バリュードメインが仕様を変更、第三者にドメインが乗っ取られる騒動を受けてか 42
ストーリー by hylom
さすがにこれは 部門より
さすがにこれは 部門より
あるAnonymous Coward曰く、
「amusecraft.jp」というドメインに対し第三者が移転申請を行い、うっかり承認してしまってトラブルになったと思われる小さな事件があり、スラド日記でも取り上げられていましたが、この舞台となったバリュードメインで仕様変更が行われました。
従来は「ドメインロックがかかっていない、かつ、承認メールからの手動承認・手動拒否をしない場合、ドメイン移転、指定業者変更申請から10日経過後、自動承認になる」という仕様だったのが、「ドメインロックがかかっていない、かつ、承認メールからの手動承認・手動拒否をしない場合、ドメイン移転、指定業者変更申請から10日目の午前3時頃、自動拒否になる」ように変更がなされました。
事由として「昨今、JPドメイン名におきまして、第三者によると思われる、意図しないドメイン移転、指定業者変更申請が確認できております」とあり、今回の事態(やった本人は自動承認を否定していますが)を受けた対処とみられます。
これにより放置されたドメインの引継ぎが難しくなりましたが、実際必要なのに様々な問題(管理者メアドの実質的消失、業者夜逃げ等)から有効期限切れまでドメインの管理がなされずアダルトやフィッシングサイト行きの展開が多い中、皆様はどう思われますか?
なお、被害者のドメインは.comで取り直した模様。
根本的には「死んだドメインを他者に再利用させない」が必要じゃないかな (スコア:3, 興味深い)
今回は生きて運用されているドメインの扱いのトラブルだけど、根っこにあるのは簡単に移転できることが問題なのではないかと思う。
オンラインで手続する限り、どうやったって乗っ取りは発生するわけで、それを防ぐためにはそもそも移転手続きをオンラインだけで処理できないようにするしかない。
それだと困るケースは当然出てくるだろうけど、そういうものなんで慎重に運用しないとダメなんですよと周知すれば、ドメイン利用者だって対応するだろうし、少なくとも法人管理であればそれで問題は出てこないでしょ。
任意のドメインロックではなくて、めんどくさい実在証明手続きとかを取らないとそもそも移管できないようにして、それができないならそのドメインは永久に失効するのを基本にした方が良いと思う。
支払いを忘れてたとかで更新期限を過ぎてしまっても、そのドメインはもう二度と利用できないようにして、うっかり失効させてしまったら新しいの取り直さないとダメくらいのペナルティはあってもいいと思う。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:根本的には「死んだドメインを他者に再利用させない」が必要じゃないかな (スコア:1)
現状は金払ってくれてる生きたドメインだけ管理してればいいけど、失効したドメインは誰が管理するんだ。
Re: (スコア:0)
Re:根本的には「死んだドメインを他者に再利用させない」が必要じゃないかな (スコア:1)
発想を転換するんだ。
ドメインを消して取り直す運用を基本にすれば初回手数料の名目で金取れるようになる。収益構造を変えるんだ。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
それ失効させてakiraani2.comを取りなおさせたとき
前と同じ値段がつくわけないじゃないですか
そこを納得させる方法を発見しないと机上の空論にも届いてない
Re: (スコア:0)
あんまり高くなるとSSLでオレオレ証明書とかあったように、他の方法が生み出されてしまって減収になるかもね
じりじりと上げていかないと
googleだとGoogle Public DNSだけに有効なドメインとか勝手にやりそう。
Re: (スコア:0)
html のリンク (href・src) にタイムスタンプを付加可能にする拡張をして、ドメインの所有者がタイムスタンプ以降に変更されていたら即座にジャンプ・読込をせず警告を出すようなオプションをブラウザで実装するのはどうだろう…とか考えはした。
Re: (スコア:0)
よいドメインは死んだドメインだけだ
Re: (スコア:0)
貧乏人乙。
本当に良いドメインは取得費用に比較して利益誘導性が高いドメインだ。
Re: (スコア:0)
汎用JPで1ヶ月、属性JPでも半年で蘇生可能なので
よいドメインなど存在しないということでOK?
https://jprs.jp/about/dom-rule/lifecycle/ [jprs.jp]
多いの? (スコア:0)
管理放棄後にアダルトに取られたというのはよく聞くけど、必要なのに取れなくてアダルトに取られたとかあまり聞かないけど。
Re:多いの? (スコア:5, すばらしい洞察)
amusecraftはもとからアダルトですが
門外漢なので勘違いかもしれませんが (スコア:0)
Re:門外漢なので勘違いかもしれませんが (スコア:2, 参考になる)
10日間自動承認ルールはレジストリであるJPRSの規定( 汎用JPドメイン名登録申請等の取次に関する規則 第11条第2項) [jprs.jp]だから,レジストラはこれに従ってきたんじゃないかな?
