ウェブマスターの体験談: ウェブサイトのドメイン名が盗まれた経験

編集者注: 以下は、ドメイン名が盗まれた中国の個人ウェブマスターの体験談です。おそらく、Godaddy で CSDN と同じユーザー名とパスワードを使用していたためと思われます。CSDN のパスワードが漏洩したため、Godaddy アカウントが盗まれ、最終的にドメイン名が盗まれました。 Godaddy ドメイン名の盗難を防ぐために必要なのは、Godaddy アカウントとメール アドレスの 2 つだけです。Godaddy アカウントには別のユーザー名 (他の Web サイトと同じユーザー名は使用しないでください) と強力なパスワードを使用してください。すべてのドメイン名をロックします (移行のロックを解除するためのメールが送信されます)。安全なメール アドレスを使用します (「2 段階認証」機能を有効にした Gmail が推奨されます。現在、この携帯電話の動的パスワード認証機能を備えているのは世界で Gmail だけなので、Gmail ユーザーのパスワードと携帯電話が同時に盗まれない限り、ハッカーが侵入することは困難です)。以下のウェブマスターの経験からわかるように、GoDaddy のドメイン名が盗まれた場合、中国のユーザーが交渉するのは非常に面倒です。そのため、編集者はウェブマスターにドメイン名を保護するよう注意喚起するためにこの記事を転送しました。

原文は次のとおりです。

ご存知のとおり、ドメイン名は、木の根や建物の下の土地と同様に、ウェブサイトの基盤です。ドメイン名が盗まれると、ウェブサイトに壊滅的な打撃を与えます。ハッカーがドメイン名の所有権を取得した後、ドメイン名を自分のサーバーに解決し、ウェブサイトをトロイの木馬やウイルスが満載のページに置き換えることができるため、ネットユーザーはそのページにアクセスするとすぐにトロイの木馬に感染することになります。または、ドメイン名を直接**にジャンプし、**を通じて利益を得ることもできます。これらはすべて、短期間で莫大な利益を上げる方法です。しかし、元のウェブサイトをコピーし、インターフェースをまったく同じにしてから、ウェブサイト上のすべての広告を自分のものに置き換えて、広告を通じて継続的な利益を得ることもできます。つまり、ドメイン名が盗まれた後、元のウェブマスターは自分のウェブサイトに対するすべてのコントロールを失います。新しいドメイン名が変更されたとしても、ネットユーザーが新しいドメイン名のアドレスを短期間で知ることは困難です。ドメイン名が変更された後、ウェブサイトは間違いなく深刻なダメージを受けます。ウェブサイトが有名な場合は、一部のネットユーザーがウェブサイト名を通じてそれを見つけるかもしれませんが、ウェブサイトがあまり知られていない場合は、直接台無しになります。

関連する法的保護がないため、ドメイン名が盗まれた場合に対処する唯一の方法は、ドメイン名登録機関に苦情を申し立てることです。公安局や裁判所は通常、その事件を受理しません。ドメイン名登録業者がドメイン名の盗難に対して責任を負わなければならないという規定はありません。毎日大量の苦情が寄せられるため、ドメイン名登録業者は不必要なリスクを回避するためにドメイン名登録者からの苦情を拒否し、登録者に事件を報告するか、裁判所に行くよう求め、責任を転嫁し合うのが一般的です。したがって、ドメイン名は現在、基本的に無人地帯にあります。一度盗まれたら、回復できるものはほとんどありません。ドメイン名を守りたいのであれば、自分自身に頼るしかありません。

