パスワードを忘れた? アカウント作成
13736119 story
インターネット

バリュードメインが仕様を変更、第三者にドメインが乗っ取られる騒動を受けてか 42

ストーリー by hylom
さすがにこれは 部門より
あるAnonymous Coward曰く、

「amusecraft.jp」というドメインに対し第三者が移転申請を行い、うっかり承認してしまってトラブルになったと思われる小さな事件があり、スラド日記でも取り上げられていましたが、この舞台となったバリュードメインで仕様変更が行われました

従来は「ドメインロックがかかっていない、かつ、承認メールからの手動承認・手動拒否をしない場合、ドメイン移転、指定業者変更申請から10日経過後、自動承認になる」という仕様だったのが、「ドメインロックがかかっていない、かつ、承認メールからの手動承認・手動拒否をしない場合、ドメイン移転、指定業者変更申請から10日目の午前3時頃、自動拒否になる」ように変更がなされました。

事由として「昨今、JPドメイン名におきまして、第三者によると思われる、意図しないドメイン移転、指定業者変更申請が確認できております」とあり、今回の事態(やった本人は自動承認を否定していますが)を受けた対処とみられます。

これにより放置されたドメインの引継ぎが難しくなりましたが、実際必要なのに様々な問題(管理者メアドの実質的消失、業者夜逃げ等)から有効期限切れまでドメインの管理がなされずアダルトやフィッシングサイト行きの展開が多い中、皆様はどう思われますか?

なお、被害者のドメインは.comで取り直した模様。

  • 今回は生きて運用されているドメインの扱いのトラブルだけど、根っこにあるのは簡単に移転できることが問題なのではないかと思う。
    オンラインで手続する限り、どうやったって乗っ取りは発生するわけで、それを防ぐためにはそもそも移転手続きをオンラインだけで処理できないようにするしかない。
    それだと困るケースは当然出てくるだろうけど、そういうものなんで慎重に運用しないとダメなんですよと周知すれば、ドメイン利用者だって対応するだろうし、少なくとも法人管理であればそれで問題は出てこないでしょ。

    任意のドメインロックではなくて、めんどくさい実在証明手続きとかを取らないとそもそも移管できないようにして、それができないならそのドメインは永久に失効するのを基本にした方が良いと思う。
    支払いを忘れてたとかで更新期限を過ぎてしまっても、そのドメインはもう二度と利用できないようにして、うっかり失効させてしまったら新しいの取り直さないとダメくらいのペナルティはあってもいいと思う。

    ここに返信
  • by Anonymous Coward on 2018年10月05日 9時34分 (#3492281)

    管理放棄後にアダルトに取られたというのはよく聞くけど、必要なのに取れなくてアダルトに取られたとかあまり聞かないけど。

    ここに返信
  • by Anonymous Coward on 2018年10月05日 11時08分 (#3492342)
    なぜこんなにセーフティではない仕様だったのでしょう。 検討段階で危険性に気がつくと思うのですが。
    ここに返信
    • by Anonymous Coward on 2018年10月05日 12時00分 (#3492380)

      10日間自動承認ルールはレジストリであるJPRSの規定( 汎用JPドメイン名登録申請等の取次に関する規則 第11条第2項) [jprs.jp]だから,レジストラはこれに従ってきたんじゃないかな?

      むしろ変更できたのはどうして?

      • by Anonymous Coward on 2018年10月05日 12時26分 (#3492390)

        レジストラントが回答しなければ不承認とみなす合意をレジストラがレジストラントとの間でして、
        それを根拠にレジストラントが承認しない旨の回答をレジストラがJPRSに対して行っても当該規定とは矛盾しないと思います。

        • by Anonymous Coward

          > レジストラントが回答しなければ不承認とみなす合意をレジストラがレジストラントとの間でして、
          > それを根拠にレジストラントが承認しない旨の回答をレジストラがJPRSに対して行っても当該規定とは矛盾しないと思います。
          その通りだが、VALUE DOMAIN においては、ユーザ(レジストラント)とレジストラ(VALUE DOMAIN)の間で、そんな合意は成立していない。

          https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html [jprs.jp]

