ニュース
JPドメイン名移転の「10日ルール」は、GWの“10連休問題”に対策済み
ただし、ドメイン名登録者は普段からの防衛策を
2019年4月26日 12:30
「ラブライブ!」のドメイン名が横取りされたことが話題となった。第三者がドメイン名移転プロセスを悪用し、「lovelive-anime.jp」というドメイン名を正規の登録者から奪い取ってしまったこの事件が、ドメイン名の登録者に不安を与えているからだ。
一部の報道では、この横取りの際に使われた「10日の承認ルール」(以降、「10日ルール」とする)」が、来週に迫った10連休で満たされるため注意が必要だとしている。そこで、JPドメイン名を運営する株式会社日本レジストリサービス(JPRS)に、移転のプロセスや10連休への対応についての確認を行い、あわせてドメイン名登録者ができる防衛策についてまとめた。
ドメイン名登録者にとって重要なのは、指定事業者からの移転確認の実装
ドメイン名登録者(以降、「登録者」とする)が指定事業者[*1]を変更する場合、移転先となる指定事業者と移転元となる指定事業者との間で移転に対する合意が必要となる。具体的には、移転に際して、JPRSから移転元の指定事業者に移転を承認するかどうかの問い合わせが行われ、移転元の指定事業者は登録者に移転の意思確認を行い、その結果に基づいて「承認」か「不承認」を回答する。指定事業者から10日以内に回答がなかった場合は「承認」したものとみなす、となっている。これが、いわゆる10日ルールである。最初に知っていただきたいのは、10日ルールはJPRSと指定事業者の間の取り決めであり、指定事業者と登録者の間の取り決めは別に存在するということである。
しかしながら、この10日ルールが独り歩きし、そこに来ての10連休があるため、連休に入る直前にドメイン名移転プロセスを利用した移転申請をすれば通ってしまうのではないかという不安が喚起される。そして、他者からの移転申請に対して登録者自身が10日以内に不承認の申請を行わなければ移転が成立してしまうとする記事があることで、その不安が増幅される。だが、その情報は正確ではない。まずは、移転に関する話題から述べていこう。
指定事業者の移転に関して重要になるのが、移転元となる指定事業者が登録者に対してどのような移転確認の手続き(実装)を提供しているかである。なぜなら、10日ルールによって移転が成立するのは、移転元の指定事業者から“回答が無い”場合に限られるからだ。ほとんどの場合は、デフォルトで不承認を返すようになっている。そのことを確認するために、代表的な指定事業者で実例を見てみよう。
さくらインターネット株式会社の移管に関する説明には、「ご契約者さまより事前に転出のお申し出を頂いていない場合は、転出意思が確認できないと判断し、移管申請を『不承認』としております」としている[*2]。
つまり、登録者本人より事前に「移転(転出)します」という申し出が無ければ、JPRSからの移転の意志確認が来てもすぐに「不承認」を返すということになる。
GMOインターネット株式会社の「お名前.com」でも同様に、他の指定事業者への移転手続き時には登録者本人に承認依頼メールを送信し、お名前.comが定める期日内に承認の回答が無ければ「移管拒否(不承認)」とするとしている[*3]。
その説明から、お名前.comの場合はJPRSから移転の意思確認が来てからの手続きとなるようだが、基本的に不承認となる仕組みであり、登録者が移転をしたい場合にはお名前.comからのメールに迅速に反応する必要がある。
登録者が指定事業者を変更するということは、移転元となる指定事業者から顧客が離れていくということである。したがって、登録者本人から移転の意志が確認できない場合には、他者からの移転申請に対して不承認とするかたちを取ることになるのは自然であろう。ここから分かるように、他者からの移転申請に対して登録者自身が10日以内に不承認の申請を行わなければ移転が成立する、というのは誤解である。
しかしながら、だからといって全てが大丈夫だというわけではない。前出の2つの例だけを見ても、指定事業者が登録者に提供する手続きはまるで違うものであり、登録者が誤操作をする可能性もあることを考える必要がある。筆者が考えるに、移転の意志が無いのに移転の意志有りで返事をしてしまい、ドメイン名を他者に奪われてしまうケースが無いとも限らないからだ。
登録者にとって重要なのは、指定事業者が提供する移転確認に関する実装がどのようなものであり、それが登録者にとって使いやすいか、間違いを起こしにくいかを判断することであろう。