著者の個人ウェブサイトは 2005 年初頭に開設されましたが、ドメイン名は実際には 2007 年 2 月にすでに盗まれていました。このドメイン名は、当時中国の二大ドメイン名登録業者の 1 つであった Xinnet の代理店を通じて登録されました。当時、QQ、メール、サーバー、FTP、オンラインバンキングなど、パスワードが必要な重要な場所は10か所以上ありました。パスワードが多すぎていつも忘れてしまうので、覚えやすいように関係のない 2 つの場所に同じパスワードを設定していました。たとえば、当時の Web サイトのメイン サーバーのログイン パスワードは、ドメイン名管理メールのパスワードと同じでした。これは、特定のパスワードが漏洩してすべてが崩壊するのを防ぐためにも行われます。ハッカーがウェブサイトのサーバーに侵入し、バックドア プログラムを通じてウェブサイトのサーバーのパスワードを入手したことを誰が知っていたでしょうか。彼はこのパスワードを使って私のすべての場所を試し、最終的に私のメールボックスを盗んだ可能性があります。その後、ドメイン名管理アカウントのセキュリティメールアドレスを通じてドメイン名管理アカウントのパスワードを取得し、ドメイン名管理プラットフォームに入り、ドメイン名をエージェントのシステムから自分のXinwangアカウントに転送しました。ドメイン名の登録者名と登録者メールアドレスも変更されました。その後、私は自分のIDカードといくつかのメール（foxmailを使用していて、メールはコンピュータに保存されていました）を使ってNetEaseに苦情を申し立て、メールを取り戻し、エージェントに再度連絡しました。しかし、エージェントはドメイン名がすでにシステム内に存在せず、それを操作する権利がないと言い、Xinwangに連絡するように言いました。 Xinwangに連絡しましたが、受け入れられないという返事が返ってきました。何度も連絡を取った後、Xinwang は最終的に申請を受け入れることに同意しましたが、ドメイン名が私によって登録されたことを証明する証明書をエージェントが発行することを要求しました。証明書を取得するために、ドメイン名登録成功のメール、ドメイン名登録時の銀行支払い記録、ドメイン名更新時の支払い記録などを提供し、身分証明書と一緒に送りました。懸命な努力の末、ついにドメイン名を取り戻すことができました。その後、私は新王の楊マネージャーに感謝の手紙を送りました。

それ以来、私はパスワードセキュリティの重要性と深刻さを認識しました。私はパスワードブックを使用してパスワードを保存し始めましたが、パスワードはそれぞれ異なっていました。しかし、時間が経つにつれて、インターネット上でパスワードを使用する必要がある場所が増えました。パスワードブックを使用してそれぞれを保存することは不可能であり、毎回入力するのは不便です。そのため、パスワードを3つのレベルに分けました。最も基本的なものは通常、いくつかの一時的なアカウントです。たとえば、何かをダウンロードするためにフォーラムに行くと、ログインする必要があることに気付くので、アカウントを登録します。このアカウントが盗まれたとしても、私にとって損失にはなりませんが、将来的に再びこの場所に来る可能性があるため、このタイプのアカウントには比較的シンプルで覚えやすいパスワードを使用します。よく行く場所では中間パスワードが使われており、これらのアカウントが盗まれたとしても大きな損失にはならないか、パスワード保護によって簡単に取り戻すことができるため、これらの場所ではより複雑なパスワードを設定しています。最高レベルのパスワードは、QQ、メール、オンラインバンキングなど、非常に重要なものです。それぞれに異なるパスワードを設定しています。パスワードには数字+大文字と小文字+特殊記号が含まれており、頻繁に変更されています。ただし、入力するのも非常に面倒です。現在、このタイプのパスワードが50以上あります。

2009年、中国は下品なウェブサイトを取り締まりました。下品さの明確な基準がなかったため、多数のウェブサイトが影響を受けました。一部のウェブサイトのドメイン名は、ドメイン名登録機関によって直接ロックされました。ドメイン名は中国で登録されているため、通信管理局が登録機関に通知を発行すると、登録機関はドメイン名を保留し、ドメイン名は完全に使用できなくなり、しばらくの間、人々の間でパニックが発生しました。ドメイン名のセキュリティを確保するため、ウェブサイトのドメイン名の 1 つを、当時米国最大のドメイン名登録機関であった GoDaddy に移管しました。 2010年にGoDaddyがAlipayをサポートし、支払いと更新がより便利になったので、まだ構築されていなかったドメイン名をいくつかAlipayに移管しました。あるとき、ドメイン名の登録情報を変更しようとしたところ、GoDaddy からすぐに確認メールがメールボックスに送信され、ドメイン名の新しい情報を更新するには、メールに返信するか、メール内のリンクをクリックするように求められました。返信またはリンクをクリックしなかった場合、ドメイン名の変更は無効になります。この確認メールは、今でもメールボックスに保存されています。この操作のせいで、私はGoDaddyのセキュリティメカニズムが非常に優れていると誤解し、GoDaddyアカウントに注意を払っていませんでした。GoDaddyアカウントのパスワードレベルを中級に分類し、メールボックスの保護に集中しました。 GoDaddy が将来この検証メカニズムを廃止するとは誰も予想していなかったでしょう。