          第11条第2項
          当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事
          業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を
          しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ
          の意思を有する旨の回答を得たものとみなす。

          については、

          ユーザが移管を承認するか拒否するかのメールを放置した場合、
          何ら意思の表明をして

          • まあ、イデア(法治国家)ならそうかもしれないがここは日本だ( ̄▽ ̄;)

            ユーザ保護のための緊急措置だから、やむを得ない運用判断というのはわかっていると思うが…。
            なんだかんだで、泥縄になるのは仕方ないんだよ。(能力の限界ってこと)
            人間自体が欠陥の塊みたいな物なんだから(;_; )
            あんまり責めないで置きましょう。
          • 技術者であれば「悪法も法なり」が通じるわけだが(たとえば、関数・変数等のスペルミス・単語ミス、設計ミス等、過去の決定を今更訂正できないし、それに従うしかないことが「通過儀礼」や「洗礼」であること、「自然な」体験であることは言うまでもない。(技術者に限らず数学者、あるいは学者一般(電流の方向とかね。)に言えるだろう。))、世間一般はこれが通用する程には成熟していない。

            コンピュータ技術者は法を重視する(たとえ悪法であれ。そうしなければコンピュータは動かない。)が、技術者があきれる程に世間は想像以上に法を軽視している。
            世間はコミュニケーション(協和、協調性)を重視し、明文化された規範、規則を異常な程、軽視する。

            コンピュータ(機械)と技術者は法(物理法則、規則、仕様)に従うことで解決する。他方で、世間というのは対話で解決する。

            技術者、学者として成長するほど世間と乖離した思考様式になっていくのは必然であり不可避的であると言える。そして、世間と溝や対立、批判批難を起こす不可避的に。まあ、季節の風物詩(青春期とかイヤイヤ期)と同じだね。(ただの成長の過程)
            「法を守って悪を生かす」か「法に反して法(事後法とか)で裁いて正義を為す」青年期の葛藤だよね。市民となって自己保身、自衛に努めるか、革命家となって戦いに努めるか。(マクロ的に見れば、市民が日和見であること(勝馬に乗ること)で社会全体としては秩序を維持できるわけだから、マクロ的には日和見も悪くない。革命家(コンピュータでいえばハード屋、言語屋、OS屋、DB屋、フレームワーク屋)が乱立すれば長い戦国時代になるわけだし。)

            まあ、世間というのは良識(?)があって「法に反しても正義を為したなら咎めない」というものなんですよ。
            「正しいが故に間違っている。/間違ってはいるが正しい。」というのが世の中にはあって、人道、倫理、宗教、経済、環境、法律、政治、時代の価値観などなどはふつう全両立しない。経済と環境が両立しないとき環境を取れるかどうかが良識の有無なわけ(この場合は制度設計をするほうが重要だろう)。((英語として)正しいスペルや単語と(プログラムとして)正しい関数名が必ずしも一致しないことと同じである。何語を英語に訳したらそうなったかは知らないが、「とにかく酷い。酷すぎる。人道に反している。」ような命名も世の中にはある。)
            一言にまとめるなら「間違ってはいるが正しいこと」を批判するのは野暮ですよ。(まあ、批判するのは職業病・職業癖みたいなものかもしれませんが、成長の過程と思って克服してくださいな。)
      • by Anonymous Coward on 2018年10月05日 12時53分 (#3492401)

        バリュードメインのは移管申請を相手先レジストラに送って、先方で10日放置されてたら
        自動承認がかかるところを、期限直前日のAM3時でバッチ流して自ら取り下げ&申請した
        ユーザへは不承認扱いとして回答するように運用変更したってことなんでは

      • by Anonymous Coward

        挙げている11条2項はJPRSからの連絡に指定事業者がシカトぶっこいた時にJPRSが何とかするための規定じゃないですかね?
        .jpの場合は.comなどのレジストラと違ってただの取次ぎですし。