むしろ変更できたのはどうして?
Re:門外漢なので勘違いかもしれませんが (スコア:1)
レジストラントが回答しなければ不承認とみなす合意をレジストラがレジストラントとの間でして、
それを根拠にレジストラントが承認しない旨の回答をレジストラがJPRSに対して行っても当該規定とは矛盾しないと思います。
Re: (スコア:0)
> レジストラントが回答しなければ不承認とみなす合意をレジストラがレジストラントとの間でして、
> それを根拠にレジストラントが承認しない旨の回答をレジストラがJPRSに対して行っても当該規定とは矛盾しないと思います。
その通りだが、VALUE DOMAIN においては、ユーザ(レジストラント)とレジストラ(VALUE DOMAIN)の間で、そんな合意は成立していない。
https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html [jprs.jp]
第11条第2項
当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事
業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を
しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ
の意思を有する旨の回答を得たものとみなす。
については、
ユーザが移管を承認するか拒否するかのメールを放置した場合、
何ら意思の表明をして
Re:門外漢なので勘違いかもしれませんが (スコア:1)
ユーザ保護のための緊急措置だから、やむを得ない運用判断というのはわかっていると思うが…。
なんだかんだで、泥縄になるのは仕方ないんだよ。(能力の限界ってこと)
人間自体が欠陥の塊みたいな物なんだから(;_; )
あんまり責めないで置きましょう。
Re:門外漢なので勘違いかもしれませんが (スコア:1)
コンピュータ技術者は法を重視する(たとえ悪法であれ。そうしなければコンピュータは動かない。)が、技術者があきれる程に世間は想像以上に法を軽視している。
世間はコミュニケーション(協和、協調性)を重視し、明文化された規範、規則を異常な程、軽視する。
コンピュータ(機械)と技術者は法(物理法則、規則、仕様)に従うことで解決する。他方で、世間というのは対話で解決する。
技術者、学者として成長するほど世間と乖離した思考様式になっていくのは必然であり不可避的であると言える。そして、世間と溝や対立、批判批難を起こす不可避的に。まあ、季節の風物詩(青春期とかイヤイヤ期)と同じだね。(ただの成長の過程)
「法を守って悪を生かす」か「法に反して法(事後法とか)で裁いて正義を為す」青年期の葛藤だよね。市民となって自己保身、自衛に努めるか、革命家となって戦いに努めるか。(マクロ的に見れば、市民が日和見であること(勝馬に乗ること)で社会全体としては秩序を維持できるわけだから、マクロ的には日和見も悪くない。革命家(コンピュータでいえばハード屋、言語屋、OS屋、DB屋、フレームワーク屋)が乱立すれば長い戦国時代になるわけだし。)
まあ、世間というのは良識(?)があって「法に反しても正義を為したなら咎めない」というものなんですよ。
「正しいが故に間違っている。/間違ってはいるが正しい。」というのが世の中にはあって、人道、倫理、宗教、経済、環境、法律、政治、時代の価値観などなどはふつう全両立しない。経済と環境が両立しないとき環境を取れるかどうかが良識の有無なわけ(この場合は制度設計をするほうが重要だろう)。((英語として)正しいスペルや単語と(プログラムとして)正しい関数名が必ずしも一致しないことと同じである。何語を英語に訳したらそうなったかは知らないが、「とにかく酷い。酷すぎる。人道に反している。」ような命名も世の中にはある。)
一言にまとめるなら「間違ってはいるが正しいこと」を批判するのは野暮ですよ。(まあ、批判するのは職業病・職業癖みたいなものかもしれませんが、成長の過程と思って克服してくださいな。)
Re:門外漢なので勘違いかもしれませんが (スコア:1)
バリュードメインのは移管申請を相手先レジストラに送って、先方で10日放置されてたら
自動承認がかかるところを、期限直前日のAM3時でバッチ流して自ら取り下げ&申請した
ユーザへは不承認扱いとして回答するように運用変更したってことなんでは
Re: (スコア:0)
挙げている11条2項はJPRSからの連絡に指定事業者がシカトぶっこいた時にJPRSが何とかするための規定じゃないですかね?
