突然自分の所有するドメインが政府機関に押収されてしまった場合、どうすればドメインを取り戻せるのか？

2023年7月14日 8時0分

ドメインはインターネットにおける住所とも言える存在で、インターネット上で何らかのサービスを提供する場合には必ず利用することになります。「ドメインが他人の手に渡る」という事態はいきなり家が他人のものになってしまうような大事件なのですが、実際にドメインを突然失ってしまった経験を持つスサム・パルさんが取り戻すまでの記録をブログに残しています。

Sinkholed: A DNS Horror Story - Susam Pal

https://susam.net/blog/sinkholed.html

パルさんは「susam.in」というドメインで自分のウェブサイトをホスティングしていました。事件が起きたのは2019年11月26日の14時58分で、何の前触れもなく突然ドメインの所有権が他人に移動してしまったとのこと。パルさんはこの時刻の数分前までウェブサイトのメンテナンスを行っており、DNSのデータがシステムにキャッシュされていたため、ドメインの所有権を失っていることに気付いたのは3日後でした。

2019年11月29日の19時、パルさんは自分のドメインが全く知らないアドレスと紐付いていることに気付き、WHOISレコードを確認しました。当時のWHOISレコードは下記の通り。レジストラが「eNom, inc.」から「NIXI Special Projects」になっているほか、登録者が「Susam Pal」から「The Verden Public Prosecutor's Office(フェルデン検察庁)」に変更され、ネームサーバーもパルさんが利用していたLinodeからShadowserverのSinkholeへと変更されています。

パルさんがフェルデン検察庁という新しい所有者について調べてみたところ、フィッシング攻撃を行うグループ「Avalanche」のネットワークを削除するために活動していたドイツの刑事司法機関であることが判明しました。フェルデン検察庁はインターポールやユーロポール、シャドウサーバー財団など多数の国際機関と協調してAvalancheのボットネットの破壊に取り組んでおり、パルさんの事件が発生する3年前の2016年11月30日にボットネットの破壊作戦を遂行しています。2022年にも多くのマルウェアで利用されていたvpnlab.netを押収するなど、精力的に活動している機関です。

パルさんはサイトをホスティングしているサーバーがAvalancheボットネットの一部になってしまっている可能性を考え、攻撃が行われた形跡がないかについても調べてみたとのこと。しかし、全てのログを確認しても、パルさん以外の人物がサーバーにログインしたり、サーバー上でコードやコマンドを実行した形跡はなく、マルウェアの痕跡も発見できませんでした。

2019年11月29日の19時29分、パルさんは契約しているレジストラであるNamecheapにサポートチケットを送信。21時5分、上位のレジストラであるEnomに連絡したとNamecheapから返信がありましたが、いつ問題が解決するかについての見積もりは得られませんでした。

パルさんは他にもccTLDを管理しているICANNや、「.in」ドメインを管理しているインド国立インターネット交換局(NIXI)にも連絡してみたとのこと。これらの組織はパルさんと直接の契約関係にはないため、あまり期待はしていなかったと述べられています。ICANNからは「NIXIに連絡するように」という返信が来たものの、すでにパルさんはNIXIにメールを送信していたため特にできることはありませんでした。なお、NIXIからの返信は来ませんでした。

2019年11月30日の7時30分にパルさんがこの問題についてTwitterに投稿したところ、9時54分にNamecheapのCEOからツイートに対して「NIXIに連絡しているところだ」という返信がありました。

My domain https://t.co/iWuUYx7h3o has been transferred to another registrant without authorization/notification. I owned this domain for 12 years and now it's gone without any warning. @Namecheap provides no ETA about investigating this. See https://t.co/UxwsEVTbXT for details.— Susam (@susam) 2019年11月30日

2019年12月1日の11時43分、シャドウサーバー財団からメールが届いたとのこと。メールによると、シャドウサーバー財団はパルさんからの連絡があったあとすぐに調査を開始し、当該ドメインの押収はAvalanche壊滅作戦において誤って行われたものであることを確認したそうです。Avalancheボットネットの破壊作戦では、ボットネットが利用しているドメインを没収して安全なアドレスにリダイレクトする「Sinkhole」技術が利用されましたが、破壊作戦が行われて3年が経過した後でも、Acalancheは依然として活動を続けており、Sinkhole内のドメインへも350万件を超えるIPアドレスからの接続が確認されています。

パルさんの事例は、Avalancheのマルウェアの1つであるNymaimが利用するコマンド＆コントロールサーバーのドメインパターンが「susam.in」に当てはまってしまい、さらに誤検知を避けるための有効性チェックをすり抜けてしまったため、ドメインがSinkholeに没収されてしまったというものでした。

2019年12月2日の4時にパルさんがWHOISレコードを調べたところ、「susam.in」がすでに返還されているのを発見。8時37分には正式にNamecheapから「ドメインを元の状態に戻した」と連絡を受けました。

ドメインは無事に返還されたものの、パルさんはドメインを突然失う可能性があることを考えるととても平静には戻れなかったとのこと。ブログでは「ドメインが実際に移管されるまでにはもっと多くのチェックが入ると思っていた」「12年間使用してきたドメインを失うのは非常に不快な体験だった」などと述べられています。

なお、パルさんはシャドウサーバー財団に対して、「.in」のような国別コードドメインと「.com」のような汎用(はんよう)ドメインで信頼性が異なるのかについて聞いてみたそうです。シャドウサーバー財団の担当者は「.in」を管理するNIXIは非常にクリーンな運営で問題解決までの日数も短いと答え、さらに「.com」はマルウェアのドメイン生成パターンのせいでより問題が発生しやすい可能性があるとも回答しました。

なお、パルさんは2022年にブログのドメインを「susam.in」から「susam.net」に変更しましたが、この事件の影響ではなく、「昔から使いたかったドメインが空いたため」と理由を述べています。