    • ドアに鍵を掛けない、金庫に鍵を掛けないユーザが盗みに入られて、なんてセーフティーじゃない仕様と言われても・・・。
      被害には同情するが、防犯意識の欠如には「脳みそお花畑」のような辛辣な批評を抑え難いと思うけど。

      今回の件では、ドメイン・ロックという保護機能があった。ユーザはそれを使わなかった。
      ルータなどの初期パスワードを変更しないユーザと同様、それはユーザの落ち度としか言いようがない。

      もう一度、記事とリンク先を読み返して下さい。「セキュリティを解除したまま放置してたら盗まれた」という話ですから。

      大体、世間を騒がすよなニュースが毎月の様に流れているのに、セキュリティを強化、点検しない方がどうかしているとも思う。(もちろんしたくてもできないやむをえないりゆうもわかる。)
      • by Anonymous Coward

        それだと、わきが甘いやつはだましてもいい、みたいな論調にみえますよ。
        批判されるべきは、騙した人間でしょう。
        そのうえで、犯罪被害に遭わないためにセキュリティの重要性を説けばいいわけで。

  • by Anonymous Coward on 2018年10月05日 11時23分 (#3492353)

    契約時点で10年間のドメイン管理費を前払い
    1年後に11年目のドメイン管理費を引き落とし、
    2年後に12年目の・・・・

    とか、常に10年分ドメイン管理費前払いするサービスがあれば、
    うっかり支払い忘れたり、サイト閉鎖しても、
    10年間は他人にドメイン使われるのを防げる

    ここに返信
    • by Anonymous Coward

      今回の件は意図しない失効ではなく
      意図しない移転なので、お金払ってても移転されちゃいますよ
      あとレジストラが廃業するっていうリスクも

      10年ぐらい前に99年ぐらい自動延長しますよ!ってところつぶれてたような…

      • by Anonymous Coward

        さすがに10年分も先払いされてて、余所への移転申請来たらドメイン所有者に
        確認するんじゃないでしょうか

        転じて、なんで今回ドメイン所有者への確認なくレジストラが移転承認しちゃったんでしょうねえ…

        amusecraftさんが「レジストラから何も通知なかった」的な証言がないのも気になるので
        ねとらぼが関係者各位へ直撃インタビューやって背景洗い出ししてくれないかな…?

        • by Anonymous Coward

          普通、移転申請の確認のメールかなんか来てるはずよ。
          それを放置してたら自動承認されただけで、たぶん所有者がそれを見落としたんでしょう。
          まぁ普通に考えて、放置したら持っていかれる、とは思わないかも。

          と思ったけど、やっぱそれが自動承認が常識なのかな。
          自分はValueDomainからGoogleDomainに移転したクチで、Enom登録だったから移転申請の確認メールはEnomから来てて、キャンセルしたい場合はアクションを、何もしなければ進めます、になってるわ。

          移転なんかなかなかしないし、どういう流れで処理されるのか承知してない人がほとんどかもね。
          自分も気をつけねば。

          ていうか、移転申請する際にドメインごとにキー(ランダム文字列)が必要だけど、盗んだ人はそれはどうやって得たんだろう。 .jp はそういうのいらないのかな?
          自分は .com しかとらない主義なので。

  • by Anonymous Coward on 2018年10月05日 14時35分 (#3492449)

    移行手続きをしたときに、新レジストラおよび旧レジストラ両方が認証コードを発行、
    新レジストラ発行認証コードを旧レジストラに入力、
    旧レジストラ発行の認証コードを新レジストラに入力、
    両方一致すれば自動的に移管手続きされるみたいなの

    ここに返信
    • by Anonymous Coward

      今回のはドメインロックがかかっていない場合の問題なので、
      適切にドメインロックが設定されていたら防げる話しです。
      バリュードメインのドメインロックデフォルトが過去現在でどうなってるのか覚えていませんが
      私のバリュードメインで管理しているドメインはロックかかってる状態です。

