お名前.comによる忍者ツールズ停止措置に関して
先週、忍者ツールズ全サービスが一時的に利用できなくなりました。
- 株式会社サムライファクトリー:忍者ツールズ全サービスが表示不可となる障害につきまして
- お名前.com:忍者ツールズ全サービスが表示不可となる障害につきまして
- 本の虫: DNSの終焉が垣間見える、ぶっ飛んでて危険すぎるお名前.comの検閲事件
その理由として、株式会社サムライファクトリー(忍者ツールズ)のプレスリリースには以下のようにあります。
忍者ツールズのサービスを利用したユーザーサイトの一部に、お名前.comの約款に抵触するサイトがあり、お名前.comへのお問い合わせが複数あったため、約款に基づきお名前.comでは一時的にドメインの停止措置をとる対応を行いました
個人的な感想としては、忍者ツールズのドメイン停止措置事件は今までにない新しいタイプのものであると思いました。
まず、お名前.comとninja.co.jpに関して契約を行っている忍者ツールズ(株式会社サムライファクトリー)が直接行っていることではなく、忍者ツールズ利用者が行っている行為に対する制裁としてドメイン停止措置が行われたという点があげられます。 さらに、「停止措置」と公表しつつも、実際に行われているのがNSレコードの削除ではなく、NSレコードをお名前.comが管理するものへの変更であった点も特徴的です。
今回の停止措置の関係者を図にすると、以下のようになります。
上記図は関係者を示したものですが、起きていた現象を図にすると以下のようになります。
jpの権威DNSサーバに登録された、ninja.co.jpのNSレコードが、忍者ツールズではなくお名前.com側に「停止措置」として設定変更されたため、忍者ツールズを見ているつもりのユーザが実際に見に行っていたのは、お名前.comのサーバです。 忍者ツールズの本来の権威DNSサーバも、「ninja.co.jpの権威DNSは私です」と言うためのNSレコードを公開し続けていたようですが、上位であるjpの権威DNSサーバがお名前.com側を指していたので、ほとんどのユーザは忍者ツールズ側の権威DNSサーバを参照することがなかったようです。
他のドメインも巻き添え停止
ns0[1,2].ninja.co.jpが、忍者ホームページのサービスドメイン340個の権威DNSサーバも兼ねていたため、それらのドメインもninja.co.jpに対する「停止措置」の影響を受けました(参考)。
ninja.co.jpに対する「停止措置」によって、ns01.ninja.co.jpとns02.ninja.co.jpそのものに関する名前解決ができなくなってしまいましたが、そうすると、たとえば、client.jpの名前解決も出来なくなってしまいます。
ただし、たとえば、client.jpのNSレコードとしてns01.client.jpなどの内部名が、jpドメインの権威DNSサーバに登録されていれば、巻き添えは発生しなかったものと思われます。
「停止措置」が行われた理由
なお、お名前.comによるNSレコード書き換えは、レジストラント(登録名保有者)である忍者ツールズ側に対して事前に停止措置を行うことを警告したというよりも、忍者ツールズ側から不正利用に関する詳細な問い合わせが行われている途中に実行されたようです。
参考
- https://twitter.com/H_Shinonome/status/223679520325115904
- https://twitter.com/ninja_tools/status/225153467407269888
- https://twitter.com/ninja_tools/status/225153511493611520
- https://twitter.com/ninja_tools/status/225153539322818560
- https://twitter.com/ninja_tools/status/225153563960147970
以下が、Twitterの忍者ツールズ公式アカウント @ninja_tools による発言から、会話相手のID部分を抜いて繋ぎ合わせた文章です。
弊社サービス内で不正な利用をされているユーザー様がおられた為、お名前.com様から規約違反について対応依頼を頂戴しました。 頂いたご依頼は「このドメインで不正が行われている」といった内容であり、弊社のように一つのドメインを複数で利用するサービスの場合、 不正利用されているユーザー様を直ぐに特定することが難しい状況にございました為、弊社からお名前.com様へ詳細についての問い合わせを行っておりました。 しかし、弊社の対応如何に関わらず、違反内容がお名前.com様のドメイン停止基準に抵触する内容だった為、 お名前.com様の判断でドメインの停止処置をとられることになりました。 しかしながら、同様の措置は一人の不正利用が、忍者ツールズ全体すなわち280万人近いユーザー様へ影響がかかりますので、今後は案件別に対応していくこと、 また弊社サービスの特性をご理解頂いた上で、停止が回避できるように互いに動いていくことを、お名前.com様と書面にて合意しております。