GoDaddy に移管したいくつかのドメイン名が常にかなり安全であること、国内の状況が比較的不安定であること、取り締まりが再び始まるという噂が頻繁にあることを考慮して、2011 年に私は自分のウェブサイトのメインドメイン名を Xinwang から GoDaddy に移管しました。その時点で、私の GoDaddy アカウントにはすでに 5 つのドメイン名がありました。

ドメイン名が盗まれるケースのほとんどは、ドメイン名の登録に使用したメールアドレスが盗まれ、それがドメイン名の盗難につながるため、まずドメイン名が盗まれる可能性が高いです。したがって、メールアドレスを保護することは、ドメイン名のセキュリティを確保するための最も重要な対策です。最初のドメイン名盗難後、私はすぐに実名認証、携帯電話のバインド、メールパスワード変更通知、メールと SMS の通知など、メールアカウントに複数の保護を追加しました。また、メールパスワードも頻繁に変更しています。私は強いセキュリティ意識を持っていると思います。私のパスワード帳に登録されているアカウントは、2007 年以来一度も盗まれたことはありません。今回、このような挫折を味わうことになるとは思っていませんでした。ドメイン名の盗難は、私の不注意、ハッカーの巧妙さ、GoDaddy の抜け穴、そしてさまざまな偶然など、多くの要因によって引き起こされた可能性があります。今では、これは起こるべくして起こったことなのかもしれないと思っています。

2011年末にCSDNなどのウェブサイトでパスワードが漏洩しましたが、私のCSDNのアカウントとパスワードはGoDaddyのものと全く同じでした。前述のとおり、以前の変更操作により、GoDaddy から確認メールが送信されたため、GoDaddy アカウントのパスワード レベルを中級のみに設定し、CSDN や他の Web サイトと同じアカウントとパスワードを使用しました。 CSDN 漏洩事件が起こった後、私は GoDaddy アカウントのパスワードを変更することを考えませんでした。一方では、誰も私をターゲットにしないだろうと思っていました。他方では、当時は、ハッカーが私の GoDaddy アカウントに侵入したとしても、私のドメイン名について変更したい情報は、私の電子メールで確認する必要があるように思えました。電子メールを保護し、GoDaddy からの電子メールに返信せず、電子メール内のリンクをクリックしない限り、ハッカーは私のドメイン名を盗むことはできないでしょう。

2012 年 2 月 22 日、私のメールボックスに GoDaddy からのメールが届きました。最初の数文を読むと、アカウント情報が変更されたと書かれていましたが、具体的に何が変更されたのかは書かれていませんでした。すると、その下に英語の単語がたくさんありました。GoDaddyからの変更確認メールかもしれないと推測しました。返信せず、リンクをクリックしなければ問題ないだろうと思ったので、よく見ませんでした。しかし、ドメイン名のセキュリティの重要性を考慮して、すぐに GoDaddy アカウントにログインし、通常どおり入力してアカウントを確認したところ、何も変更されていませんでした。ドメイン名はそのまま残っており、ドメイン名情報も正確でした。それで、そのメールは変更操作を確認するためのものであることがさらに確信できました。 もともとアカウントのパスワードを変更したかったのですが、GoDaddyのサーバーは米国にあり、ここで開くのは非常に遅いです。 Webページを数回クリックしましたが、固まっていたので諦めました。 次回変更すればいいと思ったら、その件は無視されました。

通常、ウェブサイト管理者はドメイン名管理システムに頻繁にログインする必要はありません。ドメイン名を変更する必要がない場合は、長期間ログインしないのが普通です。私は通常、GoDaddy アカウントとドメインを月に 1 回程度チェックしますが、ログインしようとしたときに GoDaddy の Web サイトがダウンしている場合は、チェックする頻度を減らしても大した問題ではないと思います。 3月末にアカウントとドメイン名を再度確認するつもりでしたが、GoDaddyのWebサイトがなかなか開けませんでした。 2 月 22 日以降、GoDaddy からメールが送られてこないので、ハッカーは私の情報を変更できないと判断して諦めたようです。サードパーティのwhois機能を使用してすべてのドメイン名を確認しましたが、情報は正確でした。そのため、今回はGoDaddyアカウントにアクセスできませんでしたが、アカウントとドメイン名は依然として安全であると考えています。

4月16日の夕方になって、自分のドメイン名がすべて盗まれ、ドメイン名の登録者と登録メールアドレスがすべて変更されていたことに偶然気付きました。すぐに何かがおかしいことに気づき、すぐに GoDaddy アカウントにログインしましたが、パスワードが間違っているというメッセージが表示されました。その後、GoDaddy の Web サイトで提供されているパスワード取得機能を使用しましたが、電子メール アドレスが間違っているというメッセージが表示されました。つまり、GoDaddy アカウントが盗まれた後、セキュリティ メール アドレスも変更されていたことになります。初めてそれを発見したとき、私は自分の目が信じられませんでした。ドメイン名が盗まれたことを確認するまで、何度も確認を続け、GoDaddy アカウントにログインするときに間違ったパスワードを何度も入力するよう求められました。突然、空が落ちてくるような気がして、私は完全に唖然としました。 2 月 22 日以降、GoDaddy からメールが届いていないため、ハッカーがどのようにして私のドメイン名を盗んだのかまったくわかりません。以前の理解では、ハッカーが私のアカウント情報またはドメイン名情報を変更したとき、GoDaddy から確認メールが送られてくるはずでした。確認した後でのみ、変更が有効になります。私のメールアドレスが盗まれたのでしょうか？すぐに自分のメールアドレスにログインし、最近のログイン記録を確認しました。2月22日から現在まで、ログインIPアドレスはすべて私のものであり、メールアドレスが盗まれたわけではないことがわかります。そして、たとえ私のメールアドレスが本当に盗まれたとしても、私の携帯電話には必ずテキストメッセージの通知が届きます。

ドメイン名のwhois情報を調べたところ、私の5つのドメイン名の最終更新日時（Last Update）は4月8日でした。次に、ドメイン名のwhois履歴レコードを調べたところ、4月8日以前の5つのドメイン名の情報は私のものでしたが、4月8日以降はすべてハッカーの所有物となっていました。したがって、これら5つのドメイン名は同日（4月8日）に移管されたことが確認できますが、ハッカーは移管後にドメイン名のDNSサーバーを変更しなかった、つまりドメイン名の解決を変更しなかったため、私のウェブサイトは常に正常に開くことができ、ウェブサイトのドメイン名が盗まれたことを誰も知りませんでした。これが、4月16日まで発見されなかった理由です。

4月16日の夕方、私はBaiduで「godaddy 盗難」を検索し、インターネット上で同様の事例を多数発見した。つい最近、エイプリルフールに、国内の有名なスポーツイベントのライブ放送ウェブサイト「Zhibo8.com」がドメイン名が盗まれたと発表しました。エイプリルフールのジョークだと思った人も多かったようです。ハッカーは「Zhibo Bar」のオリジナルサイトをコピーし、DNSサーバーを改造しました。ハッカーは自分の「Zhibo Bar」サイトに**と**の広告を詰め込みましたが、ネットユーザーはその広告がZhibo Barのオリジナルウェブマスターによって投稿されたものだと考えました。なぜなら、彼らにとって「Zhibo Bar」のサイトはあまり変わっていなくて、変更されたのは広告だけだったからです。 16日が経過しましたが、まだ戻ってきません。状況は楽観できないようです。

今、私のドメイン名が盗まれてしまったので、ドメイン名登録機関の GoDaddy にすぐに連絡しなければなりません。これがドメイン名を取り戻す唯一の方法ですが、連絡方法がわかりません。GoDaddy の Web サイトには電話番号が記載されていますが、私の英語は下手で、電話をかけても話せません。その後、私は「Aiqinghuangdao」による有名なGoDaddyドメイン名盗難回復チュートリアルを見つけました。チュートリアルには、異議申し立て期間はアカウントまたはドメイン名が盗まれた後15日以内であると書かれていました。15日以内にGoDaddyに連絡して関連する証拠を提出すれば、以前の変更を元に戻すことができます。

