レ点腫瘍学ノート

Top日記2026年6月4日

学会や医療系サイトの独自ドメインのドロップキャッチ問題

学会 ドメイン セキュリティ SNS

厚労省の旧ドメインが悪質なサイトに乗っ取られた(ドロップキャッチされた)、という辻正浩氏のポストが話題になっていました。

この手の話は行政機関に限りません。ぼくが日頃から気になっているのは、医学系学会がその学術集会のために独自ドメインを取得し、会期が終わった後にそのドメインを放置してしまう問題です。

ドロップキャッチとは

ドロップキャッチ(drop catch)とは、失効して解放(drop)されたドメインを、第三者が即座に取得(catch)する行為を指します。ドメインは有効期限が切れても即座に解放されるわけではなく、更新猶予期間や凍結期間を経て再登録可能になりますが、その瞬間を専門業者が自動システムで取得してしまいます。

長年使用されていたドメインにはブックマークや検索エンジンのインデックス、外部サイトからの被リンクが蓄積されているため、新たな取得者がそこに詐欺サイトやアフィリエイトサイトを設置すれば、かつてのURLを信頼してアクセスしてきた利用者をそのまま誘導できてしまいます。ドメインの評価そのものが売買対象になっており、悪質な業者にとってはうまみの大きい手法です。

さらに厄介なのが、ドメインを失効させるとそのドメイン宛のメールも新所有者が受信できるようになる点です。パスワードリセット機能を悪用してSNSやクラウドサービスのアカウントを乗っ取る「失効ドメイン攻撃(expired domain takeover)」と呼ばれる手法も問題視されており、もはや単なるURLの喪失ではなく情報セキュリティインシデントとして扱われる事案になっています。

先行事例:厚生労働省「医療機関ネットパトロール」

厚生労働省は平成29年度から医療機関のウェブサイトを監視する「医療機関ネットパトロール通報WEBサイト」を運営していました。当初のURLは iryoukoukoku-patroll.com という独自ドメインでしたが、令和6年(2024年)6月に政府の公式ドメインであるgo.jpに移行しています。ここまでは正しい判断でしょう。問題はその後で、旧ドメインの利用を令和7年(2025年)6月に終了したところ、このドメインがドロップキャッチされてしまいました。

【重要なお知らせ(注意喚起)】令和6年6月にドメインを変更した「医療機関ネットパトロール」サイトのURLを利用した新たなサイトは厚生労働省と関係ありません
【重要なお知らせ(注意喚起)】令和6年6月にドメインを変更した「医療機関ネットパトロール」サイトのURLを利用した新たなサイトは厚生労働省と関係ありません
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000211289_00022.html

その後、旧URLにアクセスすると「海外FXふぁんくらぶ」なるサイトにリダイレクトされます。厚労省はこの事態を受けて「旧URLにアクセスすると表示されるサイトは厚生労働省の事業とは一切関係ありません」という注意喚起ページを公開せざるを得なくなりました。go.jpへの移行自体は評価できるものの、旧ドメインの保護が見落とされていたのでしょう。

先行事例:新型コロナウイルスワクチン接種予約サイト

コロナ禍で急造された特設サイトのドメインも同じ運命をたどっています。東海大学の柿崎淑郎准教授がDNS Summer Day 2025で発表した調査*1によれば、新型コロナワクチンの接種予約サイトのうち、自治体の公式ドメイン(lg.jpなど)ではなく独自ドメインで運用されていた34ドメインがドロップキャッチの懸念対象とされました。厚労省が外国人向けに運営していたコロナ相談サイトのドメイン(covid19-info.jp)にいたっては、閉鎖後にお名前.comのオークションで約322万円で落札されています。膨大な数の国民がアクセスした可能性のあるサイトのドメインが第三者の手に渡ったわけで、フィッシングに悪用された場合の被害規模は計り知れません。