「約款」や「事前の警告」や「合意」をどのように解釈するのかが、今後の議論において非常に重要であると思います。 「ドメイン停止基準に抵触する内容」が何であるかというのも重要な要素であると思いますが、現時点では、何がどのように違反していたのかは不明です。
「ドメイン停止基準に抵触する内容」を推測できるようなTweetとしては、以下のようなものがありました。
ICANNによるレジストリ・レジストラモデル
今回の事件に関する情報はあまり公開されておらず、最終的には忍者ツールズとお名前.comの間での非公開協議で合意形成が成立しているようなので、外部から観測されていたDNSの状況以外にほとんど情報はありません。
ただ、今回の件に関して考えるには、そもそもお名前.comのようなレジストラとは何であるかを知る必要があります。
インターネットにおけるドメイン名空間のトップレベルドメイン全体を管理しているのがICANNです。 ICANNは、各トップレベルドメインを直接管理するのではなく、レジストリと呼ばれる組織に各トップレベルドメインの一元管理を委任します。
トップレベルドメインがgTLDの場合、レジストリは直接レジストラント(顧客)からの登録申請を受けることができず、レジストラと呼ばれる別組織に窓口業務を依頼します。
一方、ccTLD(country code Top Level Domain/国別トップレベルドメイン)では、それぞれのccTLDの運用ポリシに任されています。 小さなccTLDでは階層構造をとらずに、レジストリがレジストラントと直接やりとりするところもあります。 階層構造を作っているところも、ICANNのレジストリ・レジストラとは異なる役割分担、階層境界を作っているところもあります。 .jpのJPRSと指定事業者の関係も、ICANNのレジストリ・レジストラと似ているのですが、その役割分担や責任範囲は少し異なっています。
gTLDの運用において、レジストリとレジストラが分離されているのには、歴史的経緯があります。 gTLDは、歴史的には、NSFから委託を受けたNSIがドメイン名の登録管理業務を行っていましたが、それが独占であるとの批判を受けるようになり、90年代末にICANNができて、レジストリとレジストラという役割分担と、レジストラ階層における競争構造が構築されました。 上から下ができた、というような流れです。
.jpとJPRS
.jpの場合には、90年代初頭にJPドメイン名の管理を一元的に担う組織が必要ということで、当時のネットワーク運用組織が集まってJPNICを作り、レジストリ(ただし、当時は「レジストリ」という表現は存在しませんでした)としてのJPNICと、取次窓口としてのJPNIC会員(後に指定事業者という枠組みで整備)という構造ができました。 その後、レジストリ機能がJPRSとなり、ドメイン名登録事業がJPNICから分離されました。
今回の事件は、jpドメイン以下で発生していますが、ccTLDであるjpドメインにおいてレジストラ業務を行うには、ICANNによる承認ではなくJPRSによる承認が必要です。 JPRSによる制度は、指定事業者制度と呼ばれ、jpドメインを扱える事業者は指定事業者と呼ばれます。
お名前.comは、ICANN-accredited regisrarであると同時に、JPRSが承認した指定事業者ですが、今回の事例はjpドメイン以下で発生しているので、ICANNは直接的には関係ないと言えます。
ICANNがgTLDとccTLDとでは見ている範囲が違う、というところが、大きなポイントです。 ICANNの大きな役割の一つはIANA機能で、これはTLDの委任を管理することです。 TLDの委任を管理するというのは、それぞれのTLDのレジストリが誰であるかを管理することです。 ICANNの別の役割として、gTLDのポリシ管理もあります。 レジストリとレジストラの義務などを定め、やっていいことと悪いことなどを議論しています。 たとえば、少し前にベリサインによるSite Finderの是非が議論されていました。 さらに別の役割として、gTLDレジストラの認定があります。
重要なことは、ICANNはccTLDについては、TLDの委任以上のことはしていない、ということです。 レジストリが問題なく運営されているかなどに関しては見ていますが、ccTLDをどのようなポリシで運営するのか、どういうサービス構造を取るのか、などは各国の国内の話として、ICANNは関与しません。
ということで、日本のjpドメインに関する話は、委任先であるJPRSの見解が重要となります。
JPRSインタビュー
お名前.comと忍者ツールズは、今回の事件に関するプレスリリースを公表していますが、jpドメインを一元管理しているJPRSの立場等に関して興味がありました。
そこで、忍者ツールズ(ninja.co.jp)の停止措置に関して、jpドメインのレジストリであるJPRSに質問してみました。
Q: ここ数年、各国政府当局からの依頼でレジストリがドメイン削除を行うことが増えました。 幽霊ドメイン名脆弱性も、そのような背景から「脆弱性である」と認識されたものと思います。 一方で、今回のようにレジストラが、そのドメインに関する直接の契約者が管理するドメイン(ninja.co.jp)ではない、忍者ツールズ利用者を理由としてドメイン削除を行うというような事件は他に聞いたことがありません(もしかして世界初!?)。 類似した事例をご存知ですか?