チュートリアルに記載されている連絡先メールアドレスによると、私は4月17日の早朝にGoDaddyの解約部門（ドメイン名の変更と解約業務を専門に扱う部門、[email protected]）に最初のメールを送信し、4月8日にアカウントとドメイン名が盗まれたことを伝え、支援を依頼しました。翌日、彼らは私に返答し、その返答は私が期待していた通りでしたが、それでも非常にイライラしました。彼らは、ドメイン名紛争はドメイン名仲裁機関または裁判所によって解決されるべきであり、ドメイン名登録機関である彼らにはドメイン名紛争を処理する権利はないと主張した。しかし、私は彼らが「この変更はかなり前に行われたため、私たちはあなたを助けることができません」という重要な一文を言ったことにも気づきました。チュートリアルによると、異議申し立て期間は15日以内です。私のドメイン名は8日に盗まれました。17日の早朝（米国現地時間では16日昼頃）に連絡しました。8日も経っていません。なぜ変更に時間がかかりすぎたと言われるのでしょうか？すぐに返信して説明しました。 2通目の手紙では、「昨日ドメイン名が盗まれたことがわかり、すぐに連絡しました。ドメイン名が盗まれたのは4月8日で、まだ1週間しか経っていません。ハッカーはドメイン名のDNSサーバーを変更しなかったため、私のウェブサイトにはまだ正常にアクセスでき、ドメイン名の盗難に間に合わず気付きませんでした。さらに、私のメールボックスにはGoDaddyからの通知メールが届いていませんでした。そうであれば、もっと早く盗難に気付いていたでしょう。これらのドメイン名は私にとって非常に重要なので、どうか助けてください。これらのドメイン名が私のものであることを証明する十分な証拠があります。」と書きました。私の英語は上手ではないので、Google翻訳とKingsoft PowerWordを使ってこれらの単語を一語一語英語に翻訳し、彼らに送りました。翌日、4月19日の早朝、彼らからの返事は非常に簡潔で、たった一文でした。「前にも言いましたが、変更はかなり前に行われたため、私たちはあなたを助けることができません。」

ウェブサイト管理者として、自分のドメイン名のwhois情報を確認し、ドメイン名管理アカウントに毎日ログインするのは不可能だと感じ、非常に不満でした。ハッカーがドメイン名を盗んだとしても、ドメイン名の DNS を変更しないと、ウェブサイト管理者がドメイン名が盗まれたことを検出するのは困難になります。 8 日以内に盗難に気付いたのは、まったくの幸運でした。たまたまその日、WHOIS 情報を確認したいという衝動に駆られたのです。そうでなければ、おそらく 1 か月後に気付いたでしょう。 15 日以内に連絡したのに、なぜ異議申し立てが却下されたのでしょうか?そこで、3 通目のメールでは、15 日間の期限内に連絡したのに、なぜ私の要求を受け入れてもらえなかったのか、少し疑問を抱くような口調で尋ねました。私のドメイン名を調査していただくようお願いしており、すべての証拠を提供できると考えています。 30 分後に返信がありましたが、これはこれまでで最速のスピードでしたが、返信も非常に簡潔なものでした。「再度申し上げますが、変更がかなり前に行われたため、サポートすることはできません。」

GoDaddy は変更に長い時間がかかったと主張し続けているので、私のドメインは 4 月 8 日以前に盗まれた可能性があると思います。ハッカーがドメイン名を盗んだプロセス全体を理解するため、私は独自の調査を始めました。 2月22日に受け取ったメールを注意深く読みましたが、そこには私のアカウント情報が変更されたと書かれていました。変更が私によるものでない場合は、連絡を取ることができます。私の下手な英語は本当に有害です。最初はメールを注意深く読まず、操作の確認を求めているのだと思いました。それが単なる通知メールであり、変更が有効になっていることを誰が知っていたでしょうか。しかし、手紙にはどのような情報が変更になったのかは書かれていなかった。 2月22日にGoDaddyにログインして確認したところ、問題はありませんでした。これは、ハッカーがその日、アカウントのセキュリティ メール アドレスのみを変更し、アカウントのパスワード、連絡先情報、ドメイン名は変更しなかったためです。セキュリティメールアドレスはパスワード変更ページに記載されており、当日確認したところ、パスワードメールアドレスが変更されていませんでした。

