新米エンジニアの失敗再発防止メモ

自分そしてこの世界の皆が、同じ失敗をしないためのメモ

Twitterやってます!@rakuton_t
欲しいものリストのブタメンを送ってくれた方、ありがとうございます!

JPドメインの危険 ラブライブの公式ページの乗っ取りについて 原因と復旧法と予防法について

ドメイン セキュリティ 時事ネタ

追記: ドメイン移管ロックサービス使えよ で終わる話な気もしてきました。

危険が明るみになった発端

ラブライブは我々が頂いた!


ラブライブドメインが乗っ取り(?)に遭いました。
ただ一応、正式な手順で「lovelive-anime.jp」ドメインを取得されているので、乗っ取りというのかは微妙です。
ドメイン移管の申請を出して、それが承認されて管理者となった。
それだけの話と言えば、それだけの話かもしれません...
ですが、それだけで終わる話ではないんです。


何故なら、管理者が能動的に、間違えて承認ボタンを押してしまったとかではないようです。



原因

原因はJPRSの規定、11条の第2項です。

「2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。」

汎用JPドメイン名登録申請等の取次に関する規則


つまりは、

ドメインの移行申請を受けて10日以内に拒否しなかった場合、承認とみなす。」

ということですね。

要するに、放置してるといつの間にか乗っ取られるということがあるようです。
※この規約の解釈の仕方が分からない場合は下の方にある補足をご覧ください。


大分ふざけたルールだと思います。
取得されたまま、管理せずに放置されても困るからでしょうか?



復旧方法について

「JPドメイン名紛争処理方針」というものがあり、JPRSドメインの不正利用の申告を出すことができます。

JPRSには、以下のようなケースに対応するためのルールがあります。

例1. ドメイン名を先に登録し、高額で売りつける
例2. 誤解が生じる使い方をする

※あくまで例であり、これ以外対応しないわけではない。

JPドメイン名紛争の例


他にも色々規定がありますので、詳しく知りたい方はこちらの公式ページをご確認ください。
JPドメイン名紛争処理方針


よって、JPRSドメインが不正に移管されてしまったと申立てをすることで、
JPRSの「紛争処理機関」に認められれば、取り返すことができるというわけです。


今回のラブライブの場合は、上記の例2にも抵触すると思いますので、取り返せる可能性は高いかと思います。



予防方法

大概のレジストラサービス会社がこの乗っ取りを対策するサービスを提供しているはずです。
例えば、お名前ドットコムならば「ドメインプロテクション」の手続きをしてください。と最近しつこくメールを送ってきます。

追加料金がかかるので嫌ですが、仕方がないって感じですね。

お名前ドットコムの場合、ドメインプロテクションの設定(有料)が必要かと勘違いしていましたが、無料で出来るようです。
お名前ドットコムの場合の設定方法はこちら↓
ドメイン移管ロック|お名前.com Navi ガイド|ドメイン取るならお名前.com

お名前ドットコムはJPドメインに関しては、無料のドメイン移管ロックサービスが使えないみたいですね。。。
やっぱりお金払ってドメインプロテクションの設定をするしかなさそうです。


お名前ドットコムでJPドメインは無料のドメイン移管ロックサービスが使えない
コメント欄でも書いてくれてますが、nrtm5000さんの情報によると、以下のドメインではドメイン移管ロックサービスが使えないようです。
.jp/.uk/.be/.to/.ac/.gs/.ms/.cm/.mx/.co/.vn/.am/.cn/.tw
nrtm5000さんありがとうございます!


そうでなければ、自分で10日おきにチェックするしかありません。
いずれにしても、JPドメインを取得している方々にとって他人ごとではありませんので、皆さんもお気を付けください。


補足:JPRSの規約の詳しい解説

「2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。」


Twitterの方で

指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。」
ここが良く分からないという意見を貰ったので補足いたします。

確かにこれはパッと見理解しにくい文章ですね。


ポイントはこの項で言っている「意思」とは何か。ということ。
ここで言う意思とは「意思確認」をしている意思のこと。
つまり、ドメインの移管の意思確認ならば、「意思を有する」というのは、「ドメイン移管の意志を有する」ということになります。

よって、回答しない場合には(ドメイン移管の)意思が有るとみなすぞ!っていうことですね。


何故、「意思」とは「意思確認」をしている意思のことか、その根拠はこの部分となります。
「登録者がその意思を有しない旨の回答をしない場合には」
これの「その意思を有しない」にかかるのは「登録者の意思確認等を依頼した場合」です。
この中での意思は、「意思確認」の意思しかない。

というのが根拠になります。


何かご指摘があればコメントお願いします!


追記2:動画でも投稿しました!

youtu.be

内容は同じ、てゆーかぶっちゃこの記事の方が情報量は多いです笑
これからドンドン時事ネタについてITよりの観点で発信していくので、良かったらチャンネル登録お願いします><


追記3:結末について書きました。

maitakeramen.hatenablog.com

私の記事が役に立ったら、どうぞ何か買ってください!→ Amazon欲しいものリスト