ついうっかりでドメインを乗っ取られる!?乗っ取りを防止する最低限の設定

今はドメイン会社の対応で収束しているようですが、以前はドメインの乗っ取り行為が横行していたようです。

移管によるJPドメインの乗っ取り

僕は知らなかったのですが、ラブライブというアニメの公式サイトが乗っ取られるという事件がありました。
世間で大きな話題になっていたようですが、引きこもりの僕のアンテナには引っかからなかったようです。ウーム…

どうやら犯人は、ドメインを正規の方法で乗っ取ったようです。
正規とはいえ、他人の権利を侵害や事業の妨害目的だったなら、立派な偽計業務妨害です。
紛争処理機関への申し立てなどで取り戻すことも可能のようです。

とはいえ、乗っ取られないように対策をしたいですね。

乗っ取りの経緯

今回の乗っ取りは、ドメインの所有者が、犯人にドメインを譲渡することを承認してしまったことが原因のようです。

ドメインの管理会社を変更したいとき、移管申請をおこないます。
ここで問題なのが、移管申請はドメインの移管先でおこなうということです。

ドメイン移管申請は第三者でも可能

たとえばバリュードメインに登録しているドメインをエックスドメインに移管するなら、エックスドメインで申請します。
このとき所有者などの確認はしないので、申請だけならだれでもできてしまうのです。
※ドメインの種類(.comなど)によっては、認証用鍵などが必要となります

移管申請がおこなわれると、ドメイン登録をおこなっているレジストラから、ドメインの所有者へ承認確認メールが届きます。
レジストラとは、ドメイン管理会社から依頼をうけて、実際にドメインの登録管理をおこなっている会社です。
窓口と、登録作業が別会社ということですね。
(※同じケースもあります)

例えばバリュードメインの場合は、GMO、eNom、KeySystemsという3つのレジストラに登録依頼を依頼しています。

ドメインの所有者が、承認するとドメインが移管されます。

ドメイン移管 承認

つまり確認メールに対して「はい」と答えると、ドメインが犯人のものになってしまうのです。

犯人も、まさか承認するとは思っていなかったはずです。
ですが承認されてドメインが移管されてしまい、驚きつつも、ネームサーバーを変更し、声明文のようなものを掲載したと思われます。

ではなぜ、元々の所有者は承認してしまったのでしょうか。
理由はわかりませんが、ついうっかりという可能性が高いと思います。

承認しなくても移管されてしまうことがある

JPドメインの大元の登録管理をおこなっている株式会社日本レジストリサービス(JPRS)では、JPドメインの移管について次のように定めています。

当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。

難解すぎて、意味が分かりませんね。

JPRSから指定事業者に、何らかの確認をしたとき、

その会社が、JPRSに対して、10日以内に回答しない場合

指定事業者が、登録者(僕たち)から「はい」という確認をとった

とみなす、ということです。

指定事業者とは、ドメイン登録をおこなっているレジストラです。
例えばバリュードメインの場合は、GMO、eNom、KeySystemsです。

この規則は、JPRSと指定事業者間での取り決めです。
指定事業者が、しっかりと対応すれば問題ありません。

問題は指定事業者とドメイン所有者間です。

以前は、一部の指定事業者では、次のような決まりがありました。

期日以内に移管承認メールに対して返答がない場合、「承認」したとみなす。

メールを放置するとドメインが他人のものになるという、恐ろしい状況だったのです。

ドメイン移管メール 放置

しかしラブライブの事件以降、多くの事業者が次のように改訂しました。

期日以内に移管承認メールに対して返答がない場合、「非承認(拒否)」したとみなす。

意思を示さない限り、ドメイン移管申請は無効となりました。

これで安心なのですが…

レジストラは無数にあります。
以前の「返答がなければ承認」という決まりのままのレジストラがあるかもしれません。

登録している会社の規約をチェックしておく必要がありますね。

移管申請させないためにドメインにロックをかける

今回はJPドメインでしたが、他のドメインでも何らかの問題がでてくるかもしれません。
誰も気が付いていない落とし穴は、必ず存在します。

またドメインにかかわる企業側が対策しても、僕たち所有者側で「ついうっかり」というミスは必ずあります。

そこで重要となるのがドメインロック(レジストラロック)です。
これを設定しておくと、移管申請が自動で拒否されるので、意図しないドメインの乗っ取りを防ぐことができます。

ただし、ドメイン管理会社によってはドメインロックの設定ができないケースがあります。
また設定ができても、有料という会社もあります。

ドメイン管理会社に特にこだわりがなければ、この機会にドメインロックの設定が無料でできる会社に移管してみてください。

ドメインロックができる管理会社

ドメインロックの設定が無料でできるドメイン取得管理会社を3つ紹介し、各会社の設定方法を簡単に説明します。

エックスドメイン

エックスドメインは、他よりも更新料が安いのが特徴です。

エックスドメイン
Xdomain

エックスドメインの移管ロックは、レジストラロックで設定します。

実際にはドメイン取得時にレジストラロックが有効になるので、特に設定する必要がありません。

ロックを解除または再設定は、ドメインパネル上からおこなうことができます。

エックスドメイン レジストラロック

バリュードメイン

バリュードメイン
バリュードメイン

バリュードメインの移管ロックは、ドメインロックで設定します。

初期値がオフのため、気合を入れてサイトを作るときは、乗っ取られないようにオンにしておきましょう。

ドメインの設定操作画面から、ドメインロックを選択します。

バリュードメイン 設定

ドメインロックのパスワードを入力します。
パスワードは8文字以上32文字以下で英字と数字の両方を含みます。
この画面を再度開くと、パスワードがそのまま表示されているので、現時点では忘れても大丈夫です。
(将来的に、非表示になる可能性があります)

ドメインロック設定に「無効」とあるのは、現在の設定が無効だという意味です。
有効にするために、チェックボックスにチェックを入れてください。

バリュードメイン ドメインロック

変更ボタンを押し、ドメインロックを有効にします。

お名前.com

メールでのお知らせがスパム的に多く、とても迷惑なお名前.com。
取得価格1円キャンペーンが時々あるので、メールの問題さえなければ、おススメできるのですが…
とても残念な、ドメイン取得会社です。

お名前.com
お名前.com

ロックは、ドメイン移管ロックで設定します。

Naviパネル上の、ドメイン移管ロックをクリックします。

お名前.com 移管設定

ロックしたいドメインのステータスを、「ON」に切り替えます。

まとめ

ドメインロックをしたからといって、完全に乗っ取りからドメインを守れるということではありません。
しかし今回のような、移管を利用した乗っ取りを防ぐことができます。

気合を入れた作成した大事なサイトを守るためにも、ドメインロックをオンにしておきましょう。