ドメインの更新料を払い忘れると、ドメインは失効してしまう。失効すれば誰でも取得可能な状態となるため、ドメインを奪われてしまう恐れがある。ドメインの運用は、更新料さえ支払っていれば安泰なのだろうか?
そんなことはない。ドメインを第三者に奪われたり、自社のドメインと誤認するようなドメインを登録されたりする事例がある。こうしたトラブルを詳しく見ていこう。
意図しない承認が問題に、移管手続きの「穴」
まずは第三者に自組織のドメインを奪われる攻撃「ドメインハイジャック」を紹介する。
ユーザーが登録したドメインは通常、窓口になったドメイン登録事業者(レジストラ)を通じて管理する。ドメインハイジャックの手法として知られているのが、このレジストラを変更する「移管」という手続きを悪用する方法だ。第三者が移管によってドメインの登録者になってしまうと、元の登録者になりすましてWebサイトを設置したり、メールをやり取りしたりできる。
移管手続きを悪用したドメインハイジャックは過去に何度も確認されていて、大きく報道されたのが2019年に人気アニメの公式サイトのドメインが第三者の手に渡った事件だろう。
この事件では、攻撃者は移管手続きの「穴」を突き、正規の登録者からドメインを奪った。まずは、あるドメインの登録者がドメインを管理するレジストラを、別のレジストラに変更する移管手続きの大まかな流れを見てみよう。
ドメインAの登録者がレジストラを「X」に変更する場合、レジストラXに移管を依頼する。依頼を受けたレジストラXはレジストリに対して移管を申請。レジストリはドメインAの元のレジストラ(図では「Y」)に移管の意思確認を求める。レジストラYは登録者に意思を確認。登録者が移管の承認を通知すれば、レジストラYを介してレジストリに通知され、移管が完了する。
この手続きの「穴」とは、登録者の承認手続きにある。JPドメインを管理する日本レジストリサービス(JPRS)では、移管の意思を確認する通知を送ってから、10日以内に移管を拒否する返答がなかった場合、移管を完了する。JPRSの「汎用JPドメイン名登録申請等の取次に関する規則」の第11条で規定している。
2019年の事例では、攻撃者がドメインAの登録者になりすましてレジストラに移管を依頼し、登録者が拒否する返答を行わなかったため、移管が完了したと見られている。この10日ルールは営業日ベースではなく、単純な日数でカウントされる。このため、年末年始やゴールデンウイークといった大型連休を挟まれると、登録者が気づきにくいという問題があった。
なお、この手法は2つの対策によって封じ込まれるようになった。1つは、大手のレジストラなどがこの事件を受けて、登録者から応答がなかった場合に拒否の意思をレジストリに通知するようになったことだ。もう1つは、JPRSが「認証コードによる確認」を2022年11月に導入したことだ。レジストラに移管を依頼する際に、移管元のレジストラを通じて入手する認証コードが必要になった。
