サイトアイコン JK

ラブライブ!のHP乗っ取り案件メモ (4/5 4:00現在)

2019年4月4日深夜、ラブライブ!のHPのドメインが乗っ取られる事件が発生した。詳しいことはわかっていないもののいろいろと分かっていることがあるのでメモしておく。

(このエントリ内での日時は特記のない限りJST)

4月5日1時前後(?)、ドメインが移管される

第三者のもとに今回話題のドメインである「lovelive-anime.jp」が移管された。移管後のDNSを見に行っている端末のブラウザからは犯行声明のようなメッセージのあるページが表示されるようになっていた。Archive.isにそのページのアーカイブが残っているが、それによると移管オファーを飛ばしたら相手(移管元=サンライズ?)が承認したらしい。

ちなみに移管前のWhois情報はhttps://domainwat.ch/whois/lovelive-anime.jpによると以下の通り。

[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]

Domain Information: [ドメイン情報]
[Domain Name] LOVELIVE-ANIME.JP

[登録者名] 株式会社サンライズ
[Registrant] SUNRISE INC.

[Name Server] dns-b.iij.ad.jp
[Name Server] dns-c.iij.ad.jp
[Signing Key] 

[登録年月日] 2012/07/27
[有効期限] 2019/07/31
[状態] Active
[最終更新] 2018/08/01 01:05:09 (JST)

Contact Information: [公開連絡窓口]
[名前] 株式会社サンライズ
[Name] SUNRISE INC.
[Email] hp_ch@sunrise-inc.jp
[Web Page] 
[郵便番号] 167-0023
[住所] 東京都杉並区上井草2−44−10
[Postal Address] Tokyo
Suginami-ku Tokyo
2-44-10 Kamiigusa
[電話番号] 03-3397-0211
[FAX番号]

移管後は

[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]

Domain Information: [ドメイン情報]
[Domain Name] LOVELIVE-ANIME.JP

[登録者名] 上野かほ
[Registrant] UenoKaho

[Name Server] ns1.star-domain.jp
[Name Server] ns2.star-domain.jp
[Name Server] ns3.star-domain.jp
[Signing Key] 

[登録年月日] 2012/07/27
[有効期限] 2019/07/31
[状態] Active
[最終更新] 2019/04/05 01:18:00 (JST)

Contact Information: [公開連絡窓口]
[名前] Whois公開代行
[Name] Whois Privacy
[Email] whois@sky-domain.jp
[Web Page] 
[郵便番号] 604-8006
[住所] 京都府京都市中京区河原町通三条上る下丸屋町
[Postal Address] 
[電話番号] 075-256-8553
[FAX番号]

となっている。移管先はスタードメイン、移管元はIIJの法人向けサービスと見られている。

なにがおこったのか、ウイルスか何かなのか

行われたことは正規の手順によるドメイン移管のみのよう。ただその取得したドメインでいろいろ行われているっぽい跡は見られる。

いまのところ当該ドメインのページに危険なものはなさそうだが、今後どうなるかはわからないので興味本位での無用なアクセスは避けるが吉。

なお、いわゆるクラックではないのでもとのサーバーへ問題は発生なさそう。古いDNS情報が使われている(うち)環境では現時点ではまだ正常に本来のページが見えている。

公式の対応

3:31にTwitterにて発表。今後の状況はTwitterでと。

ITmediaの速報

4:00に記事が出てた。わりとはやい。

「ラブライブは我々が頂いた!」 人気アニメの公式サイト乗っ取りか 公式「原因究明中」 ドメイン移管された? – ITmedia NEWS

前例がある

以前も同様の手法でドメインが移管されている。ただし当時のバリュードメインには「10日間操作しなければ勝手に承認される」という謎仕様が存在していたらしい。それを受けてバリュードメインについては改善されているらしいが。

…教えてもらって調べたところ、JPRSの規則として以下の1文が存在することがわかった。10日放置すると同意とみなされるらしい。

2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事 業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ の意思を有する旨の回答を得たものとみなす。

汎用JPドメイン名登録申請等の取次に関する規則

どうやら当時の事件と利用されているサーバー(157.112.187.13,スターサーバらしい)は同一のIPアドレスのものらしい。これだけで同一人物と特定はできないが可能性はかなり高いと見れる。