.jpの場合は.comなどのレジストラと違ってただの取次ぎですし。
Re:門外漢なので勘違いかもしれませんが (スコア:1)
被害には同情するが、防犯意識の欠如には「脳みそお花畑」のような辛辣な批評を抑え難いと思うけど。
今回の件では、ドメイン・ロックという保護機能があった。ユーザはそれを使わなかった。
ルータなどの初期パスワードを変更しないユーザと同様、それはユーザの落ち度としか言いようがない。
もう一度、記事とリンク先を読み返して下さい。「セキュリティを解除したまま放置してたら盗まれた」という話ですから。
大体、世間を騒がすよなニュースが毎月の様に流れているのに、セキュリティを強化、点検しない方がどうかしているとも思う。(もちろんしたくてもできないやむをえないりゆうもわかる。)
Re: (スコア:0)
それだと、わきが甘いやつはだましてもいい、みたいな論調にみえますよ。
批判されるべきは、騙した人間でしょう。
そのうえで、犯罪被害に遭わないためにセキュリティの重要性を説けばいいわけで。
ドメイン管理費10年間前払い制度が必要 (スコア:0)
契約時点で10年間のドメイン管理費を前払い
1年後に11年目のドメイン管理費を引き落とし、
2年後に12年目の・・・・
とか、常に10年分ドメイン管理費前払いするサービスがあれば、
うっかり支払い忘れたり、サイト閉鎖しても、
10年間は他人にドメイン使われるのを防げる
Re: (スコア:0)
今回の件は意図しない失効ではなく
意図しない移転なので、お金払ってても移転されちゃいますよ
あとレジストラが廃業するっていうリスクも
10年ぐらい前に99年ぐらい自動延長しますよ!ってところつぶれてたような…
Re: (スコア:0)
さすがに10年分も先払いされてて、余所への移転申請来たらドメイン所有者に
確認するんじゃないでしょうか
転じて、なんで今回ドメイン所有者への確認なくレジストラが移転承認しちゃったんでしょうねえ…
amusecraftさんが「レジストラから何も通知なかった」的な証言がないのも気になるので
ねとらぼが関係者各位へ直撃インタビューやって背景洗い出ししてくれないかな…?
Re: (スコア:0)
普通、移転申請の確認のメールかなんか来てるはずよ。
それを放置してたら自動承認されただけで、たぶん所有者がそれを見落としたんでしょう。
まぁ普通に考えて、放置したら持っていかれる、とは思わないかも。
と思ったけど、やっぱそれが自動承認が常識なのかな。
自分はValueDomainからGoogleDomainに移転したクチで、Enom登録だったから移転申請の確認メールはEnomから来てて、キャンセルしたい場合はアクションを、何もしなければ進めます、になってるわ。
移転なんかなかなかしないし、どういう流れで処理されるのか承知してない人がほとんどかもね。
自分も気をつけねば。
ていうか、移転申請する際にドメインごとにキー(ランダム文字列)が必要だけど、盗んだ人はそれはどうやって得たんだろう。 .jp はそういうのいらないのかな?
