仮想通貨取引所の陥落 vs. セキュリティ企業の個人情報収集：セキュリティクラスタ まとめのまとめ 2018年9月版（3/3 ページ）

2018年9月のセキュリティクラスタは「繰り返される仮想通貨取引所への攻撃」「セキュリティ企業による個人情報の不当な収集」「ドメインが知らないうちに他人の手に渡ってしまった事例」に注目が集まりました。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

第三者がドメインを勝手に移転

　9月27日にはアダルト系ブランド「アミューズクラフトエロチカ」のドメインが誰かの手に渡ってしまい、サービスの運用ができなくなったことが話題になりました。知らない第三者の手に、突然ドメインが渡ってしまったということでした。

　ドメインを取得した人物のツイートによると、正規の手続きを経て譲渡されており、承認してしまった側の問題だという主張です（現在このツイートは削除されています）。

　タイムライン（TL）では当初、管理者が間違って承認してしまったのではないかという意見があり、だまして取得したのだからフィッシング詐欺に似たような行為ではないかと取得したユーザーと論争になりました。ここでお互いの主張は平行線となります。

　さらに該当人物がスマホゲーム「アズールレーン」のドメイン移管申請もしていることが判明し、やはり不当にドメインを移管させる悪意があったのではないかという指摘を受けていました。

　その後、実際にはこのドメインを管理していたレジストラである「バリュードメイン」のルールに大きな問題があったことが判明します。

　移転申請があった後、拒否しなかった場合、ドメイン移転と指定業者変更の申請が行われてから10日が経過すると自動的に承認されてしまうというのです。

　譲渡の申し出を承認したのではなく放置していた結果、ドメインが移管されてしまったということが真実のようでした。この事案を受けたためか、その後、バリュードメインのルールが変更になりました。TLでは、放置すると譲渡が認められるというルールを作ったバリュードメインに一番の問題があったとの意見が多数でした。

　後付けでルールが変更されたとはいえ、既に他人の手に渡ってしまったドメインは簡単には取り返せなかったようです。アミューズクラフトエロチカのドメインの問題は解決せず、結局9月29日から別ドメインでWebサイトを再開することになったようです。

---

　この他にも9月のセキュリティクラスタは次のような話題で盛り上がっていました。10月はどのようなことが起きるのでしょうね。

• 日本ハッカー協会（JHA）が誕生
• 少しだけ権限要求が減ったデンソーウェーブのQRコードリーダー
• WordPressのプラグイン「Duplicator」に大きな脆弱（ぜいじゃく）性があって攻撃を受けている模様
• Google Chrome ver.69とTwitterがURLの「www」を勝手に消す
• どうしてJWTをセッションに使っちゃうわけ？

著者プロフィール

山本洋介山（NTTコミュニケーションズ株式会社）

Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。