ワクチン予約サイトのその後:「使い終わったドメイン名」が第三者に取得され、怪しいサイトになってしまったら……【DNS Summer Day 2025】
ワクチン予約サイトのその後:「使い終わったドメイン名」が第三者に取得され、怪しいサイトになってしまったら……【DNS Summer Day 2025】
 多くの読者の方がご存知のように、廃止されたドメイン名を悪意のある第三者が登録し、ギャンブルサイトやアダルトサイトなどに使われる事例があとを絶たない。しかも、これだけ問題視されているのに、何度も何度も似たような事例が繰り返されている。そのようなことが起こってしまうと、そのドメイン名を使っていた組織やサービスに対して悪い印象がついてしまうのにもかかわらず、である。
https://internet.watch.impress.co.jp/docs/event/2040430.html

先行事例:日本関節鏡・膝・スポーツ整形外科学会

すでに複数の医学系学会や医療系公的機関のドメインが実際にドロップキャッチされ、無関係のサイトに転用されています。とりわけ衝撃的なのがjoskas.jpの事例です。日本関節鏡・膝・スポーツ整形外科学会がかつて使用していたこのドメインは、セキュリティ研究者の徳丸浩氏の調査によれば、中古ドメインのオークションで約250万円で落札されていました。裏を返せば、250万円分の「信頼」を学会が手放してしまったということです。

先行事例:日本専門医機構の旧サイト

日本専門医機構の旧ドメイン(japan-senmon-i.jp)も同様で、現在アクセスすると医薬品の個人輸入サイトに転送されます。ほかにも、学会の地方支部の学術集会ドメインがアダルトコンテンツサイトに転用された事例など、枚挙にいとまがありません。

先行事例:過去に印刷されたQRコードが乗っ取られる

この種の問題はウェブサイトだけにとどまりません。2025年6月にはJR東日本の商業施設「アトレ」が、2013〜2016年に発行した旧アトレカード裏面のQRコードを「絶対に読み取らないでください」と注意喚起する事態になりました。カードに印字されていたQRコードのリンク先ドメイン(atre-club.jp)がサービス終了後に失効し、フィッシング詐欺にも関わりかねない第三者に取得されたためです。物理的なカードに印刷されたQRコードは更新しようがなく、利用者の手元に何年も残り続けます。同様に、沖縄県知事のXアカウントが防災情報の古い投稿をリポストした際、リンク先の旧ドメインがすでにドロップキャッチされていて無関係のサイトに転送されるという事件もありました。印刷物やSNSの過去投稿に含まれる旧ドメインのリンクが、時間の経過とともに危険なリンクに変わり得るのです。

アトレ、「旧アトレカード裏面のQRコードを読み取らないで」と注意喚起、不審なサイトに接続してしまうことが確認される 
アトレ、「旧アトレカード裏面のQRコードを読み取らないで」と注意喚起、不審なサイトに接続してしまうことが確認される 
 株式会社アトレは、旧アトレカード(下図参照)の利用者に対し、カード裏面のQRコードを読み取らないようにと注意喚起を行っている。
https://internet.watch.impress.co.jp/docs/news/2027717.html

医学系学会の独自ドメイン問題

医学系の年次学術集会は、毎年あるいは数年ごとに会長や事務局が交代します。そのとき、学会本体のドメインのサブディレクトリやサブドメインを使わずに「○○学会2026.jp」のような独自ドメインを取得してしまうケースが散見されます。会期中は演題登録やプログラム閲覧で多くのアクセスを集め、医学系メディアや大学・病院のサイトからもリンクが張られますが、会期が終わると翌年の事務局にドメイン管理が(更新料の支払いも含めて)引き継がれるのかどうかが不安です。また年号入りドメインを使うことを恒常的に行っている学会は狙われて、来年以降のドメインを業者に先取りされるという問題も生じます。学術系サイトからの良質な被リンクが蓄積されたドメインは検索エンジンの信頼度が高く、悪質な業者にとっては格好のターゲットになります。

