無縫地帯

ドメイン乗っ取り事件がなにげに流行っているらしい件

アニメ公式サイトや閉鎖された教育機関などのJPアドレスがジャックされる事案が相次ぎ、かなり騒ぎになってきました。

人気アニメの公式サイトが乗っ取られる事件があり、多くのメディアでも取り上げられたことから広く世間でも話題になっておりました。

ラブライブ!のサイト乗っ取りか人気アニメ、正常に表示されず(共同通信 19/4/5)

企画運営に携わるアニメ制作会社「サンライズ」によると、サイトにアクセスしようとすると「ラブライブは我々が頂いた!」などと表示したページが現れる。共同通信
どうやら愉快犯の類であったようで現在は事態も収束していますが、なぜこのようなサイト乗っ取りが起きてしまったかについては以下の解説記事がいくらか分かりやすいかもしれません。

ラブライブ!公式サイト乗っ取りに使われた「ドメイン移管」の仕組みとは“10連休”に危険潜む?(ITmedia 19/4/5)

鍵となるのは「○○.jp」形式の「汎用JPドメイン」の運用管理において、指定事業者(レジストラ)の間における移管の際、意思確認の連絡に対して無回答の場合は自動的に「OK」という意志表示であると解釈するといういささか乱暴と言えなくもないルールが存在するところにありそうです。

こうしたルールを悪用するなどしてドメインを乗っ取る行為は「ドメイン名ハイジャック」または「ドメインジャック」などと呼ばれ、過去にも度々起きていることではありますが、今回は人気アニメ公式サイトが標的にされたことから他の事案よりも目立ったため話題性も大きかったということなんでしょう。

ただ気になるのは、こうしたドメイン乗っ取り事件が昨年の秋頃から相次いでいるという報告のある点です。

不正移管によるドメイン名ハイジャックについてまとめてみた(piyolog 19/4/8)

2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。piyolog
こちらのブログ記事を読むと、レジストラによってはドメイン移管について、上に挙げた“10日ルール”だけでは不正や事故が起きてしまうため別途なんらかの対策を設けているところも少なくないようですが、中にはそのまま「10日以内に中止のお手続きされない場合は、他事業者への移管を承認されたものとみなし、移管手続きが進みます」といった作法のところが見受けられるため、こうしたレジストラを利用していると意図せずして悪意を持った第三者にドメイン移管されてしまう事態は防ぎようがないのかもしれません。

で、ここまでは汎用JPドメインが抱える問題にまつわる話であったわけですが、より厳格な運用が求められる教育機関向けの「AC.JPドメイン」でも同じようなドメイン乗っ取り事件が起きてしまったというニュースがありました。

風俗サイトが大学ドメイン使用=所有権移転時、審査に不備か―山梨(時事ドットコムニュース 19/4/6)

風俗紹介サイトの運営者は時事通信の取材に「旧山梨医科大のものだったとは知らずにドメインを取得した」とコメントした。
JPRSは「ac.jp」の所有権が移転する場合は、取得者に資格があるかどうか確認しているが「今回はその審査に不備があった可能性がある」と話している。時事ドットコムニュース
さすがにこれは常識的に考えると絶対にあり得ない話なんですが、汎用JPドメインでトラブルが相次いでいるという話ともあわせると、国内のドメイン管理体制において何やら緩みが生じているのではないかと勘繰ってしまうものがあります。

ましてや大学など教育機関が使用するAC.JPドメインは信頼度が高く、一般的なヒヤリハット事例やドメイン名ハイジャックが横行する可能性があるとなると、いろいろと見直さなければならないことが出てきてしまいます。このAC.JPドメインが事実上乗っ取られていたという事案は相当に深刻な問題でして、なにがそれほど深刻なのかということについてはセキュリティエンジニアの大角祐介さんがFacebookに論考を投稿されておりまして大変参考になります。

大角 祐介 4月5日|Facebook

今回の件は、単なるレジストラ・レジストリ・JPRSだけでなく、PKI業界も注目すべき重大インシデントだと思います。
ac.jp ドメインがもし個人に取られてしまった場合、そこからMXレコードの設定、TLS証明書の発行は容易です。しかも今回は、現在は存在しないとはいえ過去に実際に実在していた大学のドメインが取られたわけで、技術用語ではなく一般名詞としての「信頼」もあります。

ここからS/MIME署名した「正しい」メールが東京大学や京都大学、文科省に送られ、しかもSPFなどDMARCもOKなら、確実に「安全なメール」と判断されていたでしょう。
そのメールに、旧・山梨医大のWebサーバがhttpsで記載されており、アクセスするとmalwareが降ってきていたら、日本に甚大な被害を及ぼしたかもしれません
大角 祐介
ドメインが乗っ取られるということは単にウェブサイトの改ざん行為だけに収まらずいろいろな成りすまし行為も可能になるということであり、ドメインそのものが持つ信頼性を悪用されれば社会にとって致命的となるようなサイバー攻撃も可能になってしまう恐ろしさがあります。

ラブライブ公式サイトの件にしても旧山梨医科大サイトの件にしても、報道を見る限りは「なぜ起きたのか分からない」といったニュアンスの関係者の声が拾われていますが、こうした事態が原因不明のままで放置されてしまうことが一番問題のあることでして、関係各所では今後同様な事件が起きないようにしっかりと原因追及と対策立案を行っていただきたいところであります。

また、返答しなければ自動的に移管されてしまうという手口がここまで周知されてしまった以上、愉快犯や模倣犯も広く出るかもしれません。もちろん、歯止めをかける仕組みは簡単ですから、あっさり対応されることを期待するわけなんですが。