正常に戻ったラブライブ公式サイト
今月の初頭、4月5日未明に、人気アニメ「ラブライブ!」シリーズの
公式サイトが乗っ取られた。元々のドメイン所有者は「SUNRISE INC.」だったのだが、「UenoKaho」と名乗る人物が登録者となり、サイトの内容が書き換えられた。サイトには以下のような文書が掲載された。
>ラブライブは我々が頂いた!
>
>我々がラブライブを入手する際、
>手の込んだプログラミングを行なったり、
>こっそりとデータを傍受したりする必要はなかった
>
>我々の方法は、移管オファーを行い元所有者が移管オファーを承認しただけだった
>元所有者はこれだけであっさりと、ラブライブ!を、我々へと移管してしまった
「~.jp」という汎用JPドメインの移管の仕組みを悪用して、乗っ取ったのだろうと推測される。
こうした乗っ取りが可能なのだろうということは想像が付く。私も昔、ドメインの移管を検討した際、サーバー会社のマニュアルを読んで「これは乗っ取れるんじゃないか?」と疑問に思い、調査をしたことがある。すると、過去には乗っ取りが可能であり、数年前に対策が行われたことが分かった。
人が作るルールには穴がある。そして穴が空いたまま気付かないことが多い。そのため、穴が発見される度に、きちんと塞がなければならない。
「ラブライブ!」公式サイト乗っ取り事件のあとネットに上がってきた情報を追うと、汎用JPドメインでは、不正なドメイン移管を防ぐ仕組みが存在しないことが分かった。
また、移管が申請されて10日以内に拒否の回答をしない場合には、同意したと見なされる規約になっていた。
汎用JPドメイン名登録申請等の取次に関する規則の第11条、第2項には、このようにある。
>第11条(取次にかかる登録申請等に対する決定の伝達業務)
>
> 2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。
ドメイン名登録サービス会社の多くは、「意思を有しない」と自動的に回答するようになっている。しかし事件が起きた時点で、業者によっては回答しないところもあった(参考:
不正移管によるドメイン名ハイジャックについてまとめてみた – piyolog)。起きるべくして起きた事件だということだ。