4月5日未明、人気アニメ「ラブライブ!」シリーズの公式サイトが一時的に何者かに乗っ取られる事態になっていた(ITmedia)。現在は復旧しているようだ(ハフポスト)。
サイトをホスティングしているサーバーが乗っ取られた訳ではなく、同サイトのドメイン(lovelive-anime.jp)の所有・管理権が何らかの手段で第三者に移管されてしまった模様。
過去には一部のドメイン名登録代行事業者で第三者による移転申請が意図せず実行されてしまうというトラブルがあったが(過去記事)、今回のケースもこれに似た問題があったのではないかとの指摘が出ている。
10連休に向けた啓発になってしまった (スコア:5, 興味深い)
汎用JPドメイン名登録申請等の取次に関する規則 [jprs.jp]
第11条(取次にかかる登録申請等に対する決定の伝達業務)
2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、
指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、
指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。
ラブライブ!公式サイト乗っ取りに使われた「ドメイン移管」の仕組みとは “10連休”に危険潜む? [itmedia.co.jp]
JPRSの規則にある「10日以内」。この数え方をJPRSに確認すると、「営業日計算ではなく暦通りの数え方だ」という。
Re:10連休に向けた啓発になってしまった (スコア:2, 参考になる)
さすがに問題だとは思ってるのか、4/26(金)に発生した申請については
10連休にともなう特別措置はあります。
#指定事業者には3月に通知済みだけど、転載は控えさせていただきます。
#JPRSさんもホームページで公知すれば良いのに…
Re:10連休に向けた啓発になってしまった (スコア:1)
むしろ「10日以内」と書いてるのに「10営業日以内って意味です」と答えたらダメでしょ。
Re: (スコア:0)
JPRSは11連休…かも
Re: (スコア:0)
BGPなんかもそうですが、インターネット運用は性善説に基づいて為されきたのだなと改めて実感しますね
Re:10連休に向けた啓発になってしまった (スコア:2, すばらしい洞察)
> インターネット運用は性善説に基づいて為されきたのだなと改めて実感しますね
いや、.com ドメインとかなら勝手に移管されないようにレジストラ・ロックできるし、
移管する場合には AuthCode による認証が入るんだから、
この件について「インターネット運用は」なんて一般化しちゃダメでしょう。
「.jp ドメインの運用は」って書かないと。
Re:10連休に向けた啓発になってしまった (スコア:1)
.comドメインのAuthCodeもレジストラロック後付けでBGPが開発されたことにはなかったじゃん。
Re:10連休に向けた啓発になってしまった (スコア:1)
どういう意味で使っているかはさておき、辞書にない言葉は不当な言いがかり。
https://dic.yahoo.co.jp/search/?ei=UTF-8&fr=kb&p=%E6%80%A7%E5%... [yahoo.co.jp]
とりあえず (スコア:5, 興味深い)
犯行声明っぽいものを公表しているアカウント
https://twitter.com/oBtDRGeGS1F7AL0 [twitter.com]
以前にamusecraftのドメインを乗っ取ったと思われる人物のアカウント
https://twitter.com/en92 [twitter.com]
同一人物なのかについては何とも言えない感じですかね。
以前の件と今回の件で意外と簡単にドメインを乗っ取れることが証明されてしまったので、今後も似たような攻撃が続くような気がします。
Re: (スコア:0)
amusecraft(dot)jpのwhoisとdrillのログは捨てちゃったので真偽不明ですが、こういう話もありますね。
https://twitter.com/osyoyu/status/1113865631177117696 [twitter.com]
ちなみにen92氏が欲しがっていた [twitter.com]precure(dot)pinkという
ドメインも今は157\.112\.187\.13を指しているようです。
一つ目のリンクでも言及されていますが、IPアドレスの一致=同一人物というわけではないので注意してください。
Re:とりあえず (スコア:1)
同一人物のような気がします。
・precure(dot)pinkの画像を消去してくれと頼んだ
https://web.archive.org/web/20190405114434/https:/twitter.com/oBtDRGeG... [archive.org]
・en92のアカウントでsyrup-soft(dot)jpについて発言している
https://togetter.com/li/1335069 [togetter.com]
https://twitter.com/en92/status/1109038965284208645 [twitter.com]
Re: (スコア:0)
前回がエロゲ屋だったからあまり大きなニュースにならなかったツケが来たな。
【要注意】JPドメインを安全に移管する方法は存在しない (スコア:5, 興味深い)
JPドメインの移管を経験したことがある人なら分かると思いますが、JPドメインの移管システムには欠陥があって、認証鍵(AuthCode・Authorization Key)が存在しないんです。
