ドメイン乗っ取りを防ぐためにAWSで .com ドメインを使っている
TL;DR
- JPドメインの管理をしている株式会社日本レジストリサービスには、下記の規則がある
- ざっくり言うと、「誰かがあなたのドメインを欲しいと言って、あなたが10日以内に返事をしなければ、ほしいと言った人にあげちゃうよ」という規約である
// https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html 2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事 業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ の意思を有する旨の回答を得たものとみなす。
- 流石にこれではやばいので、レジストラ企業の中には ドメイン移管ロック なる機能を提供しているところもある
- ドメイン移管ロック により守られたドメインは第三者から取られることがない
- AWSでは大部分のドメインが ドメイン移管ロック に対応しているが、
.jpドメインは対応されていない - 日本では お名前.com などが
.jpドメインの ドメイン移管ロック に対応している- しかし、過去セキュリティインシデントが色々とあった
- 管理コンソールがとても使い難くく、意図せずに課金が発生してしまったりする
- 以上の経緯から、 基本的に
jpドメインを使わず、comというドメインをAWSで購入する
用語の確認: レジストリ/レジストラ
- ドメインとはwebサイトにアクセスするときや、メールの@以降につく、
hogehoge.jpのような文字列のこと - 特に
.jpや.comのようなドメインの末尾につくものはトップレベルドメイン(TLD) と呼ばれている .jpのTLDは 株式会社日本レジストリサービス(以降 JPRS) が管理している。- お名前.comなど指定事業者は、JPRSと顧客の仲介をしている
- このとき、JRPSをレジストリ、お名前.com をレジストラと呼ぶ
- レジストリには下記のような利用規約が規定されている
// https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html 2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事 業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ の意思を有する旨の回答を得たものとみなす。
- つまり、「誰かがあなたのドメインを欲しいと言って、あなたが10日以内に返事をしなければ、ほしいと言った人にあげちゃうよ」という規約である
ドメインに関連する事件
ラブライブのドメイン乗っ取り事件とドメイン移管ロック
- 2019年4月5日、上述した仕組みを悪用した事件が起きた。
- ラブライブというアニメのドメインがイタズラで乗っ取られて、上記のように書き換えられてしまった事件である
- 詳細はこちら
- きっと誰も 10日以内に返事をしなかったんだろう
- この事件により、 ドメイン移管ロック という言葉が一躍有名になった
お名前.com 不正アクセス事件
.jpドメインの ドメイン移管ロックに 対応している お名前.com だが、2020年6月に重大なインシデントを起こした- coincheckとbitbankの2社が、お名前.com 側の管理ツールにおける不具合によってドメインの乗っ取りを受けてしまった
- どのような不具合だったか詳細は不明
- 2018年に お名前.com が提供を始めた 「ドメインプロテクション」という機能で対処できたかも不明
- 全体的なまとめはこちら
- Coincheck側の説明はこちら
- 以上の問題により、一概にドメイン移管ロックに対応しているから問題なし、とも言えない
ドメイン乗っ取りの何が危険なのか?
- ここまで長々とドメイン乗っ取りの事件について話してきた
- ドメイン乗っ取りの何が危険なのか。ということであるが、ラブライブのときのようにサービスにイタズラされるのであれば怖くない
- 一番怖いのは、フィッシングに使われてしまうことだ
- 他にも、乗っ取ったドメインで、完全に同じ見た目のサービスを作ってしまえば、パスワードを盗むことも容易にできる
- ということで、ドメインというものは守らなければならない資産であると言える
- 故にドメインの捨て方は強く注意しなければならない
