ホーム > mixiニュース > IT・インターネット > インターネット > 「ラブライブ!」公式サイト乗っ取りから考える、ドメインの持ち主は変わるという事実

「ラブライブ!」公式サイト乗っ取りから考える、ドメインの持ち主は変わるという事実

3

2019年04月21日 15:30  HARBOR BUSINESS Online

  • チェックする
  • つぶやく
  • 日記を書く

HARBOR BUSINESS Online

写真正常に戻ったラブライブ公式サイト
正常に戻ったラブライブ公式サイト
◆「ラブライブ!」公式サイト乗っ取り事件

 今月の初頭、4月5日未明に、人気アニメ「ラブライブ!」シリーズの公式サイトが乗っ取られた。元々のドメイン所有者は「SUNRISE INC.」だったのだが、「UenoKaho」と名乗る人物が登録者となり、サイトの内容が書き換えられた。サイトには以下のような文書が掲載された。

>ラブライブは我々が頂いた!



>我々がラブライブを入手する際、

>手の込んだプログラミングを行なったり、

>こっそりとデータを傍受したりする必要はなかった



>我々の方法は、移管オファーを行い元所有者が移管オファーを承認しただけだった

>元所有者はこれだけであっさりと、ラブライブ!を、我々へと移管してしまった

「〜.jp」という汎用JPドメインの移管の仕組みを悪用して、乗っ取ったのだろうと推測される。

 こうした乗っ取りが可能なのだろうということは想像が付く。私も昔、ドメインの移管を検討した際、サーバー会社のマニュアルを読んで「これは乗っ取れるんじゃないか?」と疑問に思い、調査をしたことがある。すると、過去には乗っ取りが可能であり、数年前に対策が行われたことが分かった。

◆人が作るルールには穴がある

 人が作るルールには穴がある。そして穴が空いたまま気付かないことが多い。そのため、穴が発見される度に、きちんと塞がなければならない。

「ラブライブ!」公式サイト乗っ取り事件のあとネットに上がってきた情報を追うと、汎用JPドメインでは、不正なドメイン移管を防ぐ仕組みが存在しないことが分かった。

 また、移管が申請されて10日以内に拒否の回答をしない場合には、同意したと見なされる規約になっていた。汎用JPドメイン名登録申請等の取次に関する規則の第11条、第2項には、このようにある。

>第11条(取次にかかる登録申請等に対する決定の伝達業務)



> 2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。

 ドメイン名登録サービス会社の多くは、「意思を有しない」と自動的に回答するようになっている。しかし事件が起きた時点で、業者によっては回答しないところもあった(参考:不正移管によるドメイン名ハイジャックについてまとめてみた – piyolog)。起きるべくして起きた事件だということだ。

◆勝手に他人の電話番号に書き換えられた電話帳状態!?

 さて、当たり前のように「汎用JPドメイン」と書いたが、ドメインという言葉を知っている人ばかりとは限らないだろう。ドメインとは、WebサイトのURLに出てくる「google.com」「hbol.jp」のような部分だ。

 インターネット上の場所は「123.123.123.123」のようなIPアドレスになっている。しかし、それでは分かり難いので、人間が分かりやい「google.com」「hbol.jp」のような名前が付けられている。こうした名前をドメインと言う。このドメインにアクセスすると、IPアドレスの場所に自動的に繋がるようになっている。

 これは電話帳アプリで名前を選ぶと、電話番号が呼び出されて電話が繋がるようなものだ。インターネットでは、この電話帳アプリに相当するものが、ドメインネームサーバー(DNS)になる。このサーバーに問い合わせると、ドメイン名からIPアドレスが判明して、そのアドレスのサーバーを呼び出せるわけだ。

 先の「ラブライブ!」の公式サイトの乗っ取りは、電話帳アプリの情報を書き換えて、「ラブライブ!」の電話番号を、他の人の電話番号に変えたような状態だったわけだ。

 ドメインは、インターネット上で同じものは存在しない。そのため、正しいドメイン名を入力すれば、対応したIPアドレスに導かれる。「hoge.example.com」のようなドメインは、右側が大分類(ルートに近い)で、左に行くほど細かな分類になる。そして右側のドメインには種類がある。

 よく見る「.com」や「.net」は、「gTLD」(generic top level domain)というものだ。ジェネリックとは「汎用」という意味になる。gTLDは数多くあり、教育機関向けの「.edu」、モバイル向けの「.mobi」、変わったところではアダルトサイト向けの「.xxx」もある。

 次に日本を表す「.jp」や、中国を表す「.cn」などは、「ccTLD」(country code top level domain)、汎用JPドメインと呼ばれる。企業向けの「.co.jp」、財団法人など組織向けの「.or.jp」、教育機関向けの「.ac.jp」などは、属性型JPドメインという。この種の「.○○.jp」形式のものには地域型JPドメインなどもある。

◆放棄されるドメイン、売買されるドメイン

 こうしたドメインは、一度取れば永続的に利用できるものではない。お金を払って維持しなければ権利は失われる。そのため、期限切れのドメインが放出されることもある。また金銭によって売買されることも盛んに行われている。

 SEO的に優良なドメインを購入して、自社の活動に役立てるケースもある。こうした売買の実例として、最近では株式会社ピースオブケイクが「note.com」「note.jp」を取得した件が話題になった。ドメイン購入のやり取りが明かされており面白い記事だ。

 また、フィッシング詐欺サイトの運営者などが、過去のドメイン名で訪れる人を見込んで、罠を仕掛けることもある。検索エンジンで調べ物をしている際、検索内容と無関係なページが表示されることがある。そうした場合にこうしたケースがあるので注意が必要だ。

 短いドメインは人気なので、世の中には3文字ドメインや4文字ドメインを検索するサービスが色々とある。そうしたものの1つも紹介しておこう(短いドメイン検索サービス)。また、期限切れドメインをリストアップして紹介しているサイトも存在している(Expired Domains)。

 ドメインだけでなくサイト自体も盛んに売買されている。「サイト売買」でネット検索すれば、多くの業者が表示される。こうした売買については、拙作『顔貌売人 ハッカー探偵 鹿敷堂桂馬』にも書いている。

◆”美味しい”ドメイン乗っ取り

 ドメインは、このように売買の対象になる資産だ。そのため、そうしたドメインを無料で獲得できれば経済的な旨味がある。また、一時的に乗っ取ったサイトを利用して、フィッシング詐欺を仕掛けたり、ウイルスを仕込んで訪問者を感染させることもできる。

 ドメインは永続的なものではなく、その所有者が変わる可能性がある。そうした知識を持つことで被害を避けられることもある。覚えておくとよいだろう。

<文/柳井政和>

やない まさかず。クロノス・クラウン合同会社の代表社員。ゲームやアプリの開発、プログラミング系技術書や記事、マンガの執筆をおこなう。2001年オンラインソフト大賞に入賞した『めもりーくりーなー』は、累計500万ダウンロード以上。2016年、第23回松本清張賞応募作『バックドア』が最終候補となり、改題した『裏切りのプログラム ハッカー探偵 鹿敷堂桂馬』にて文藝春秋から小説家デビュー。近著は新潮社『レトロゲームファクトリー』。

あなたにおすすめ

ニュース設定