著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。

 2019年4月上旬の注目ニュースは3件。最初は、旧山梨医科大学(現山梨大学医学部)のドメインを第三者が取得した問題を取り上げる。

旧山梨医大のドメインを第三者に取得される(4月5日)

 旧山梨医科大学(以下、山梨医大)のドメイン「yamanashi-med.ac.jp」を使って、アダルト情報を掲載するサイトが見つかった。原因は、日本レジストリサービス(JPRS)による審査のミスだった。

旧山梨医大のドメイン「yamanashi-med.ac.jp」のwhois情報
(出所:JPRS)

 URLに使うドメインには、取得できる組織が制限される「属性型ドメイン」がある。例えば、ドメインの末尾が「co.jp」なら株式会社などの企業、「go.jp」なら政府関係の組織、「ed.jp」なら小中学校など18歳未満を対象とした学校組織と決まっている。

 問題があった「ac.jp」は、18歳以上を対象とした学校法人や教育機関が取得できる。属性型ドメインの取得申請に対して、対象の組織かどうかの判断はJPRSが審査することになっている。

 yamanashi-med.ac.jpを所有していた山梨医大は2002年、山梨大学の医学部として統合。そして、ドメインを手放した。

 その後、「みやうちしんや」という人物によって取得された。教育機関とは関係のない人物だとみられる。

 JPRSは外部からの指摘で問題に気付いた後、該当サイトを閲覧できないようにした。具体的には、DNSサーバーのレコードを書き換えて、登録者のIPアドレスを応答しないようにしたという。

 JPRSは属性型ドメインの審査について、「最初に申請を受け付けた契約事業者(レジストラ)が審査し、その後、JPRSでも審査することになっている」(広報担当)という。しかし、「JPRSの審査に時間がかかることがあるので、レジストラの審査だけでとりあえず登録を行うことがある。今回はそのケースだった」(同)と説明する。

 レジストラの審査だけで登録を行っても、通常は登録後にJPRSが審査を行う。ところが今回は、業務プロセスのミスでJPRSが審査を行っていなかった。今後は、レジストラにきちんと審査するよう指示するとともに、JPRSでは全数審査を徹底するとしている。

https://whois.jprs.jp/

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら