独自ドメインを取得するとどこまで情報公開されるのか?「Whois情報」について考える

インターネットの時代ですから、事の大小はさまざまであれ「セキュリティホールを突かれた流出騒ぎ」というのはよくあります。

IDやパスワードをいろんなサービスで使い回しすべきではない、とよく言われますが、それはどこかのサービスでログイン情報が流出してしても、その情報を使って他のサービスにログインされてしまうのを防ぐための対策なわけです。

今では二段階認証などのさまざまな対策がとられているサービスもありますが、いずれも「サービス自体がきちんと機能している」前提であり、そのあたりについては利用者はそのサービス自体を信用するしかないのです。

しかし、たまにありますね。
単純な「仕様の不備」により、個人情報が閲覧できる状態で放置されていた、というようなことが!もはや同情の余地もありません。

非公開だったはずのWhois情報がオープンにされていた!

私はビックリしましたよ、このニュースを読んで!被害があったわけじゃないのですが。

Google Apps for Workに登録された名前・住所・メールアドレスといったドメイン情報は、個人情報非公開のオプションを選ぶことで本来なら秘匿され、一般公開されないはずなのですが、28万2000件以上のドメイン情報がWHOISに直接登録されていたことが分かりました。
(中略)
コンピューターネットワーク機器開発会社Cisco Systems G.K.の調べによると、2013年の中頃からGoogle Appsの欠陥によって名前・電話番号・住所・メールアドレスといった個人情報が流出。いったん非公開として登録された情報が、バグによって、ドメイン登録を更新すると公開状態になってしまったとのこと。2015年の2月にCisco Systemsが事態に気づき、5日後にはバグが修正されましたが、約2年の間、情報は流れ続けていたわけです。

引用元/Google Appsに登録された28万件ものWHOIS情報が漏えい、非公開のはずの2013年中期以降の名前や住所がダダ漏れに

とのことです。そしてGoogleからのメールに書かれていたのは下記の通り。

「Google Appsのドメイン登録システムに欠陥があったことをお知らせします。このような事態になり、誠に申し訳ありません。我々はすでにこの欠陥に対処済みです。オプションとしてドメイン情報非公開を選択していたお客様は、登録初年度にはWHOISに情報が載ることはなかったのですが、Google Appsのドメイン更新システムの欠陥により、翌年以降にドメイン登録を更新した際、eNomのドメイン代行サービスの対象範囲外になってしまいました。その結果、お客様の情報がWHOISに直接登録されることとなりました」

GoogleAppsというのは、Googleの提供するコミュニケーション管理ツール、とでも言えば良いのでしょうか?GmailやGoogleカレンダー、Googleドライブなどのツールを一元管理するサービスで、主にビジネス向けと言えますがもちろん個人でも使用可能です。ここで自分の持っている独自ドメインの運用(メールアドレスを作成しGmailで利用などの運用)は以前行っていましたが、ドメイン取得・管理のサービスもあるようです。

そして、新規取得時は問題なかったようですがドメイン契約の更新時に、Whois情報を非公開の人のも公開されてしまっていたのです。

私はドメインは全てムームードメインで管理しているので今回の事件は影響はありませんが、被害にあった方は「思わぬ落とし穴だった」としか言いようがありません。

例えば、ものすごーく恥ずかしい、ここに書くのもイヤな文字列のドメインをビジネス用に使っており、それはWhois情報非公開ということで取得したのにいつのまにか公開されている、と考えたら恐ろしいですよね…

要するに、ブログやサイトの運営者がバレてしまうということになるのです。これはマズいという方も多いのではないでしょうか。

Whois情報とは?非公開のしくみについて

Whois情報と言っても一般的では無いと思います。

ドメインを管理しているのは「レジストリ」と呼ばれている機関です。トップレベルドメイン(.comなど)によって管轄が異なります。

そのレジストリと直接契約を行い、ドメインを登録しているのが「レジストラ」と呼ばれる業者です。さらにこれらのレジストラの代理店というものも存在し、通常我々はレジストラまたは代理店からドメインを購入し管理を委託しているわけです。

レジストラがレジストリに新規ドメイン取得の登録をする際に、「ドメインの持ち主情報」というものを登録する必要があり、それを「Whois情報」と呼びます。Whois情報はインターネットにて公開されるのが前提となっております。

Whois情報は通常は購入者(最終的にドメインを使用する人)の情報を登録するのですが、このWhois情報をレジストラまたは代理店の名義にすることができます。もちろんレジストラや代理店に対しては利用者情報を登録した上で、公開されるWhois情報のみを隠せるということですね。
これが「Whois情報の非公開」設定であり、ほとんどのレジストラや代理店が対応しています。

Whois情報は簡単に調べられます。
http://whois.muumuu-domain.com
例えばここで当ブログのドメイン「cat303.com」を検索してみてください。このような結果が表示されます。
IMG_5443.PNG
レジストラとして「お名前.com」が登録されているのがわかります。またネームサーバーはロリポップであることもわかりますね。

さらに下の方に行ってみると「registrant」の欄があります。「登録者」という意味ですね。
IMG_5444.PNG
ここはムームードメインとなっているのがわかります。いわゆる代理店として登録を行ったということになります。

そしてさらにその下を見てみると…
IMG_5442.PNG
「admin」情報があります。これが管理者という意味です。ここの公開・非公開の設定ができ、私は非公開としているのでムームードメインが表示されています。

ちなみにムームードメインは代理店であり、レジストラはあくまでお名前.comであることがわかります。ムームードメインは以前は別のレジストラを使っていたようですが、GMOグループとなったため同じグループ企業のお名前.comを現在は使っているようです。
(ただし、.jpドメインにおいてはムームードメインはレジストラ認定されています。)

普段なかなかドメインのWhois情報を検索することはありませんが、ドメインだけでこのようなことがわかるのです。ドメインも安価になっており取得するのは簡単になりましたが、こうした仕組みについては知っておいた方がよさそうです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

post date*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)