  • Twitter 界隈を見てみると、この件で VALUE DOMAIN が悪いと勘違いしている人が多いようですが、間違っています。

    10日間対応を行わない場合に、ドメイン移管・指定事業者変更が承認されるのはJPドメイン名のレジストリ(登録管理業務)を行っている唯一の会社である JPRS (株式会社日本レジストリサービス) の仕様です。

    「他のレジストラでは10日経過でも移管が承認されたことにならないのでは?」と思うかもしれませんが、そういうレジストラは、ユーザが意思確認を行わなかった場合に、レジストラが勝手に拒否の回答をしているだけです。言い方によっては、転出妨害のようなもので、ユーザが連絡先メールアドレスやレジストラのパスワード等を失念していた場合に移管ができなくなる問題があります。

    VALUE DOMAIN のレジストラとしての問題点は、10日放置で移管等が自動承認されるのが JPドメイン(JPRS)の仕様であることと、嫌ならドメインロックをする必要があることをユーザに周知していなかったことぐらいで、仕様自体はJPRSの仕様通りなので問題ありませんでした。

    10日放置で自動承認されるのが問題と考えるなら、レジストラではなく、JPRS (株式会社日本レジストリサービス) を責めるべきです。

    ここに返信
    • いや、悪いのは
      第一は「乗っ取り犯」
      第二は「乗っ取られたユーザ(管理怠慢)」
      だと思うけど。

      技術的な問題であればVALUE DOMAINやJPRSだろうけど、今回は、単にユーザの管理ミスのように思う。
      ユーザ側のセキュリティ人材不足か、システム保全管理人材不足だろう。
    • by Anonymous Coward
      10日放置で自動承認されたわけじゃないのに、10日放置で自動承認する仕様が悪いってのはどういう意味なんだろ?
      • by Anonymous Coward

        10日放置で自動承認されたわけじゃないというのは乗っ取り犯がそう主張しているだけだよね。

        • by Anonymous Coward
          乗っ取られ側も10日放置で自動承認されたとは主張してませんが?
    • by Anonymous Coward

      バリュードメインさんは今回どっちなの?

      ・ユーザ何某が契約するレジストラから届いた、ドメイン移管申請を処理する
      (=amusecraft.jpを管理していたレジストラ)

      ・ユーザ何某と契約したレジストラであり、amusecraft.jpを管理するレジストラに
       ドメイン移管申請をかけた側

      記事中にリンクはられてた日記のコメントの中のtweet
      twitter.com/hide_gtv/status/1045524557514166273 の移転申請中画像は
      バリュードメインさんの管理画面なので後者に見えるんだけど…

      とすれば、相手方の処理を待つ立場だったのに今回の規約変更は何の意味が。

      • by Anonymous Coward

        移転元と移転先が両方ともバリュードメインってことでしょう

    • by Anonymous Coward

      レジストリ-レジストラ間の規定がレジストラ-レジストラント間に同じように適用されるわけじゃないんですが。
      何も考えずに同じように適用しちゃったレジストラの非だと思いますよ。

      • by Anonymous Coward

        > レジストリ-レジストラ間の規定がレジストラ-レジストラント間に同じように適用されるわけじゃないんですが。

        それはいいとして、

        https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html [jprs.jp]

        第11条第2項
        当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事
        業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答
        しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ
        の意思を有する旨の回答を得たものとみなす。

        意思確認を求めるメールをレジストラがレジストラントに送信し

  • by Anonymous Coward on 2018年10月06日 11時54分 (#3493026)

    元々のドメイン所有者にもなんらかの通知がメールで来ているはずで、それをスパムだと思ったのか、チェックを怠って放置したのかわかりませんが、所有者が一番悪いような・・・。

    ここに返信
    • (署名なしの)メールの場合、「先程、誤送信がありました。」の一言などでユーザを欺けるわけで…。
      巧妙な攻撃者の場合(攻撃対象を限定した場合)、被害を防ぐのは難しい。(というか、どうやって防いだらいいの?ってなる。)

      まあ、ドメインを人質にする攻撃なんて「想定外」だったのでは?
      特に兼業管理者の場合。
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...