パスワードを忘れた? アカウント作成
13879339 story
アニメ・マンガ

「ラブライブ!」公式サイト、乗っ取られる 78

ストーリー by hylom
やらかし 部門より

4月5日未明、人気アニメ「ラブライブ!」シリーズの公式サイトが一時的に何者かに乗っ取られる事態になっていた(ITmedia)。現在は復旧しているようだ(ハフポスト)。

サイトをホスティングしているサーバーが乗っ取られた訳ではなく、同サイトのドメイン(lovelive-anime.jp)の所有・管理権が何らかの手段で第三者に移管されてしまった模様。

過去には一部のドメイン名登録代行事業者で第三者による移転申請が意図せず実行されてしまうというトラブルがあったが(過去記事)、今回のケースもこれに似た問題があったのではないかとの指摘が出ている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年04月05日 19時24分 (#3594135)

    汎用JPドメイン名登録申請等の取次に関する規則 [jprs.jp]

    第11条(取次にかかる登録申請等に対する決定の伝達業務)
    2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、
    指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、
    指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。

    ラブライブ!公式サイト乗っ取りに使われた「ドメイン移管」の仕組みとは “10連休”に危険潜む? [itmedia.co.jp]

    JPRSの規則にある「10日以内」。この数え方をJPRSに確認すると、「営業日計算ではなく暦通りの数え方だ」という。

  • とりあえず (スコア:5, 興味深い)

    by Anonymous Coward on 2019年04月05日 19時25分 (#3594136)

    犯行声明っぽいものを公表しているアカウント
    https://twitter.com/oBtDRGeGS1F7AL0 [twitter.com]

    以前にamusecraftのドメインを乗っ取ったと思われる人物のアカウント
    https://twitter.com/en92 [twitter.com]

    同一人物なのかについては何とも言えない感じですかね。
    以前の件と今回の件で意外と簡単にドメインを乗っ取れることが証明されてしまったので、今後も似たような攻撃が続くような気がします。

  • by Anonymous Coward on 2019年04月05日 21時11分 (#3594195)

    JPドメインの移管を経験したことがある人なら分かると思いますが、JPドメインの移管システムには欠陥があって、認証鍵(AuthCode・Authorization Key)が存在しないんです。

    だから、移管をするために、ドメインロックを解除したあと、自分で移管申請を行うより先に誰かが移管申請してしまうと、ドメインが乗っ取られてしまいます。

    【汎用JP・属性型JP】移管手順 - さくらのサポート情報
    https://help.sakura.ad.jp/hc/ja/articles/206053072 [sakura.ad.jp]

    例えば、さくらインターネットだったら上記のようにサポートにまず「移管承認の依頼」を出します。
    そして、その後、移管申請があったら無条件で第三者に移管されてしまいますので、自分が申請を出すより先に誰かが申請を出したら、その人にドメインを乗っ取られてしまいます。

    さくらインターネットよりセキュリティを重視しているレジストラ、JPRSなら、
    「GMOインターネットへの移管を承認しますか?」などのような確認をしてくれますが、
    自分と他の悪意のある人物の両方がGMOインターネットへの移管申請を出していた場合の安全性は保証されないのです。

    ※特にGMOインターネットは日本ではシェア半分以上ですし

    ということで、AuthCode がないJPドメインは欠陥品であって、どんなに気を付けたところで、安全に移管する方法は存在しない というのが真実です。
    JPドメインは移管できないので、一度決めたレジストラは変更できないと考えましょう。

    • by Anonymous Coward on 2019年04月05日 21時16分 (#3594200)

      今年になってから、さくらインターネットからお名前.comに移管したことがあるんですけど、

      (1) さくらのドメイン管理ページにログインして「移管承認の依頼」を出す(任意のメッセージは入力できないので移管先のレジストラ・アカウントの指定もできない)
      (2) お名前.com 側からドメイン名を入力して移管手続を行う

      としただけで自動的に移管が終わりました

      AuthCode の入力も、WHOISメールアドレスなどへの確認メールの送信手続などもありませんでした
      (1) と (2) の手続の間に第三者が割り込んでしまったら、その人に移管されてしまうわけです

