ドメイン移管でサイトが乗っ取られる?
2019年4月5日、アニメ『ラブライブ!』公式サイトのドメインが第三者に移管(ネームサーバー変更)され、正常な公式サイトの閲覧ができないトラブルが発生しました。
現在『ラブライブ!』シリーズ公式サイトにおきまして、ページ内容を改ざんされるトラブルが報告されています。
現在原因究明中ですが、閲覧者に悪意のある仕掛けを施されてしまう可能性がありますので、無闇なアクセスはお控え頂ますようお願いします。— ラブライブ!シリーズ公式 (@LoveLive_staff) 2019年4月4日
公式サイトのドメインへアクセスすると「ラブライブは我々が頂いた!」というテキストが表示され、別サイトへリダイレクトする状態になっています。
元のIPアドレス指定でアクセスした場合は、本物の公式サイトが表示されるようです。おそらくサイトが改ざんされたわけではなく、サーバー担当者が第三者からの移管申請を承認してしまったのではないかと思われます。
追記:ドメイン登録名義がサンライズに変更された模様。信憑性に欠けるので詳細は伏せますが常習犯っぽいですね…
『ラブライブ!』シリーズ公式サイトについてドメインが悪意ある第三者に一時的に管理が移転しておりましたが、現在はサンライズの管理下にあり正常な状態に戻っております。しかしながら安全性の検証のため今しばらく「 https://t.co/CFaOU6XXea 」をご覧頂きますようお願いいたします。#lovelive pic.twitter.com/aYAbpWMIUp
— ラブライブ!シリーズ公式 (@LoveLive_staff) 2019年4月5日
少し古い記事ですが、10日間移管申請に対するアクションがない場合、申請が承諾されてしまうドメイン事業者もあったようです(現在は拒否する仕様になった?)。
だが、「ついOK押してしまったのか」などという言い方をしていることから多くの人は知らないのだと思われるが、 そもそも「移管申請の告知を受け取って10日間アクションを起こさないと承諾となる」というルールである。 つまり、「担当者が気付かなかった、あるいは無視した」という問題なのだ。
JPRS公式にもそれに類する記載がありました。
2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事
業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を
しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ
の意思を有する旨の回答を得たものとみなす。
ラブライブ公式サイトもjpドメインでしたので、こちらに該当する可能性もありますね。ラブライブの件はそのうち解決されると思うので、ここでは深掘りしません。(追記:前述のとおり解決した模様)
とりあえず自分が管理しているドメインでも同様のトラブルが起きたら怖いので、ドメイン移管のロックすることにしてみました。
本記事では、お名前.comでドメイン移管ロックする方法についてご紹介します。
ドメインロック
「ドメインロック」とは、ユーザーが契約しているレジストラ(ドメインをホスティングしている企業)から他社への意図しないドメイン移管を防ぐ機能です。
ドメインを扱う会社によって「レジストラロック」や「ドメイン移管ロック」など呼び方がいくつかありますが、基本的な機能は同じです。お名前.comでは「ドメイン移管ロック」という名称が使われているようです。
このドメインロックがかかっている場合は、ロックを解除しなければ移管ができなくなるため、 第三者による移管申請を拒否することができます。
お名前.comで「ドメイン移管ロック」機能をONにする
まずは、お名前.com Naviにログインします。お名前IDとパスワードが必要となるので事前に用意しておきましょう。
画面上部のメニューより『ドメイン』をクリックし、『ドメイン機能一覧』をクリックします。
ドメイン設定の機能一覧が表示されるので、「ドメイン移管」の項目までスクロールし『ドメイン移管ロック』を選択します。
メイン移管ロックしたいドメインの「ステータス」を「ON」にします。チェックボックスにチェックをつけて一括設定もできます。.jpドメインについては、移管の扱いがgTLDとは異なるようで、ドメインロックに対応していません。
確認ダイアログが表示されるので、問題なければ「OK」をクリックします。
以上でドメイン移管ロックの設定は完了です。設定完了時に「ドメイン移管ロック 完了通知」メールも送付されるので、あわせて確認しましょう。
他社へドメイン移管したくなった場合は、同様の手順でドメインのステータスを「OFF」にすれば解除できます。
コメント