ウェブ開発者のオースティン・ギンダー氏が、ドメイン管理サービス「GoDaddy」がドメインを誤って他人に移転してしまっていた事件についてブログで報告しています。

GoDaddy Gave a Domain to a Stranger Without Any Documentation

https://anchor.host/godaddy-gave-a-domain-to-a-stranger-without-any-documentation/



問題となったのはギンダー氏の友人の顧客であるフラッグストリーム社のドメインとのこと。当該ドメインは27年間に渡って使用されており、単なるウェブサイトのURLではなく、メールシステムや内部ツールも含めた重要なインフラとして組織全体を支えていました。

当該ドメインのアカウントでは二要素認証(2FA)が有効化されており、さらにドメイン自体にもロックがかけられるなどさまざまなセキュリティ設定が行われていました。そうしたセキュリティ設定にかかわらず、ドメインが他人の元へ移転されてしまったとのこと。

事件後、フラッグストリームが監査ログを確認すると「別のGoDaddyアカウントへの転送」と表記してあり、「内部ユーザーによって実行された」という記録がありました。また、「検証なし」で実行された操作であることも記録されており、外部からの不正アクセスではなく、サービス提供側の内部操作として処理された可能性がありました。



ドメインが失われたことで、ウェブサイトやメールなど関連する全てのサービスが停止し、組織全体の業務にも深刻な影響が生じました。また、GoDaddyのサポートにも問題があったとのこと。対応の一貫性が欠如し、問い合わせごとに異なる窓口やケース番号が提示されたそう。

フラッグストリームは最初の問い合わせから4日間で合計32回GoDaddyに電話をかけ、のべ9.6時間の通話を行いました。しかし結局、GoDaddyからは「調査の結果、新たな所有者が適切な書類を提出していたことが判明しました。GoDaddyは今回の件を解決済みとみなします」とドメインを返却してもらえなかったとのこと。新たな所有者についてはプライバシー上の懸念があり教えてもらえませんでした。



仕方なく、フラッグストリームが別のドメインを用意し、各種サービスの移行を進めていると、第三者から「あなたのドメインを知らない間に受け取っていた」と連絡がありました。この第三者は全く別のドメインを取り戻す作業をしていたところ、申請したドメインとは全く違うドメインがアカウントに登録されていることに気付き、フラッグストリームに連絡したとのこと。

第三者による自主的なドメインの返却により、フラッグストリームはサービスを元のドメインで復旧させることができました。ギンダー氏は「この第三者が連絡してくれなかったら解決までに数カ月かかっていただろう」と述べています。

この第三者は「特に何の書類もGoDaddyに送っていない」と証言しています。書類の提出を行うためのURLがGoDaddyから当該の第三者に送られていたものの、有効期限が切れており再送を依頼した段階でフラッグストリームのドメインが移転されていました。

本来、ドメインの所有者を変更するには厳格な本人確認および承認プロセスが求められます。しかし今回の事件ではGoDaddyの内部で適切な手続きが行われていない可能性が高く、ドメイン管理におけるガバナンスおよび内部統制の問題があることを示しています。

ギンダー氏は今回の投稿についてGoDaddyに連絡したものの、記事作成時点では何の返答も送られてきていないとのこと。「GoDaddyの注意を引く唯一の方法は退会すること」として、「フラッグストリームも全てのドメインを別のレジストラへ移管するだろう」と述べました。

なお、GoDaddyは過去にもさまざまな「事件」を引き起こしており、Wikipediaには専用のページが作成されています。

Controversies surrounding GoDaddy - Wikipedia

https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

また、Wikipediaに載っていない事件も多数引き起こしているとのことです。

・ドメイン検証の不備により8850件のSSL証明書が不正発行され失効

・ホスティング利用者のサイトにJavaScriptを挿入しパフォーマンス測定を実施

・ドメインを一方的にキャンセルし短時間の対応要求後に料金請求

・期限切れドメインを取得し高額で再販売するビジネス慣行

・ドメインが不正に移転される被害事例

・ドメインが盗まれたとする追加報告