事例として聞いたことはないように思います。
なお、今回の事例とは異なりますが、ドメイン名を削除したり、NSを削除したりする措置は、レジストリレベルでは非常に慎重に行われています。 例えば、不適切なWebコンテンツがあるからとNSを削除すると、それ以外のWebコンテンツへのアクセスができなくなったり、Web以外でのドメイン名利用ができなくなったり、他のドメイン名のNSを担っていると影響範囲はそのドメイン名に閉じないなど、必要以上の影響を及ぼしてしまう可能性があるためです。
Q: 今回の事件に関連して、御社データベースに対して行われた操作は忍者ツールズドメインのNSレコード削除ではなく、NSレコードがお名前.comが管理しているものに書き換えられたという認識は正しいですか?
レジストリデータベースに対して、いつどのような手続きが行われたかということを、レジストリとして第三者に開示することはできません。
Q: 今回、お名前.comによる公式発表では「停止措置」とされていますが、実際は忍者ツールズのNSレコードがお名前.comへと変更されており、技術的には停止ではなく他サーバへの誘導でした。 「停止措置」というと、レジストリがNSレコードを削除するという事例が主流だと思いますが、NSレコードの変更という「停止措置」は一般的な運用でしょうか?
一般的かどうか、というところは難しいですが、Webへのアクセスを停止させるということでは、
アクセスできないようにする、通知や注意喚起などの違うWebページを表示させる、などの手法があり、後者を行う手段としてNSの変更というのもあるとは思います。
ただ、先にも述べたように、ドメイン名やDNSのレベルでの対応は、必要以上の影響を及ぼす可能性があるため、慎重になるべきと思います。
Q: NSレコードの削除と変更で、レジストラから御社に対する手続きに違いはありますか? お名前.comから御社に対して、NSレコード削除の依頼はありましたか?
「NSレコードの削除と変更の手続きの差」については、登録されているドメイン名 に対するNSレコードを指定する、という意味で差はありません。
具体的な手続きの有無等については、レジストリとして第三者に開示することは できません。
Q: 今回の「停止措置」は、御社とお名前.com間で結ばれている契約上、許容されている行為ですか?
レジストリは、登録者の意思に基づく手続きを受けて、レジストリデータベースを更新します。
指定事業者は、登録者の意志に基づく手続きを、レジストリへ取り次ぎます。
また、登録者との間で予め締結された契約などで定められた内容があるのであれば、規則に反しない限り、それも「登録者の意思」として、そこで定められた手続きをレジストリに行うことができます。
インタビュー感想
今回の事件では、レジストラントである忍者ツールズと、レジストラであるお名前.comが直接協議を行うことで決着がついたようにも見えます。 そのため、現時点では「両者の合意がある」という状況であると解釈も可能なのかも知れません。
レジストリであるJPRSがレジストラに要求するのは「窓口としてレジストラントの意見を代理していること」であったり、「レジストラントとの合意があること」なので、あらかじめ約款等によって両者の間で定められていた範囲であったかどうかが焦点なのだろうと思います。
約款に定められた範囲であるかないかという議論とともにあり得るのが、レジストラントの意志であったかないかという議論です。 たとえば、レジストラントからJPRSに対しての抗議が行われれば、JPRSからレジストラに対して質問を行う等の状況調査が行われるのだろうと思います。
逆に言えば、レジストラントがレジストラが行った行為に関してレジストリ(今回の場合はJPRS)に抗議する以外に、レジストリが今回のような事件に直接関わるようなことは現時点ではないのかも知れません。
最後に
忍者ツールズを運営されている方によるTweetが非常に象徴的だと思いました。
ただ、これって、残念ながらレジストラに限らず、外部の誰かに依存して事業を営むようなインターネット上での業態全てに同様のことが言えてしまうとも思います。 クラウドなどを含めて、プラットフォームを他者に依存するのって、こういうことになってしまうと改めて思いました。。。
あと、今回の事件では、お名前.comはレジストラですが、New gTLDsでGMOはレジストリになるための申請を行っています。 GMOのグループ会社がレジストリになったうえで、お名前.comがレジストラとして行われたドメイン登録に対する削除等は事実上同じ会社が同時に判断を行うことになりそうですが、その場合には、ユーザが抗議しようと思うとICANNへと抗議しなければならないのかもとか思いました。
p.s. もうひとつ重要な論点として「これって法的にどうなの?」というものがあると思います。 法関連に関しては、素人の私があれこれ推測するよりも総務省に質問をできたら良いと考えているのですが、質問先がわかりません。 どなたか、教えて下さい!
最近のエントリ
- 「ピアリング戦記」の英訳版EPUBを無料配布します!
- IPv4アドレス移転の売買価格推移および移転組織ランキング100
- 例示用IPv6アドレス 3fff::/20 が新たに追加
- ShowNet 2024のL2L3
- ShowNet 2024 ローカル5G
- ShowNetのローカル5G企画(2022年、2023年)
過去記事