自分は .com しかとらない主義なので。
Re:ドメイン管理費10年間前払い制度が必要 (スコア:2, 参考になる)
>自分も気をつけねば。
今回の件で気になって
GoogleDomainsに問い合わせてみたのですが
10日で自動却下のほうらしいです
あまり気にされないフローだからか、書いてあるところ自体が少ないかも…
Re:ドメイン管理費10年間前払い制度が必要 (スコア:2)
HIRATA Yasuyuki
Re: (スコア:0)
登録しっぱなしで申請者情報の更新も無く連絡つかないドメインがたくさんあるからではないだろうか。
レジストラも問題になるケースがあるのはわかってるので、ドメインロックなどという仕組みがあるのかなと思ったり。
認証コードとかつかったらだめなの? (スコア:0)
移行手続きをしたときに、新レジストラおよび旧レジストラ両方が認証コードを発行、
新レジストラ発行認証コードを旧レジストラに入力、
旧レジストラ発行の認証コードを新レジストラに入力、
両方一致すれば自動的に移管手続きされるみたいなの
Re: (スコア:0)
今回のはドメインロックがかかっていない場合の問題なので、
適切にドメインロックが設定されていたら防げる話しです。
バリュードメインのドメインロックデフォルトが過去現在でどうなってるのか覚えていませんが
私のバリュードメインで管理しているドメインはロックかかってる状態です。
悪いのは JPRS (株式会社日本レジストリサービス) です (スコア:0)
Twitter 界隈を見てみると、この件で VALUE DOMAIN が悪いと勘違いしている人が多いようですが、間違っています。
10日間対応を行わない場合に、ドメイン移管・指定事業者変更が承認されるのはJPドメイン名のレジストリ(登録管理業務)を行っている唯一の会社である JPRS (株式会社日本レジストリサービス) の仕様です。
「他のレジストラでは10日経過でも移管が承認されたことにならないのでは?」と思うかもしれませんが、そういうレジストラは、ユーザが意思確認を行わなかった場合に、レジストラが勝手に拒否の回答をしているだけです。言い方によっては、転出妨害のようなもので、ユーザが連絡先メールアドレスやレジストラのパスワード等を失念していた場合に移管ができなくなる問題があります。
VALUE DOMAIN のレジストラとしての問題点は、10日放置で移管等が自動承認されるのが JPドメイン(JPRS)の仕様であることと、嫌ならドメインロックをする必要があることをユーザに周知していなかったことぐらいで、仕様自体はJPRSの仕様通りなので問題ありませんでした。
10日放置で自動承認されるのが問題と考えるなら、レジストラではなく、JPRS (株式会社日本レジストリサービス) を責めるべきです。
Re:悪いのは JPRS (株式会社日本レジストリサービス) です (スコア:1)
第一は「乗っ取り犯」
第二は「乗っ取られたユーザ(管理怠慢)」
だと思うけど。
技術的な問題であればVALUE DOMAINやJPRSだろうけど、今回は、単にユーザの管理ミスのように思う。
ユーザ側のセキュリティ人材不足か、システム保全管理人材不足だろう。
Re: (スコア:0)
Re: (スコア:0)
10日放置で自動承認されたわけじゃないというのは乗っ取り犯がそう主張しているだけだよね。
Re: (スコア:0)
Re: (スコア:0)
バリュードメインさんは今回どっちなの?
・ユーザ何某が契約するレジストラから届いた、ドメイン移管申請を処理する
(=amusecraft.jpを管理していたレジストラ)
・ユーザ何某と契約したレジストラであり、amusecraft.jpを管理するレジストラに
ドメイン移管申請をかけた側
記事中にリンクはられてた日記のコメントの中のtweet
twitter.com/hide_gtv/status/1045524557514166273 の移転申請中画像は
バリュードメインさんの管理画面なので後者に見えるんだけど…
とすれば、相手方の処理を待つ立場だったのに今回の規約変更は何の意味が。
Re: (スコア:0)
移転元と移転先が両方ともバリュードメインってことでしょう
Re: (スコア:0)
レジストリ-レジストラ間の規定がレジストラ-レジストラント間に同じように適用されるわけじゃないんですが。
何も考えずに同じように適用しちゃったレジストラの非だと思いますよ。
Re: (スコア:0)
> レジストリ-レジストラ間の規定がレジストラ-レジストラント間に同じように適用されるわけじゃないんですが。
それはいいとして、
https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html [jprs.jp]
第11条第2項
当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事
業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を
しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ
の意思を有する旨の回答を得たものとみなす。
意思確認を求めるメールをレジストラがレジストラントに送信し
事業者より所有者の管理に問題あり (スコア:0)
元々のドメイン所有者にもなんらかの通知がメールで来ているはずで、それをスパムだと思ったのか、チェックを怠って放置したのかわかりませんが、所有者が一番悪いような・・・。
Re:事業者より所有者の管理に問題あり (スコア:1)
巧妙な攻撃者の場合(攻撃対象を限定した場合)、被害を防ぐのは難しい。(というか、どうやって防いだらいいの?ってなる。)
まあ、ドメインを人質にする攻撃なんて「想定外」だったのでは?
特に兼業管理者の場合。