だから、移管をするために、ドメインロックを解除したあと、自分で移管申請を行うより先に誰かが移管申請してしまうと、ドメインが乗っ取られてしまいます。
【汎用JP・属性型JP】移管手順 - さくらのサポート情報
https://help.sakura.ad.jp/hc/ja/articles/206053072 [sakura.ad.jp]
例えば、さくらインターネットだったら上記のようにサポートにまず「移管承認の依頼」を出します。
そして、その後、移管申請があったら無条件で第三者に移管されてしまいますので、自分が申請を出すより先に誰かが申請を出したら、その人にドメインを乗っ取られてしまいます。
さくらインターネットよりセキュリティを重視しているレジストラ、JPRSなら、
「GMOインターネットへの移管を承認しますか?」などのような確認をしてくれますが、
自分と他の悪意のある人物の両方がGMOインターネットへの移管申請を出していた場合の安全性は保証されないのです。
※特にGMOインターネットは日本ではシェア半分以上ですし
ということで、AuthCode がないJPドメインは欠陥品であって、どんなに気を付けたところで、安全に移管する方法は存在しない というのが真実です。
JPドメインは移管できないので、一度決めたレジストラは変更できないと考えましょう。
Re:【要注意】JPドメインを安全に移管する方法は存在しない (スコア:4, 興味深い)
今年になってから、さくらインターネットからお名前.comに移管したことがあるんですけど、
(1) さくらのドメイン管理ページにログインして「移管承認の依頼」を出す(任意のメッセージは入力できないので移管先のレジストラ・アカウントの指定もできない)
(2) お名前.com 側からドメイン名を入力して移管手続を行う
としただけで自動的に移管が終わりました
AuthCode の入力も、WHOISメールアドレスなどへの確認メールの送信手続などもありませんでした
(1) と (2) の手続の間に第三者が割り込んでしまったら、その人に移管されてしまうわけです
ほんとにどうしようもない欠陥システムなので、さっさとAuthCodeを導入していただきたいものです
Re:【要注意】JPドメインを安全に移管する方法は存在しない (スコア:1)
JPドメインにロックはないですよ。
指定事業者なら移管申請はいつでも出せます。相手の状況は関係ありません。
それに対して移管元の指定事業者が一定期間内に拒否をしなければ、自動的に移管は成功します。
指定事業者がやることは常に全て信用できる、という前提でシステムが組まれているようです。
Re:【要注意】JPドメインを安全に移管する方法は存在しない (スコア:1)
指定事業者によっては、一応「ドメインロックサービス」というものはあるようですよ。
https://jpdirect.jp/service/domainlock.html [jpdirect.jp]
ドメイン名移転申請もロックされるようです。
初回設定料(1ドメイン名あたり):\ 20,520(税込)
※初回設定料は1ドメイン名につき、1回のみ適用となります。過去にドメインロックサービスの利用があったドメイン名については、設定更新料が適用されます。
けど、ロックとは名ばかりで、内部的には、指定事業者が10日以内に拒否の意思表示をするサービスなのかもしれません。
Re: (スコア:0)
以前やらかしたバリュードメインもjpドメインでも一応設定可能 [value-domain.com]です。
Re: (スコア:0)
JPRSのレジストリロックは、何らかの情報変更をしようとしたときに手続きの前にJPRSと指定事業者(レジストラ)が都度、電話で確認するような制度です。そのため手数料もお高め。
Re:【要注意】JPドメインを安全に移管する方法は存在しない (スコア:1)
親玉のJPRSが2015年からレジストリロック [jprs.jp]という機能を提供してます。
どこまで実装しているかは事業者次第です。
しかし、引っ越し時に無防備になるのは結局変わらないという。
ネームサーバの変更を自動チェックすれば手続に割り込むのは簡単 (スコア:0)
自分が申請を出すより先に誰かが申請を出したら
これ、一見するとタイミングが難しいように見えますが、ネームサーバの変更を自動チェックすれば手続に割り込むのは簡単そうですね。
ネームサーバとレジストラor代理店が同じ場合、事前準備として移管する前にネームサーバを新しいレジストラor代理店にするのが一般的ですから、
タイミング見計らってドメイン移管手続をすれば結構な確率で乗っ取れそうです。
Re: (スコア:0)
手続きに問題(脆弱性)があるって言ってんだろ。
Re: (スコア:0)
手続きをした人ではなく、手続きの設計に問題があると言っている
Re: (スコア:0)
誰でも正常に手続き出来てしまうのが問題なんだって。
家の鍵がナンバーロックで誰でも開けられたら困るだろ。
もっと強度の高い鍵を使え(るようにしろ)って話よ。
Re: (スコア:0)
はいはい俺様神様視点
AYBABTU (スコア:2, おもしろおかしい)
ALL LOVELIVE PAGE ARE BELONG TO US
Re: (スコア:0)
しまった、先に書かれた
デフォルト許可だからね (スコア:1)
明示的に移管を拒否しない限りは、自動的に移管が許可されるというのがデフォルトだからね。
管理者不在時にドメインが宙に浮いてしまうのを防ぐためだろうけど、こういう事故もあるだろうね。
Re: (スコア:0)
更新料を払い続けているうちは宙に浮いていないという判断じゃダメなのか?
