某有名アニメサイトのドメインを乗っ取り?移管の仕組みと対策を説明
2019年4月5日、某有名アニメサイトのドメイン乗っ取りが話題となりました。ご存知の方もいらっしゃるでしょうか。
ご自身が運用されているWebサイトが同じような目にあってしまうとも限りませんので、こういった事例から原因と対策を学び、警戒しておかなければなりません。
ではなぜドメインが乗っ取られたのか、確認していきましょう。
今回のドメイン乗っ取り
今回乗っ取られたのはアニメ「ラブライブ!」シリーズの公式サイトです。
乗っ取られたページを開くと、「ラブライブは我々が頂いた!」というコピーとともに数行の文章が記載され、最後にはこう結ばれていました。
「我々の方法は、移管オファーを行い元所有者が移管オファーを承認しただけだった」。
つまりドメイン乗っ取りとニュースになりましたが、乗っ取った側からすれば、正式なドメイン移管手続きを行い、そのような状況になったと主張しているのです。
ドメインは誰が管理していたか
今回話題となったドメインは、○○.jpという形式の「汎用JPドメイン」と呼ばれるもので、日本レジストリサービス(JPRS)が登録・管理を行っています。
しかし、JPRSに対してエンドユーザーはドメインの登録や移管の申請を直接行うことはできません。それを行いたい場合は、レジストラと呼ばれる指定事業者(GMOインターネットやさくらインターネットなど)から依頼し、JPRSに繋いでもらって登録を行う必要があります。
ドメインは、空いていればすぐに登録ができますが、既に登録されているドメインに対しては、移管の申請を行う必要があります。
ラブライブ公式サイトについてはすでに「lovelive-anime.jp」というドメインが登録されているので、その移管に際しては一定の手続きが必要なはずですが…。
なぜ移管手続きが通ってしまったのか
移管手続きに際して、JPRSは「汎用JPドメイン名登録申請等の取次に関する規則」の中の第11条第2項に、以下の規則を記載しています。
“当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす”。
砕いて解説すると、誰かが○○.jpの移管申請を行った場合、YESかNOかの返事を10日以内にJPRSに対して返さなければならず、もしも返さなかった場合、ドメインを「移管してもいい」と判断し、移管を実行してしまうとのこと。
というわけで、今回ラブライブのWebサイトが”乗っ取られた”原因は、サイト管理者側(サンライズ社?)が10日以内に返答しなかったか、または申請を何らかのミスで「承認」してしまったことが考えられるのです。
ドメイン”乗っ取り”対策をしよう
ラブライブの例からもわかるように、どんなWebサイトでもこれは起こりえるということです。よって、日ごろから防止策を打っておくべきでしょう。
防止策としてはJPRSがレジストラに提供している「レジストリロックサービス」※を利用すること。これを利用すれば想定外の移管申請をブロックすることができます。
※各レジストラでは、「ドメインロック」などと呼ばれるオプションサービス
また、ラブライブのように移管申請を受けてしまったら、10日以内に返答できるよう所有しているドメインのレジストラからのメールは常にチェックしておきましょう
もしも10日以内に返答できなかった場合、勝手に移管が成立しないようなポリシーを持っているレジストラと契約しておくことが大事になってきます。
最悪間違って移管承認してしまっても、「誤った処理で移管されたことが分かれば元のレジストラにドメイン管理を戻せることもある」とJPRSは述べています。あきらめずに交渉してみましょう。
まとめ
今回の乗っ取りは、ターゲットが有名なアニメサイトだったからその攻撃対象となったとみる向きもあります。そして報道によって手口が話題となってしまったので、この方法を悪用する業者が今後増えるかもしれません。
意図しないドメイン移管が通ってしまった場合、ユーザーが混乱するのはもちろん、会社の信頼を揺るがす問題にもつながってしまうため、各担当者は早急に対策を行うべきでしょう。
関連記事こちらの記事も合わせてどうぞ。