4月5日未明、人気アニメ「ラブライブ!」のオフィシャルサイトが乗っ取られ、改ざんされる事件が発生しました。(現在は元の状態に戻っています)
不正アクセスによるサイトの改ざんはよくあることなので記事にするようなことでもないのですが、今回の乗っ取りは、サーバへの不正アクセスではなく、同サイトが使っている「lovelive-anime.jp」というドメインネームが、何者かの手により勝手に管理権限が移行されてしまったことによるものでした。
どうしてこんなことが起こったのでしょうか。
今回はこの件をまとめてみました。

まず今回問題となったのは、ドメインネームの種類のうち、汎用JPドメインと言われる、日本の「.jp」ドメイン。
日本のドメインネームには、この他に「.co.jp」とか「.or.jp」など一番古くからある属性JPドメインというのもありますが、このどちらも、世界標準のgTLD(「.com」などのグローバルトップレベルドメイン)と、管理システムが違っていることが、今回の事件の原因になっています。

世界のスタンダードであるgTLDでは、ドメインネームの取得者(オーナー)がレジストラと言われるドメインネーム登録業者を通してドメインネームを申請し権利を獲得します。そして同じレジストラ経由で、DNSサーバのデータベースを管理するようになっています。
つまり、ドメインネームのオーナーが何もしなければ(もちろんドメインネームが失効しないように維持費を払っている必要はありますが)そのドメインネームの権利は誰にも渡らないようになっています。普通の感覚で理解できる当たり前の管理方法ですね。

ところが、日本のドメインネームの場合は「指定事業者システム」というインターネット黎明期のJPドメインネーム管理時代の名残りがあり、そのドメインネームのオーナーではない第三者が、そのドメインネームの管理を自分に移したい、という申請を自分の使っているレジストラ経由であげることができるのです。
簡単に言えば、認められるかどうかは別にしても、他人のドメインネームを「ちょうだい」と言えるシステムがある、ということです。
もちろんこの移管申請があった場合には、申請を受けたレジストラが、日本のドメインを管理しているJPRS(日本のドメインネームを管理している役所のような団体)にその申請をあげ、JPRSからそのドメインの今の指定事業者となっているレジストラに対して、「ドメイン移管申請がきていますが承認しますか」という確認を行います。その時に、承認を求められたレジストラ側が承認を拒否すれば、移管は不成立になるのですが、問題なのは、JPRSからドメインネーム移管の承認を求められたレジストラが、そのドメインネームのオーナーに対して、ドメインネーム移管申請が来たけれど承認しますか、という確認をする際に、「オーナーからの返信連絡が一定期間以上ない場合は、承認と見なしてしまう」レジストラがあったことです。

つまり、ドメインネームのオーナーが何らかの理由やメールの見落としなどで、そのレジストラが定めた期間、ドメインネームの移管申請への承認/不承認の連絡をしなかった場合、自動的に申請した第三者にドメインネームが奪われてしまう、という普通の感覚では理解しがたい状況なのです。
今回の「ラブライブ!」サイトの乗っ取りは、まさにこの制度的な欠陥を悪用して、ドメインネームの権利が奪われてしまい、違うサーバーを立てられてサイト内容も勝手に作られてしまった、というのが事件の真相です。

インターネット黎明期。まだ汎用JPドメインネームのはじまる前の属性JPドメインネームしか日本のドメインネームがなかった時代、ドメインネームは取得も管理もオーナーは費用がかからない時代がありました。当時日本のドメインネームを管理していたJPNICは、そのドメインネームを管理する組合員のサーバ会社に対して、管理するドメインネームの数に応じた会費を徴収していて、その先のオーナーへのドメインネームの費用請求がなされていない時代があったのです。各サーバー会社はそのドメインネームのオーナーに対しては、サーバー費用を徴収することで成り立っていた時代です。その当時はそのドメインネームのあるサーバーが移ると、自動的にJPNICからの会費徴収先が変わるようになっていましたが、いずれにしてもドメインネームのオーナーは、直接的にはそのやりとりには関与しないで進められてきたのです。
この変な状況の名残りが指定事業者変更という仕組みで、この仕組みのために、世界のスタンダードであるドメインネーム管理とは全く違う、第三者が「ドメインネームをうちにください」という申請をできてしまう、とんでもない状況が今でも残ってしまっているのです。

ですので、日本のドメインネーム(属性JPドメインも汎用JPドメインも)を持つオーナーは、自分のドメインネームのレジストラが、移管申請に対して、どう対応するかをちゃんと確認しておかないといけません。特にレジストラのドメインネーム事業撤退や事業譲渡などで、取得した当初のレジストラと現状のレジストラが変わっている場合も多いので、ドメインネームの管理をしている方は、この機会に確認しておくことをお勧めします。
いつのまにか自分のものではなくなってた、ではシャレにもなりませんですから・・・
┐(´д`)┌