ラブライブ!公式サイト乗っ取りに使われた「ドメイン移管」の仕組みとは “10連休”に危険潜む?
サイト乗っ取りに使われた「ドメイン移管」とは何か。関係各社に取材したところ、今回の手法に加え、新たな危険も見えてきた。
4月5日未明に、人気アニメ「ラブライブ!」シリーズの公式サイトが何者かに乗っ取られた。同サイトのURLからページを開くと、「我々の方法は、移管オファーを行い元所有者が移管オファーを承認しただけだった」という文言が確認できた(5日午後3時時点でページは開けなくなっている)。
乗っ取りの犯人の言葉を信じれば、犯人は「ドメイン移管」の手順を踏んで、ラブライブ!版権元のサンライズから同サイトのドメインを得たと考えられる。
ドメイン移管とは何か。関係各社に取材したところ、今回の手法に加え、新たな危険も見えてきた。
汎用JPドメインの扱い 10日以内に返事しないと……
今回被害に遭ったラブライブ!公式サイトのドメインは「○○.jp」という形式で、「汎用JPドメイン」と呼ばれる。
汎用JPドメインの登録・管理は日本レジストリサービス(JPRS)が行っており、JPRSは、インターネットイニシアティブやGMOインターネットなどの各指定事業者(レジストラ)からドメイン名の登録手続きなどを受ける。
ドメイン名を登録したいエンドユーザーは、レジストラや再販・取次事業者(リセラー)に申請することになる。
ドメイン名は複数のレジストラやリセラーが登録業務を行うため、あるユーザーがあるドメイン名を取得したくても、他のレジストラでそのドメイン名がすでに登録されている場合がある。
この場合に発生するのが「ドメイン移管」で、手続きに関する規則はJPRSが定めている。
JPRSの「汎用JPドメイン名登録申請等の取次に関する規則」の第11条第2項には、「当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす」とある。
つまり、あるレジストラA社からJPRSに「レジストラB社からA社へドメインを移管してほしい」という申請が来たとき、JPRSはB社を通じて意思確認を行い、10日以内にB社からドメイン登録者へ確認を行い返事がなかった場合には、「意思あり」(移管していい)とみなすという内容だ。
可能性は大きく2つ
ここから考えられる可能性は大きく2つ。犯人は、あるレジストラからドメイン移管申請を行った。その上で、サンライズが10日以内に返事をしなかったか、あるいは間違えて移管を承諾してしまったかだ。
サンライズが契約しているレジストラは直接は分からないものの、WHOIS情報からDNS(ドメイン・ネーム・システム)サーバにインターネットイニシアティブ(IIJ)のサービスを利用していることが分かる。
IIJは「IIJ DNSサービス」で、ドメイン名登録・維持管理からDNSサーバ運用まで提供している。IIJにドメイン移管について取材したところ、「個別事案については答えられない」とした上で「契約者の承諾なしに他社への移管を承認することはない」という。
【修正:2019年4月5日午後6時20分 IIJに関して一部表記をあらためました】
「IIJはレジストリロックサービス(※)は行っていないが、ドメイン移管の申請が来た場合には必ず契約者に営業から確認を取る。エビデンスがない限りは、契約者の返事が10日以内に得られなくても、他社への移管を承認することはない」(IIJ)
※レジストリロックサービス:ドメイン名の登録情報を他者に意図せず書き換えられないよう、申請を制限するサービス。JPRSがレジストラに対して提供している。
もしサンライズがIIJでドメイン名を登録していたとすれば、サンライズが間違えて移管申請を承諾してしまった可能性が高い。ただ、IIJ以外で登録していたとすれば話は別だ。レジストリロックサービスが有効でなく、IIJのようなポリシーがない場合、10日間返事をしなかったためにドメインが移管されてしまうということもあるだろう。
JPRS「誤った処理であれば戻せることもある」
では、一度移管されてしまったドメインは取り戻せないのか。JPRSに聞くと、「個別の事案には答えられないが、一般論として、誤った処理で移管されたことが分かれば元のレジストラにドメイン管理を戻せることもある」という。
例えば、ドメイン登録者が間違ってドメイン移管に承諾してしまった場合、登録者やレジストラなど関係者に話を聞いた上で、誤った処理だったと確認が取れれば、元のレジストラと登録者に戻せることもあるということだ。
また、JPRSは公式サイトで「他人の権利を侵害するドメイン登録は不正行為とみなされる場合がある」ともアナウンスしている。他社の会社名や商品名などでドメインを登録する行為は、紛争処理機関への申し立てで登録者情報がインターネット上に公開される他、不正競争防止法に抵触し、損害賠償を請求される場合もあるとしている。
5日午後4時時点で、問題となっているドメインのWHOIS情報を見ると登録者はサンライズに戻っている。サンライズの訴えにJPRSが応えたと見てよさそうだ。
「10日以内は暦通り」 10連休のゴールデンウイークに注意か
JPRSの規則にある「10日以内」。この数え方をJPRSに確認すると、「営業日計算ではなく暦通りの数え方だ」という。
そうなると注意すべきは、今年のゴールデンウイークの10連休ではないだろうか。レジストラ、リセラーから登録者への確認方法が登録者の会社宛てのメールであれば、企業ポリシーによっては連休中にメールを確認できないことも考えられる。最悪、ゴールデンウイーク中にドメインを何者かに奪われるという事態も発生し得るのではないか。
ドメイン登録者は、自身の利用しているサービスでレジストリロックサービスが利用可能か、あるいはドメイン移管申請を受けた際のフローがどうなっているか、この機によく確認すべきだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「ラブライブは我々が頂いた!」 人気アニメの公式サイト乗っ取りか 公式「原因究明中」 ドメイン移管された?
人気アニメ「ラブライブ!」の公式サイトが乗っ取り被害にあっているようだ。 - 「ラブライブ!」公式サイト乗っ取り、ドメイン登録名義がサンライズに戻る
「ラブライブ!」シリーズの公式サイトで使われていたドメインの登録名義が、アニメ権利元のサンライズに戻っている。 - 第三者に疑似ドメイン名を取られた――「偽ドメイン」奪取の一部始終、JPCERT/CCが公開
情報セキュリティ関係のアドバイスを行うJPCERT/CCが、疑似ドメインを取得される事態に。対処法をブログで公開した。 - 「Google.com」ドメインが取得できてしまった! 米国の男性が体験した、ある夜の出来事
ドメイン「Google.com」を取得できてしまった──ある米国在住の男性がこんな体験をした。その顛末は。