繰り返しになるが、登録者自身が、指定事業者が定める「移転に関する確認手順」をきちんと認識し、発生しえる状況とその対応を事前に確認しておくことが大切である。筆者が知る限り、移転に関しては利用者の不利益にならないよう安全側に倒している事業者が多いが、全てを見たわけではない。この機会に、登録者自身が使っている指定事業者が、移管に関してどのような定めをしているかを確認してほしい。指定事業者の比較を行い、よりよい事業者を選ぶ際の目安にもなるはずだ。
とはいえ、10連休もあると指定事業者がJPRSに対して回答を返す時間も無いのではないか、という心配をする向きもあるだろう。その点についてJPRSに確認したところ、以下の回答を得た。
1)10日の期間の延長
2)適切に登録者の意思確認を行ってもらうよう、指定事業者への注意喚起
連休対応については以前から検討を行っており、連休中の期間の延長を決めて3月には指定事業者にアナウンスしていた。10連休を全て休業するような指定事業者であっても、連休の前後で適切な対応ができるようになっているようだ。また、適切に登録者の意思確認を行ってもらうよう、指定事業者への注意喚起も行っているとのことである。
ドメイン名登録者ができる防衛策
ドメイン名登録者が自分自身のドメイン名を守るためには、以下のことを考え、実行するとよいだろう。
a)指定事業者のサービスを十分に把握する
指定事業者のサービスは、十分に把握しよう。ドメイン名移転時の対応で、登録者である自分自身と連絡が取れないときに申請を不承認としてくれるか、連絡先を複数にしてくれるかといったことを考え、可能かどうかを調べるようにする。前述したように、多くの事業者は安全側に倒し、登録者と連絡がつかない場合は移転の意思確認の際に不承認とするようだが、あらためて確認するのがよいだろう。
b)登録情報を守るための認証情報を適切に設定・管理する
パスワードは破られにくいものを設定し、二要素認証のような認証システムが提供されるのであればできるだけ利用しよう。世の中には、類推されやすいパスワードを使ったり、1つのパスワードを使い回したりした結果、クラッキング被害に遭ったという話があふれている。また、登録者情報をきちんとメンテナンスし、常に最新の状態にしておくことも重要である。登録したメールアドレスが古くてメールが届かなかったりしたら、大きなリスクになると考えるべきである。
c)ドメイン名の管理体制を整備する
ドメイン名を守るために、組織として管理体制を作るようにしよう。全てを情報システム部門に任せきりにするといったことではなく、企画部門、管理部門、技術部門といった部門が相互に連携し、ドメイン名の登録と管理のための体制を作ることが理想である。
d)ドメイン名の状態確認や、ドメイン名を守るための仕組みを利用する
Whoisサービスを使い、自分自身が登録しているドメイン名の状態を定期的に確認するようにしよう。これにより、意図しない変更を少しでも早く発見できるようになる。また、「ドメインロック(レジストリロック/レジストラロック)」と呼ばれるサービスを利用することも考えたい。これは、ドメイン名の登録情報を別の手続きを踏まないと変更できないようにする(ロックする)サービスで、登録情報の変更には設定画面からのロックの解除、電話やメールなどによる本人の意思確認といった手続きを経てのみ行えるロックの解除が必要になる仕組みである。そのため、登録パスワードが漏れてしまった場合でも、第三者による登録情報の変更を防ぐことができる。
ドメイン名は、登録者にとって大切なものである。この機会に、指定事業者のサービスを十分に把握し、もう一度、その管理と運用を考えてみてはいかがだろうか。
[*1]…… 指定事業者とは、JPドメイン名登録申請やDNS登録申請などの取り次ぎを行う事業者として、JPRSが契約に基づき認定した事業者のこと。ドメイン名登録サービス運営会社やホスティング事業者、ISPなど、2018年12月末時点で605社ある。JPRSの「指定事業者とは」の説明ページによると、指定事業者は主に以下の業務を行うとされている。
- 登録者の意志に基づき、JPRSにドメイン名の登録を行う
- Whoisに必要なドメイン名登録者の情報をJPRSに登録する
- DNSに必要なネームサーバーの情報をJPRSに登録する
- 登録された情報を、登録者の意志に基づき適切にメンテナンスする
- ドメイン名の登録・更新に伴う費用をJPRSに対して支払う
[*2]…… 「さくらのドメイン JPドメイン移管申請について」