米国政府が使用している.govドメインは簡単に取得できる
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
一般的には米国連邦政府が使用している「govドメイン」の取得には、資格や検査のような仕組みがあり、簡単には取得できないと考えるのではないだろうか。しかし、そうではないようだ。今月初め、KrebsOnSecurityはある研究者からメールで連絡を受けたという。この研究者のメールは、11月14日に登録されたexeterri.govから送信されたものだった>
その研究者は「.us」ドメインしか持たない米国の小さな町のサイトから公的機関の書簡用紙(公式レターヘッド)を入手。アプリケーションで町の市長になりすまし、オンラインフォームに記入してメールで送信するだけで.govドメインを取得できたとしている。
一つ目の壁は管理者、技術担当者、請求担当者を記載した「承認フォーム」を入力する必要があったこと。もう一つは、公式レターヘッドに印刷する必要がある。しかし、こうした自治体の公式レターヘッドを使った文書はネットにたくさん上がっており、ググるだけで簡単に偽造できた。作成したものをメールまたはFAXで送信。その後、アカウント作成リンクをすべての連絡先に送信することで米国の小さな町のgovドメインが取得できたとしている(KrebsOnSecurity、Slashdot)。
米国政府が使用している.govドメインは簡単に取得できる More ログイン