ドメイン名のwhois履歴記録を確認したところ、3月10日より前の記録では、ドメイン名52tian.netの最終更新日時（Last Update）は、XinwangからGoDaddyに移管した日である2011-05-16でしたが、3月10日から4月8日までの記録では、最終更新日時（Last Update）は3月10日でした。この期間中の他のいくつかのドメイン名の記録では、最終更新時刻（Last Update）も3月10日でした。この日付フィールドを除いて、他の情報は変更されていません。すべて私の個人情報です。このことから、3 月 10 日にハッカーが私のドメイン名に対して操作を実行したと結論付けることができます。この操作により、ドメイン名の情報は変更されませんでしたが、ドメイン名の最終更新フィールドが更新されました。ドメイン名をXinwangからGoDaddyに移管した後、ドメイン名情報は変更せずに保存しましたが、最終更新が更新されました。したがって、ドメイン名をレジストラから移管する操作では、ドメイン名の情報を変更することなく、最終更新を更新するだけで、以前と同じ結果が得られることが確認できます。現在、私のドメイン名のいくつかはまだ GoDaddy にあり、他のレジストラに移管されていません。そのため、ハッカーは 3 月 10 日に移管操作を実行していません。おそらく、レジストラ内での内部ドメイン名移管操作、つまりドメイン名 PUSH 操作だったと思われます。つまり、ドメイン名をあるドメイン名管理アカウントから別のドメイン名管理アカウントに転送します。ドメイン名は GoDaddy にパークされたままですが、別のアカウントに転送されます。私の推測を検証するために、GoDaddy で 2 つのアカウントと 1 つのドメイン名を特別に再登録し、ドメイン名を元のアカウントから新しいアカウントに転送しました。転送プロセス中に、「ドメイン名情報を変更しない」と「ドメイン名 DNS サーバーを変更しない」の 2 つのオプションがあります。これら 2 つのオプションがチェックされている限り、転送後にドメイン名の情報は変更されず、最終更新のみが更新されます。このことから、ハッカーは 3 月 10 日の同日に、私の GoDaddy アカウントにあるすべてのドメイン名を自分のアカウントに移したと結論付けることができます。

これまでのところ、ハッカーの盗難プロセスは次のようになります。まず、CSDN Web サイトから漏洩したユーザー データベースを通じて私のアカウントとパスワードを見つけました。2 月 22 日に、ハッカーはこのアカウントとパスワードを GoDaddy Web サイトに持ち込んで試し、最終的に私の GoDaddy アカウントに侵入しました。容疑者に気づかれないようにするために、彼は私のアカウントのセキュリティメール アドレスのみを変更しました。 3 月 10 日、彼は私がパスワードとセキュリティ メール アドレスを変更していないことに気付きました。彼は私が彼の行動に気付いていないことを知っていたので、すべてのドメイン名を自分のアカウントに移しました。彼がドメイン名の情報を全て自分のものに変更したのは4月8日になってからであり、そのときになってようやく彼はドメイン名の完全な所有権を獲得した。 4月8日以降、彼は私のウェブサイトのプログラムをコピーし、インターフェースを模倣してデータ収集などを行い、時期が来たらドメイン名のDNSサーバーを入れ替え、ドメイン名を自分のサーバーに解決し、ウェブサイトに自分の広告を掲載するのではないかと推測しました。彼の手法はzibo8を盗んだハッカーと非常に似ていると想像でき、同一人物である可能性もあります。

原題: ウェブマスターの体験談: ウェブサイトのドメイン名が盗まれた経験

キーワード: ウェブマスター、ストーリー、ウェブサイト、ドメイン名、編集者、1、中国語、個人ウェブサイト、長いドメイン名、ウェブサイトのプロモーション、収益化