学会が取るべき対策

サイトを学会本体のドメイン下に置く

最も根本的な対策は、学術集会のサイトを学会本体のドメインの下に置くことです。例えば日本肺癌学会は毎年の学術集会のURLは自分の学会のサブドメインに統一されており数字を切り替えるだけです。https://conference.haigan.gr.jp/66/ のようにサブドメインにすれば、学会本体がドメインを維持する限りドロップキャッチのリスクは発生しません。

第66回日本肺癌学会学術集会
第66回日本肺癌学会学術集会
第66回日本肺癌学会学術集会公式サイト
https://conference.haigan.gr.jp/66/

サイトを信頼できる運営会社内に置く

日本臨床腫瘍学会学術集会 https://www.congre.co.jp/jsmo2026/ の場合は独自ドメイン(jsmo.or.jp)下ではありませんが、学会運営会社コングレのサイトのサブディレクトリを使っています。自分の学会でURLを完全にコントロールしているわけではありませんがコングレ社の管理しているドメイン下にあるので、コングレ社が倒産するかこのURLを手放すことが無い限りはドロップキャッチ問題は生じません。

第23回日本臨床腫瘍学会学術集会(JSMO2026)
第23回日本臨床腫瘍学会学術集会(JSMO2026)
会期:2026年3月26日(木)〜28日(土) 会場:パシフィコ横浜 ノース展示ホールD 会長:田村 研治(島根大学医学部附属病院腫瘍内科 先端がん治療センター)
https://www.congre.co.jp/jsmo2026/

意地でも死ぬまでその独自ドメインを維持する

どうしても独自ドメインを使いたい場合は、少なくとも会期終了後も数年間はドメインの更新を続け、学会本体のサイトにリダイレクト(自動転送設定)をかけておくべきです。年間のドメイン更新料はせいぜい数千円で、学術集会の運営費全体から見れば微々たるものです。この程度のコストをケチった結果、学会の名前を冠したドメインが詐欺サイトやアダルトサイトに転用されることを考えれば、安い保険ではないでしょうか。一般的には、最低10年間のドメイン維持が勧められているようです。

属性型JPドメイン(or.jp)は法人格を持つ団体しか取得できないため、ドロップキャッチされても悪用のハードルが格段に高くなります。学会本体がor.jpドメインを持っているのであれば、学術集会サイトもその傘下に置くのが最も安全です。

SNSアカウントの年度更新にも同じリスク

ドメインだけではありません。学術集会のXアカウント名に年度の数字を入れ、毎年 @xxx2025 → @xxx2026 のように変更していく運用をしている学会がありますが、変更後に旧アカウント名が空いた状態になります。ドメインのドロップキャッチとまったく同じ構図で、第三者がその旧アカウント名を取得すれば、学会公式に見せかけたなりすましアカウントが出来上がります。SNSのアカウント名変更にはドメインのような凍結期間すら設けられていないプラットフォームもあり、名前を変更した瞬間から旧アカウント名は誰でも取得可能になり得ます。過去のニュース記事やポストで「@xxx2025をフォローしてください」と案内していた場合、その案内に従ったユーザーがなりすましアカウントに誘導されるリスクがあるわけです。学術集会のSNSアカウントは学会本体のアカウントに統一し、年度ごとにアカウントを分けない(アカウントIDに年度の数字を入れない)運用が望ましいでしょう。

まとめ

ドメインはいわば学会の「のれん」です。のれんを掲げて商売をした後に無造作に路上に放置すれば、拾った誰かが同じのれんで怪しい商売を始めるかもしれません。ぼく自身、学術集会の運営に関わる機会がありますが、そういう場でドメインの話が出ることはほとんどありません。この記事が、学会の会議の片隅で「うちのドメイン管理は大丈夫か」と振り返るきっかけになればと思います。

この記事に対するコメント

このページには、まだコメントはありません。

お名前:

*1 https://internet.watch.impress.co.jp/docs/event/2040430.html

更新日:2026-06-04 閲覧数:25 views.