こちらは今年、こちらもまた美少女ゲームメーカーのシロップのHPが乗っ取られた案件。Aレコードの向いているサーバー自体は異なるようだがwhoisをみるとおなじくネットオウルのsky domainのWhois代行が使われてい、DNSの向き先もネットオウルのもの。(なおここに出てくる氏名住所等はネットオウルの情報代行のものであり犯人のものではないと思われる。いずれもネットオウルなのは他にJPの代行やってるレジストラなんてないからでは…)→いやほんとか?スク水jpとかの話をみてたら何がほんとか何もわからなくなった。そもそもWhoisGuardは.jpなら他社でもやってる

なお、おそらくここに名前の載ってる「上野かほ」氏はドメイン登録サービス(ネットオウル)の技術担当者と思われるので、今回の犯人ではないと思われます。
ただ、今回の行為は不正アクセス禁止法の取締対象にはなるはずなので、この会社にも捜査依頼(登録情報の照会など)は入るはず。

けいどら⁶ (@kei_dora) April 4, 2019

ところでネットオウルはスタードメインでもJPドメインのwhois代行をやっているのですがその場合は

[登録者名]                      ネットオウル株式会社
[Registrant] Netowl,Inc.

のようになります。どうしてSky domainなんだろう……

ちなみにいずれの件もドメインは取り返せていないままだそう。

でもドメインロックとかないの?

JPドメインにはレジストラロック(移管ロック)が存在しないらしい。どうなってるんだ。

レジストラロックとはなんですか。 | 名づけてねっと

[追記修正]レジストリロックサービス | JPドメイン名のルール | JPドメイン名について | JPRSがあるように今はレジストリロックサービスが運用されているらしい。ただしJPRSのJPDirectではドメインロックサービス | JPDirectによると初回設定20,520円、更新には41,040円などという高価なオプションとして提供されているとか。えぇ…

割と大問題では

取り返せる可能性がかなり低そうなのでやばそう。

なんかデマが出回ってる気がする

情報の正確性!

端末の情報が取られるってなんですか!そもそも当該のドメインについてはそれまで証明書が発行されていなかったのでむしろhttpsのページがあればそのほうが怪しいです。(HPKPが生き残ってれば事案には強かったんだけどそういう話じゃない)

回復じゃない、たまたまDNSが古い方だっただけ。


【追記】とりあえずサンライズの手に戻ったっぽい

あれだけ大事になったからJPRSがさっさと仕事したのかそれ以外のなにかがあったのかは知らないけど2019/04/05 15:38:08付でWhoisが元に戻っていた。この時点でのスナップショットは以下の通り。

[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
Domain Information: [ドメイン情報]
[Domain Name] LOVELIVE-ANIME.JP
[登録者名] 株式会社サンライズ
[Registrant] SUNRISE INC.
[Name Server] dns-b.iij.ad.jp
[Name Server] dns-c.iij.ad.jp
[Signing Key]
[登録年月日] 2012/07/27
[有効期限] 2019/07/31
[状態] Active
[最終更新] 2019/04/05 15:38:08 (JST)
Contact Information: [公開連絡窓口]
[名前] 株式会社サンライズ
[Name] SUNRISE INC.
[Email] hp_ch@sunrise-inc.jp
[Web Page]
[郵便番号] 167-0023
[住所] 東京都杉並区上井草2−44−10
[Postal Address] Tokyo
Suginami-ku Tokyo
2-44-10 Kamiigusa
[電話番号] 03-3397-0211
[FAX番号]

ラブライブ!公式サイト乗っ取りに使われた「ドメイン移管」の仕組みとは “10連休”に危険潜む? – ITmedia NEWS

はたして真相とは…

ところでアミューズクラフトは自動承認ではなかった

一連の話の中で過去の当人の発言をふくむ発言から発覚したがアミューズクラフトの件の際はそもそも申請から1週間すら経たずに移管が成立してた、らしい。気付かなくて通ったわけじゃなかったってことはバリュードメインは…まあその後のこと考えても当然の対応ではあるが…

あわせてこれらの一連の案件はいずれも同一人物またはグループによるものとみてよさそう。


ところで件のアカウントから声明が出てる。大方予想通りといったところだけどなんか気になりまくる…

…主張はともかくやり方が間違ってるんですよね。まあ今回の一件はシステムの脆弱性を顕著に示す事件となったわけですが…このあたりちゃんとしておかないと模倣犯出るだろうなぁ…


気力がなくなったのでなんかあれば追記する。

モバイルバージョンを終了