      ほんとにどうしようもない欠陥システムなので、さっさとAuthCodeを導入していただきたいものです

      親コメント
    • JPドメインにロックはないですよ。
      指定事業者なら移管申請はいつでも出せます。相手の状況は関係ありません。
      それに対して移管元の指定事業者が一定期間内に拒否をしなければ、自動的に移管は成功します。
      指定事業者がやることは常に全て信用できる、という前提でシステムが組まれているようです。

      親コメント
    • 自分が申請を出すより先に誰かが申請を出したら

      これ、一見するとタイミングが難しいように見えますが、ネームサーバの変更を自動チェックすれば手続に割り込むのは簡単そうですね。

      ネームサーバとレジストラor代理店が同じ場合、事前準備として移管する前にネームサーバを新しいレジストラor代理店にするのが一般的ですから、
      タイミング見計らってドメイン移管手続をすれば結構な確率で乗っ取れそうです。

  • AYBABTU (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2019年04月06日 0時34分 (#3594283)

    ALL LOVELIVE PAGE ARE BELONG TO US

    • by Anonymous Coward

      しまった、先に書かれた

  • by Anonymous Coward on 2019年04月05日 19時34分 (#3594144)

    明示的に移管を拒否しない限りは、自動的に移管が許可されるというのがデフォルトだからね。
    管理者不在時にドメインが宙に浮いてしまうのを防ぐためだろうけど、こういう事故もあるだろうね。

    • by Anonymous Coward

      更新料を払い続けているうちは宙に浮いていないという判断じゃダメなのか?

      • by Anonymous Coward
        普通はそのためにドメインロックサービスと称する料金を払うわけだが
        jpドメインにはない
        • by Anonymous Coward

          srad.jpも大丈夫なんかね。

          非SSLなサイトだとMITM攻撃が簡単に出来ちゃうから防御手段が欲しいとは思う。
          メール乗っ取りだけでも、パスワード再発行やらなにやらでセキュリティ的にボロボロになっちゃう可能性も有るし。

          • by Anonymous Coward

            ある日スラドが乗っ取られてtypo日記に。

            • by Anonymous Coward

              つまり、既に乗っ取られているということですか?

          • by Anonymous Coward

            ドメイン乗っ取られたらSSLあろうとMITMなんて不要で攻撃者のサーバーに向けて再度証明書発行してもらえば見分けなんてつかない。

            • by Anonymous Coward

              そういえば、EV証明書以外だったら簡単に取得出来ちゃいますね。

              たとえば、三菱UFJ銀行とか汎用.jpドメインなんですよね。
              これでドメインを乗っ取れた場合、MITMというかフィッシングサイトを作れば本物のURLで、オートコンプリートで、本物のIDとパスワードが手に入るので犯罪に利用される危険性が。
              オートコンプリートって、URLとかだけでEV証明書が同一かのチェックはしてなかった気がする。

              JPRS [jprs.jp]自身が乗っ取られないと認証キー導入みたいな機能導入までいかないのかなぁ。

            • by Anonymous Coward

              詳しくないんだけど、certのロックとかはこれを防ぐため?

      • by Anonymous Coward

        ルール上は10日以内に指定事業者が回答していれば防げた話なので、担当者が忘れてしまったとかでも無い限り発生しないんですけどねぇ。

        • by Anonymous Coward

          登録者の意思を確認しないで勝手に回答していいの?

    • by Anonymous Coward

      ✕事故
      ○事件

  • by Anonymous Coward on 2019年04月05日 19時11分 (#3594125)

    ここはつりのめいしょ

  • by Anonymous Coward on 2019年04月05日 20時07分 (#3594165)

    rob live!

    • by Anonymous Coward

      ラブサバイバーがラブライバーに乗っ取られた感がある。

      #飛影はそんなこと言わない。

      • by Anonymous Coward

        チャンスをつかみ取るんですね

  • by Anonymous Coward on 2019年04月06日 1時30分 (#3594294)

    JPRSの手続きは過去からの継続性と整合性を重視しすぎていて、現状に即していないのかもしれない。

    ただ、この件で、JPRSばかり責められるのもお門違いに思える。登録者からの移転の正否の確認が取れない場合に、
    拒否をしないでそのままにしている指定事業者(レジストラ)が一番問題だと思う。

    10日経過後になにもしないと自動承認されるのは、指定事業者が仮死状態に陥った際に、ドメイン名の
    登録者を保護する(ネームサーバ設定変更など可用性への影響を最小限にする)ため、と聞いた覚えがある。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...