法人が運営するWebサイトのドメインが無関係の第三者に乗っ取られる事件が相次いでいる。

 2019年4月5日にサンライズが運営する人気アニメ「ラブライブ!」の公式サイトが乗っ取られ、「ラブライブは我々が頂いた!」と書かれたトップページが表示される異常な状態になった。他にも2018年夏から2019年にかけて企業の物販サイトなど複数のWebサイトでドメイン乗っ取りと見られるサイトのトラブルが数件起こった。

 これらのトラブルに共通するのはレジストラーの異動手続きを悪用したと見られる点だ。レジストラーとはサイト運営者が自らのドメイン管理を任せている事業者を指す。

 ラブライブ!公式サイト(www.lovelive-anime.jp)の乗っ取りは「jp」ドメインを扱うレジストラーの間で、異動手続きにまつわる「10日ルール」が悪用されたことが関係者への取材で分かった。レジストラーの異動申請があった場合、異動元のレジストラーが10日を経過しても移管を承認するか否かの返答をしなければ、承認したと見なされる。そしてドメイン管理が新たなレジストラーに移るルールである。

ラブライブ!公式サイト。正式なドメインでは乗っ取りがあった2019年4月5日から数日休止が続いていたが、安全性を確認し4月11日に本来のドメインで再開した
出所:サンライズ
[画像のクリックで拡大表示]

 懸念されるのは、同様の手口が改元に伴う2019年の10連休を狙って頻発しかねない点だ。「jp」ドメインを管理する日本レジストリーサービス(JPRS)は10連休を挟んだルール悪用への対策として、無回答への猶予期間を10日から「11日」に伸ばす対策をレジストラーに対して打ち出した。

 しかし、乗っ取り事件の背景には、Webサイト運営の担当者がレジストラーからの業務連絡メールを見落とすなど連絡ミスが突かれている面が大きい。連休中に休みを取りたいサイト運営の担当者にとっては、業者間の返答猶予が1日伸びたくらいでは十分な予防策とは言えない。レジストラーが提供する対策サービスを利用するなど、企業はWebサイトについても10連休への備えを再点検すべき状況と言えそうだ。

ラブライブ!乗っ取り、メールの不達か見落としが原因か

 ラブライブ!で乗っ取りの対象になったjpドメインは、日本レジストリーサービス(JPRS)が全体の管理を、JPRSと契約を結んだ約60社ある指定事業者(レジストラー)がサーバー運営者へのドメイン販売やデータベースへのドメイン名登録などをする役割分担で運営されている。

 ラブライブ!で悪用されたのは、ドメインを管理するレジストラーを移管する手続きだ。例えばサイト運営者がレジストラーをA社からB社に切り替えたい場合、運営者がB社と契約すると、B社はサイト運営者に代わってドメイン管理を自社に移管させる手続きを申請する。

 この申請はJPRSを通じてA社に伝えられ、A社はこれまで自社と契約していたサイト運営者の意思を確認する。「契約先を変える」という意思を確認できたらA社は管理移管の承認をJPRSに伝える。A社の承認を受けて、JPRSは当該ドメインの管理をB社に移す。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら