2018年4月26日(木)より、お名前.comでサービスが開始されてるドメインプロテクション。
お名前.comで管理されてるドメインを対象にした各種設定の変更や書き換えを制限することで、インターネット全般でのパスワードの使いまわしによって管理画面が乗っ取られるとか、管理者の誤操作の設定変更を防ぐためにドメインプロテクションはあります。
ドメインプロテクションが必要なら、それらをより細かく理解した上でお名前.comのドメインプロテクション設定が必要か不要かを決めてもいいと思います。
それにドメインプロテクションが不要だとしても、知識としてもっておくことが必要だと思います。
お名前.comのドメインプロテクションで操作制限する設定を確認する
お名前.comのドメインプロテクションを設定すると操作制限できる設定は何があるのか?そしてそれぞれの設定の役割を読んでみてドメインプロテクションの設定が必要と思うか不要と思うか。
基本的に、どの設定も機械損失を防ぐためにドメインプロテクションは必要かもしれませんが、操作制限できる設定の説明を加えながらまとめてみました。
ドメイン管理
【トランスファーロックの設定変更】
お名前.comのトランスファーロックは通常はレジストラ移管をできない状態にします。
不正なレジストラ移管を防止するためでもあるので、ドメイン名ハイジャックを考えた時にレジストラ移管の申請が勝手にできないようにお名前.comのドメインプロテクションが必要だと思います。
【お名前IDの付け替え】
お名前.comに登録したIDを変更できる設定です。
通常はドメイン管理を統合するなどの理由で使用する設定ですが、もし知識ある第三者にお名前.comにログインされてしまったらIDが変更されてしまう可能性があります。
お名前.comの管理画面に対しての不正な操作があった場合でもドメインプロテクションの設定によって操作制限がされるので、万が一を考えると必要なのかもしれません。
【ドメイン売買出品】
お名前.comではドメイン売買出品ができますが、このときもお名前.comの管理画面やログインに関係します。
気づいたら、お名前.comで取得したドメインが売買されてる。という万が一の損失が発生した場合にはWebサイトの運営どころではなくなってしまいます。
過去の事例ではWordPressを二度も乗っ取られてドメインを売りにだされてしまってたという事もあります。
実際に不正なドメイン売買があることを知ると、ドメインプロテクションの必要性は増します。
Whois情報管理
- Whois情報(登録、管理、経理、、技術など)変更
- Whois情報公開代行 設定変更
- Whois情報公開代行メール転送の設定変更
Whois情報やWhois情報公開代行は個人情報に関しての設定です。お名前.comではドメイン取得の時に設定することが望ましいですが、Whois情報公開代行の設定で個人情報を分からなくしても不正なログインが行われたら?
これもお名前.comのログインや管理画面の不正操作に対してのことなので、ドメインプロテクションで設定が必要だといえます。
ネームサーバー(NS)管理
【ネームサーバー設定/DNSレコード設定】
ネームサーバーはドメイン名をIPアドレスに変換する名前解決をするサーバーのことです。
ドメイン取得をしたことがある方ならネームサーバー設定は経験があるかと思います。
そしてDNSレコードは、ドメイン名とIPアドレスをセットにする仕組みでコンピューターに認識してもらうためのもの。
これにはドメイン名ハイジャックの事例があり、サーバーの脆弱性を狙われた可能性があったようですが、お名前.comのドメインプロテクションの設定をすることによって、ネームサーバーやDNSレコードを勝手に書き換えられないようにできます。また複数ドメインの管理においての誤操作にも必要だと思います。
【メール転送設定/URL転送設定】
メール転送なら設定したメールアドレスに、URL転送なら設定したURLに転送や移動することが出来る設定です。
やはりこの設定もお名前.comの管理画面にログインができてしまうと不正にとか、誤操作によっても意図しない転送をされてしまう可能性があります。
メールを使ってなければ不要かもしれませんが使用してる場合はドメインプロテクションは必要かもしれません。
【ドメインパーキング/ホスト情報】
ドメイン取得はしたけど運用してないドメインを広告掲載ページにして運用しておくという設定です。
広告がクリックされた場合はクリック報酬が発生します。詳しくはお名前.comのドメインパーキングを設定するとどうなるのかの記事を参考にしてみてください。
そしてホスト情報はIPアドレスやホスト名の情報のこと。
ドメイン名ハイジャックされて、もしドメインパーキングされたとしても広告報酬は難しいので、お名前.comのドメインプロテクションは不要といえば不要だけどドメインパーキングされてる時点でドメインを乗っ取られてるわけですから必要性があるのだと考えることができます。
自動更新設定管理
【自動更新/設定変更】
お名前.comでドメインを取得してドメインの更新をするときに更新設定したり、自動更新の設定を変更ができる設定です。
自動更新にしてたつもりが誤操作によって変更してしまい自動更新されてなかったとかをお名前.comのドメインプロテクションを設定して防ぐことが出来ます。
必要といえば必要ですが、お名前.comのドメイン更新時にはドメイン更新のハガキが郵送されるので、たまに管理画面を確認して設定が有効になってるか確認できるなら不要かもしれません。
上記のお名前.comの設定は、管理画面に対して重要だったりWebサイトをWebに公開するために重要な役割をしてる設定です。
ドメインプロテクションの設定は保護設定とも言い、それぞれの設定に対してドメイン名ハイジャックや管理画面での誤操作を防ぐことができますが、万が一これらの設定に対して自分のドメインがハイジャックされてしまったら?を考えると、ドメインプロテクションなしでは防げないこともあるし、必要なのかもしれないと思えてきます。