Re: (スコア:0)
jpドメインにはない
Re: (スコア:0)
srad.jpも大丈夫なんかね。
非SSLなサイトだとMITM攻撃が簡単に出来ちゃうから防御手段が欲しいとは思う。
メール乗っ取りだけでも、パスワード再発行やらなにやらでセキュリティ的にボロボロになっちゃう可能性も有るし。
Re: (スコア:0)
ある日スラドが乗っ取られてtypo日記に。
Re: (スコア:0)
つまり、既に乗っ取られているということですか?
Re: (スコア:0)
ドメイン乗っ取られたらSSLあろうとMITMなんて不要で攻撃者のサーバーに向けて再度証明書発行してもらえば見分けなんてつかない。
Re: (スコア:0)
そういえば、EV証明書以外だったら簡単に取得出来ちゃいますね。
たとえば、三菱UFJ銀行とか汎用.jpドメインなんですよね。
これでドメインを乗っ取れた場合、MITMというかフィッシングサイトを作れば本物のURLで、オートコンプリートで、本物のIDとパスワードが手に入るので犯罪に利用される危険性が。
オートコンプリートって、URLとかだけでEV証明書が同一かのチェックはしてなかった気がする。
JPRS [jprs.jp]自身が乗っ取られないと認証キー導入みたいな機能導入までいかないのかなぁ。
Re: (スコア:0)
詳しくないんだけど、certのロックとかはこれを防ぐため?
Re: (スコア:0)
ルール上は10日以内に指定事業者が回答していれば防げた話なので、担当者が忘れてしまったとかでも無い限り発生しないんですけどねぇ。
Re: (スコア:0)
登録者の意思を確認しないで勝手に回答していいの?
Re: (スコア:0)
✕事故
○事件
乗っ取られる(乗っ取られてない (スコア:0)
ここはつりのめいしょ
ドメインを (スコア:0)
rob live!
Re: (スコア:0)
ラブサバイバーがラブライバーに乗っ取られた感がある。
#飛影はそんなこと言わない。
Re: (スコア:0)
チャンスをつかみ取るんですね
手続き (スコア:0)
JPRSの手続きは過去からの継続性と整合性を重視しすぎていて、現状に即していないのかもしれない。
ただ、この件で、JPRSばかり責められるのもお門違いに思える。登録者からの移転の正否の確認が取れない場合に、
拒否をしないでそのままにしている指定事業者(レジストラ)が一番問題だと思う。
10日経過後になにもしないと自動承認されるのは、指定事業者が仮死状態に陥った際に、ドメイン名の
登録者を保護する(ネームサーバ設定変更など可用性への影響を最小限にする)ため、と聞いた覚えがある。
Re:「乗っ取り」は人聞き悪いな (スコア:3, すばらしい洞察)
オレオレ詐欺も振込手続きは本人により正当に行われる
Re:「乗っ取り」は人聞き悪いな (スコア:1)
たとえ手続き上は正当でも相手の意図に反した結果を生じてさせて業務を妨害したら、威力業務妨害か偽計業務妨害になるのでは?
その後元の持ち主に返還されたということは正当ではない行いだと判断されたんだろうから。
民事責任も問われるだろうけど、ゲームが停止するなどの影響がないならそこまで高額にはならないかな。
Re:「乗っ取り」は人聞き悪いな (スコア:1)
> ゲームが停止するなどの影響がないなら
今回、乗っ取られたドメイン使ってSSL証明書がされちゃったって話なので、
証明書の期限が切れるまでの間はDNS毒入れを使った乗っ取りは可能でしょうね。
なので影響が本当にないかどうかは証明書の期限が切れるまではわからないという。
Re: (スコア:0)
該当ドメインでメールのやり取りしてたり、アカウント取得してたら別の問題が起きても不思議じゃない。
移管を含めた、ドメイン名乗っ取りはもうちょっと話題になっても良い気がするし、
利用者を守るような仕組みづくり(失効直後に取得されたら警告する、SEOのランクをリセット等)をしても良い気がする。
Re: (スコア:0)
ふむふむ、さすればサイトに挑発的な文面が書かれていたという点についてはどのように考えますか?
Re: (スコア:0)
復旧してるらしいが金でも払ったのだろうか。
正当な移管だったら強制的に取り上げることもできないと思うが。
Re: (スコア:0)
それ相応のことが出来ない設計なんだって。