著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。
2019年4月上旬の注目ニュースは3件。最初は、旧山梨医科大学(現山梨大学医学部)のドメインを第三者が取得した問題を取り上げる。
旧山梨医大のドメインを第三者に取得される(4月5日)
旧山梨医科大学(以下、山梨医大)のドメイン「yamanashi-med.ac.jp」を使って、アダルト情報を掲載するサイトが見つかった。原因は、日本レジストリサービス(JPRS)による審査のミスだった。
URLに使うドメインには、取得できる組織が制限される「属性型ドメイン」がある。例えば、ドメインの末尾が「co.jp」なら株式会社などの企業、「go.jp」なら政府関係の組織、「ed.jp」なら小中学校など18歳未満を対象とした学校組織と決まっている。
問題があった「ac.jp」は、18歳以上を対象とした学校法人や教育機関が取得できる。属性型ドメインの取得申請に対して、対象の組織かどうかの判断はJPRSが審査することになっている。
yamanashi-med.ac.jpを所有していた山梨医大は2002年、山梨大学の医学部として統合。そして、ドメインを手放した。
その後、「みやうちしんや」という人物によって取得された。教育機関とは関係のない人物だとみられる。
JPRSは外部からの指摘で問題に気付いた後、該当サイトを閲覧できないようにした。具体的には、DNSサーバーのレコードを書き換えて、登録者のIPアドレスを応答しないようにしたという。
JPRSは属性型ドメインの審査について、「最初に申請を受け付けた契約事業者(レジストラ)が審査し、その後、JPRSでも審査することになっている」(広報担当)という。しかし、「JPRSの審査に時間がかかることがあるので、レジストラの審査だけでとりあえず登録を行うことがある。今回はそのケースだった」(同)と説明する。
レジストラの審査だけで登録を行っても、通常は登録後にJPRSが審査を行う。ところが今回は、業務プロセスのミスでJPRSが審査を行っていなかった。今後は、レジストラにきちんと審査するよう指示するとともに、JPRSでは全数審査を徹底するとしている。
https://whois.jprs.jp/