逆をいえば、お名前.comの管理画面をこまめに確認できて、それぞれの設定が問題ないか見られるならドメインプロテクションは不要になるかもしれないと思えるかもしれません。
ドメインプロテクションが必要になった事例
お名前.comのドメインプロテクションの設定ができるようになったのは
2018年4月26日(木)
JPRSでドメイン名ハイジャックの注意喚起がでてるのは
- 初版 2014年11月5日(wed)
- 最終更新 2015年5月26日(tue)
そしてドメインプロテクションが必要になった事例を紹介しようと思うのですが、ドメインプロテクション設定やドメインについて考えるときにはレジストリとレジストラを知っておくと理解しやすいかもしれません。
【レジストリ】
各ドメイン情報を持つデータベースを管理してる機関(NICやICANNなど)
今回で言えば、お名前..comの上位にあたるのがレジストリ。
【レジストラ】
お名前.comやドメインを販売してる会社がレジストラ。
ドメイン乗っ取り(ドメイン名ハイジャック)は、ドメイン登録者、レジストラ、レジストリ、DNSサーバーどの間の脆弱性でも狙ったり、レジストラになりすましてドメイン登録情報を書き換えてしまいます
お名前.comからのメール配信も過去にありましたが、もっとも記憶に新しいドメインの乗っ取り被害といえば「ラブライブ!」の公式サイトが乗っ取られる被害です。
『ラブライブ!』シリーズ公式サイトについてドメインが悪意ある第三者に一時的に管理が移転しておりましたが、現在はサンライズの管理下にあり正常な状態に戻っております。しかしながら安全性の検証のため今しばらく「 https://t.co/CFaOU6XXea 」をご覧頂きますようお願いいたします。#lovelive pic.twitter.com/aYAbpWMIUp
— ラブライブ!シリーズ公式 (@LoveLive_staff) April 5, 2019
- 犯人がドメイン移管申請を出す
- 運営担当者がドメイン移管申請の許可をしてしまう
- ドメイン移管が承認されラブライブのサイトが乗っ取られる
上記の事例のようにドメインプロテクションの設定がしていない状態の場合、保護設定ができていないので管理画面からドメイン移管操作をされてしまう可能性もあります。
悪質な被害だと、ネームサーバーの書き換えをして本来のURLをクリックすると偽のページに誘導されてしまう事例があります。
そして訪問者側にはマルウェアを注入されてしまう被害も発生してしまう可能性も低くはありません。
DNSサーバーは本来は、ドメイン名がIPアドレスに変換されて通信ができるサーバーです。
ですが、もしドメイン名ハイジャックされてしまいネームサーバーの書き換えがされて気づかなかった場合にキャッシュが残っていてキャッシュの有効期限が切れるまで誘導されてることになる可能だってあるのかもしれません。
別の事例ではTLDの.comドメインが狙われたようですが、.com以外にも考慮する必要があるため、レジストラである、お名前.comはドメインプロテクションを設定して上記の「操作制限する設定」で説明した、お名前IDやネームサーバーなどの設定に機能制限がかかるようにしてるのだと思います。
ドメインプロテクションが必要になった事例は、知名度のあるサイトなので個人ブログなどの場合と比較するとドメインの保護を設定する必要性が減りますが、実際発生した事例はあるという参考にしてください。
ドメインプロテクションが必要と思い設定する場合
お名前.comのドメインプロテクションの料金
年間1078円 ※10%増税後の税込料金です
金額を高く思うか安く思うかは人それぞれなので、なんとも言えませんが、もし自分がドメイン名ハイジャックに、お名前.comを使用していて狙われてしまった場合を考えると年間金額は必要としたら安いのかもしれない。
でも何も問題なかったらと思うと必要ない金額です。
【ドメイン取得と同時に設定する】
お名前.comでドメイン取得と同時にドメインプロテクション設定する場合は、無料ではないですがドメイン取得の流れで設定項目が表示されます。
【ドメイン取得後にドメインプロテクション設定する】
お名前.comにログインすると「ドメイン契約更新画面」が表示されます。
その後にTOPの横の「ドメイン」をクリックして画面が切り替わったら「ドメイン機能一覧」をクリック
下にスクロールしていくと登録情報の設定に「ドメインプロテクション申請/解除」があるのでクリックすると画面が切り替わります。
そして、ドメインプロテクションを申し込むドメインにチェックと支払い方法を選択して申請をします。
お名前.comの管理画面で最低限やっておくことは?
お名前.comのドメインプロテクションが必要ないと思った場合に管理画面の操作で最低限やっておきたいことがあります。
お名前.comのログイン通知機能をONに設定する
お名前.comのログイン通知機能は2020年7月27日にセキュリティ強化を目的として機能の導入がされています。
お名前.comにログインすると画面右上にはログインした「お名前ID」が表示されます。このお名前IDの横にある下矢印のアイコンをクリックした項目の「会員情報の確認/変更」をクリックして進んだ画面で「ログイン通知の受信」をONに設定できます。
お名前.comのログイン通知機能をONに設定したことで、設定されたお名前IDで私たちがログインしたときも、他の人がログインした場合でも登録メールアドレスにログインがあったことの通知が来るようになります。
- どのIDにログインがあったのか
- ログイン日時
- IPアドレス
- ユーザーエージェント
上記4つのログイン情報が届くので、お名前.comのドメインプロテクションが必要ないと思った場合には管理画面で最低限やっておきたいことです。