しかし、ブランドTLDを使用していれば、基本的にはそのドメインを取得した企業・組織しか使用できず、そもそも取得に厳格な条件や審査があるため、攻撃者が容易に類似のブランドTLDを取得することができません。そのため、入力ミス(タイポ)をしてうっかりアクセスしてくる人を狙ったタイポスクワッティングという攻撃への対策となります。タイポスクワッティング攻撃として有名なものはgoogle[.]comの入力ミスを狙った「goggle[.]com」などがあり、以前は不正サイトが表示される状況でしたが、現在はGoogleが取得し管理していることで被害は発生していません。同様に「Google」の入力ミスを狙った「gooogle[.]com」や「gogle[.]com」もありましたが、いずれも現在はGoogleの管理下となっています。(いずれも2025年9月現在)
また、ホモグラフ攻撃という、アルファベットに似た別の文字に置き換え、人の目には同じに見えるものの、コンピューターの処理的には別物と扱われることを利用して、正規サイトとは別の不正サイトにアクセスをさせる攻撃の対策にもなります。例えば、下記2行はいずれも「pacific」と読めますが、2行目はすべてアルファベットではありません。
pacific
расífiс
ブランドTLD取得には厳格な審査や条件などから、このような類似文字による取得は難しいと考えられ、一般的にはブランドTLDが使用されていれば安心してアクセスできると言えます。
現在はあまり世間一般に浸透しているとは言い難いブランドTLDですが、ブランドイメージの保護のみならず、セキュリティ面でもメリットがあります。徐々に一般にも認知され、採用が広がることで、少しでもフィッシング詐欺等の被害が減ることを祈っています。
※1 参考:グローバルサイン社 SSLサーバ証明書の内容と確認する方法
https://jp.globalsign.com/ssl/about/authentification.html
本ページに記載の会社名・製品名は、各社の商標または登録商標です。