GoDaddyが27年ドメインを無検査転送か？顧客が重大クレーム

27年間守り続けてきたドメインが、一夜にして消えた

2026年4月29日、ドメインレジスターの巨頭GoDaddyを揺るがす事件が発覚した。同社の顧客であるテック関連企業の経営者X氏（仮称）は、自身が27年間所有し、ビジネスの根幹を支えてきたドメイン名が、何の事前通知やセキュリティ確認もなく第三者に転送されたと主張している。この事件は、単なる個人のトラブルにとどまらず、グローバルなドメインインフラの信頼性とセキュリティ体制に根本的な疑問を投げかける事態となっている。

事件の概要：「二要素認証すら機能していなかった」

X氏によると、問題は2026年4月中旬に発覚した。長年运用してきた自社サイトにアクセスしようとしたら、サイトが表示されなくなり、DNSレコードが意図せず変更されていることがわかったという。慌ててGoDaddyのアカウントを確認したところ、ドメインの「所有者情報」が変更され、さらにドメイン自体が別のレジストラに「ロック解除」された状態になっていた。

最も衝撃的なのは、この一連のプロセスでX氏への通知が一切なかったことだ。「通常、ドメインの転送や所有者変更には、承認メールや二要素認証（2FA）が必要なはず。しかし、私には何の連絡もなく、認証コード（EPPコード）も要求されずに処理された」とX氏は語る。さらに、X氏のアカウントに設定されていた2FAが、今回の転送操作を阻止できなかったことも問題の核心にある。GoDaddyのシステムが、何らかの脆弱性を抱えていたか、あるいは内部プロセスに重大なミスがあった可能性が高い。

背景：ドメイン名はデジタル時代の「不動産」

なぜ27年という長期間保持していたドメインの転送がこれほど大きな問題になるのか。それは、ドメイン名が単なるURLの一部ではなく、企業のブランド価値、顧客との信頼関係、さらにはビジネスの資産そのものだからだ。長年使用されたドメインは、検索エンジンでの評価（SEO）や、メールの信頼性にも直結する。不正に転送されれば、サイトが改ざんされたり、フィッシング詐欺に悪用されたり、最悪の場合、元の所有者は二度とドメインを取り戻せなくなるリスクがある。

業界関係者によると、近年、ドメイン名を狙ったサイバー攻撃や「ドメインハイジャック」は増加傾向にある。攻撃者は、レジストラのカスタマーサポートを騙してパスワードをリセットしたり、脆弱性を突いて不正アクセスしたりする手口が巧妙化している。しかし、今回のケースは、顧客側に明らかな過失がなかったにもかかわらず、レジスター側のプロセスが破綻したことを示唆しており、より深刻だ。

GoDaddyの対応と業界への影響

事件を受けて、GoDaddyは公式に調査を開始したと発表している。しかし、顧客からの苦情が相次ぐ中、同社の対応は遅れているとの批判も出ている。「サポートチケットを出したが、返答は自動返信ばかり。責任の所在が不明確だ」とX氏は憤る。

この事件は、ドメインレジスター業界全体に波紋を広げている。大手レジスターであるNetwork SolutionsやGoogle Domainsなどは、自社のセキュリティプロセスの見直しを急ぐだろう。特に、大規模な顧客データを抱えるレジスターは、内部統制の強化と、不正転送を防ぐための多層的な認証システムの構築が求められる。

さらに、ICANN（インターネットの番号割り当て機関）などの規制機関も、ドメイン転送に関する基準を厳格化する可能性がある。例えば、転送プロセスに「強制的なタイムラグ（72時間以上の待ち時間）」を設け、所有者に確認の機会を与えるルールの再導入や、2FAの必須化などが議論されるかもしれない。

今後の展望：信頼の再構築に向けた課題

今回の事件は、デジタルインフラの「信頼性」がいかに脆いかを浮き彫りにした。ユーザーは、レジスターにドメインを預ける際に、その安全性を当然のように期待する。しかし、実際には、大手企業でも人的ミスやシステム障害が発生しうる。

X氏は今、法的手段も検討しつつ、ドメインの回復を模索している。「27年間積み上げてきたブランドと顧客との信頼を、一瞬で失いかねない。これは私個人の問題ではなく、すべてのドメイン所有者が直面しうるリスクだ」と訴える。

この事件を機に、ドメインレジスターはセキュリティ投資を加速し、ユーザーもアカウントの定期的な監査や、高度な認証設定を徹底する必要性が高まるだろう。デジタル資産を守るための「新しい常識」が、今まさに問われている。

FAQ

Q: ドメインの不正転送が発生した場合、所有者はどのように対処すべきですか？ A: まず、レジストラのサポートに即座に連絡し、転送の一時停止を要求してください。次に、ICANNの「ドメイン名争議方針（UDRP）」や、各国の消費者保護機関に相談することも一つの手段です。同時に、アカウントのパスワードや2FA設定をすべて変更し、関連するDNSレコードやサーバーのログを確認して、不正アクセスの痕跡を洗い出してください。迅速な対応が、被害拡大を防ぎます。

Q: ドメインレジスターは、このような不正転送を防ぐためにどのような対策を講じるべきですか？ A: 多層的なセキュリティ対策が不可欠です。具体的には、二要素認証（2FA）の強制適用、転送時の所有者への多段階確認メール、アカウント操作の異常検知システム、さらにカスタマーサポートに対する厳格な本人確認プロセスの導入が求められます。また、ユーザー向けにセキュリティ設定のガイドを提供し、定期的なセキュリティ監査を推奨することも重要です。