TL;DR
- JPドメインの管理をしている株式会社日本レジストリサービスには、下記の規則がある
- ざっくり言うと、「誰かがあなたのドメインを欲しいと言って、あなたが10日以内に返事をしなければ、ほしいと言った人にあげちゃうよ」という規約である
// https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html
2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事
業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を
しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ
の意思を有する旨の回答を得たものとみなす。
- 流石にこれではやばいので、レジストラ企業の中には ドメイン移管ロック なる機能を提供しているところもある
- ドメイン移管ロック により守られたドメインは第三者から取られることがない
- AWSでは大部分のドメインが ドメイン移管ロック に対応しているが、
.jp ドメインは対応されていない
- 2020年12月時点のリストはこちら
.uk しかり、Gandiから提供を受けているドメインは移管ロックに対応していない可能性が高い
- 日本では お名前.com などが
.jp ドメインの ドメイン移管ロック に対応している
- 以上の経緯から、 基本的に
jpドメインを使わず、com というドメインをAWSで購入する
// https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html
2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事
業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を
しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ
の意思を有する旨の回答を得たものとみなす。
- つまり、「誰かがあなたのドメインを欲しいと言って、あなたが10日以内に返事をしなければ、ほしいと言った人にあげちゃうよ」という規約である
- 2019年4月5日、上述した仕組みを悪用した事件が起きた。
- ラブライブというアニメのドメインがイタズラで乗っ取られて、上記のように書き換えられてしまった事件である
- 詳細はこちら
- きっと誰も 10日以内に返事をしなかったんだろう
- この事件により、 ドメイン移管ロック という言葉が一躍有名になった
.jpドメインの ドメイン移管ロックに 対応している お名前.com だが、2020年6月に重大なインシデントを起こした- coincheckとbitbankの2社が、お名前.com 側の管理ツールにおける不具合によってドメインの乗っ取りを受けてしまった
- どのような不具合だったか詳細は不明
- 2018年に お名前.com が提供を始めた 「ドメインプロテクション」という機能で対処できたかも不明
- 全体的なまとめはこちら
- Coincheck側の説明はこちら
- 以上の問題により、一概にドメイン移管ロックに対応しているから問題なし、とも言えない
ドメイン乗っ取りの何が危険なのか?
- ここまで長々とドメイン乗っ取りの事件について話してきた
- ドメイン乗っ取りの何が危険なのか。ということであるが、ラブライブのときのようにサービスにイタズラされるのであれば怖くない
- 一番怖いのは、フィッシングに使われてしまうことだ
- 例えば、企業が利用しているドメインが奪われた場合、そのドメインを利用してお客様にメールを送られてしまうと機密情報が容易に取れてしまう可能性がある
- 他にも、乗っ取ったドメインで、完全に同じ見た目のサービスを作ってしまえば、パスワードを盗むことも容易にできる
- ということで、ドメインというものは守らなければならない資産であると言える
- 故にドメインの捨て方は強く注意しなければならない
- 企業が過去利用していたドメインが破棄されるのを見計らってそのドメインを購入し、フィッシングに利用する事件がよくある
個人的な決定内容
- 以上の経緯より、自分は AWSで
.com ドメインを購入することにしている
- そして、購入したドメインでは、ドメイン移管ロックを掛けている
- これは、AWSが安全だと判断したから取った方針である
