ドメイン怪談、WHOISがマジにWHOIS?だった話

2023年9月22日

情シスのみなさまの業務の「物理的な範囲」はいかがでしょうか?
・名前のついた特定のシステム全体?、あるいは特定のサーバ
・主にクライアントPC
・クラウド移行したので、だいたい計画とか調整とかが増えたよ
・線が刺さっていたらだいたい情シス、なぜか冷蔵庫も担当?

今回のコラムは、クライアントPCでも、サーバでもない、厳密に言うとクラウドでさえない、「ドメイン」と「WEB」の世界の少々怖いお話です(実話をもとに、一部再構成しています)。

まず、ドメインとは? よくご存じの方もあるかと思いますが、まずはおさらい。

「ドメインとは「インターネット上の住所」のことで、Webサイトがどこにあるかを判別する情報として利用します。 詳しく説明すると、Webサイトがどこにあるのかを判別する情報は、ドメインに紐づく「IPアドレス」というものにあります。 数字だけでは覚えづらいため、ドメイン名に変換してWebサイトの場所を示します。」(某レジストラのWEBサイトより)

このドメインは、日本の場合JPRSという団体が管理していて、JPRSに登録されている情報は、WHOIS検索というシステムを利用して調べることができます。また、変更が必要になった場合は、レジストラ(日本の場合はJPRSにドメインの登録を行う事業者)が指定する方法で変更の申請をします。従ってWHOISには、現在の「(ドメインを利用している)組織名、登録担当者、メールアドレス、技術連絡担当者」等の情報が登録されています(はず)。

ところで、皆さんの勤務先では、ドメインの管理はどこの部署の担当でしょうか?
必ずしも、どの企業も情シスが担当というわけではなく、広報の担当者や、契約関係の担当者が管理している例もあるようです。

さてさて、今回はそのドメインにまつわる怪談をご紹介いたします。
主人公は昨年4月に情シスから広報&セキュリティ担当として異動になったAさん。進行中だったWEBサイトのリニューアルプロジェクトに加わります。前回リニューアルした際に依頼した制作会社との契約も終了し、長くまともにメンテナンスができていなかったのもあり、「元システム部門なら詳しいだろうから、急遽入ってもらうことにした」ということだったようです。

そこで、手始めに、WEBサイトを置くサーバやドメイン関連の情報をプロジェクトのメンバーに尋ねたものの、なんと全員が「????????(意訳 ナニソレオイシイノ)」状態。サーバの仕様も考えずに、レイアウトの下書きのエクセル方眼紙だけが打合せで飛び交う状態(この時点ですでにホラー??)。サーバを移すかどうかも未定の状態でした。

しかし、そこは元情シス。リニューアル前のWEBサイトの情報も含め、必要な情報を自力で集めることにします。レンタルサーバも、これまでの利用年数を考えて新しいのを用意することにし、プランの候補も選びました。現在のサイトと同じホスティングサービスの上位プランです。

・・・そして、第一のホラー・・・
ところが、サーバの追加申し込みをしようにも、現在のWEBサーバの契約情報が見当たりません。ホスティング事業者への会員登録もないとのこと。しかし、WEBサーバは使えています。ホスティング事業者に問い合わせるも、契約者名は回答できないとの連絡が。ひょっとして旧名称での契約や、過去の担当役員の名前での契約かもしれないと思い、過去の契約情報を漁るも何も見当たらず。支払い情報も見当たらず。新しいサイトを作らない訳にはいかないので、契約情報の調査は担当者に任せ、Aさんは新たに会員登録をしてサーバを確保することにしました。

新しいサーバが決まれば、次に、現在のWEBサイトから引き継ぐ画像データを確保する必要があります。しかし、画像の大半は元のデータが残っていないことが判明。サーバから複製するしかなさそうです。

・・・・・そして、第二のホラー
現在のWEBサイトから大量に画像データを複製するには、SSHかFTPがとりあえず一番手っ取り早い、しかし、普通はどちらに制限がかかっているのではなかろうか。そこでAさんは一度頭を抱えてしまいました。サーバの契約者が分からない状態で、FTP接続ができるようになるとは到底思えなかったのです。

ところが、ある時、倉庫から謎のCD-ROMが出てきました。何かのインストーラが入っているようです。すると、Aさんは無謀にもテスト用の仮想環境を用意して、CDを起動しました。実は、このAさん、NICTの実践的サイバー防御演習の全コースに単身参加した度胸の持ち主。すると、謎のアイコンがテスト環境に出現。動かしてみると、どこかに通信を試みていることが判明。調べてみるとCDには他にもいくつかのファイルがありました。

そこで・・・Aさんのダークモードが起動します。まさかと思い、FTPツールに現在のWEBサーバのIPアドレスを入れ、CDにあったファイルに含まれる文字列を組み合わせたり、順序を入れ替えたりと試みたところ(以下自粛)、目の前には接続先のフォルダの一覧が!(以下自粛)
こうして画像やファイルも無事手に入れることができたAさんは、ツールそのものの解析は週末に先送りし(先送リスルナ)、まずは次の作業にかかることに。手に入れた画像とファイルを新しいサイトのディレクトリに合わせて分類し、それぞれの担当者に渡す手筈を整えます。

しかし、ツールの謎は残ったままです。予定より早く画像の配布が終わったのもあり、ツールの構造を本気で調べ始めました。すると、コードの中のコメントに謎の社名。ツールの正式な名前も今まで見たことがないものでした。その時は軽く、「個人の開発者にでもFTPツールの二次加工品を作ってもらったのかな」ぐらいに考えていたのです・・・後々これが本当のホラーにつながるとは思わずに・・・・・。

・・・・そして、第三のホラー・・・・・
プロジェクトに加わって2週間、Aさんはあることに気が付きます。誰からもドメイン移設の話が出てこないのです。もちろん、ドメインの新規取得の話も出てきません。恐る恐るプロジェクトの責任者に声をかけてみます。
A 「ドメイン移設どぅするんですかぁ~?URL変える?変えない?どっちにしても手続き必要ですよぉ~」(どこが恐る恐る?)
責 「ファイルを移せば、自動的に変わると思っていたし、制作会社にも何も言われていないから・・・・『何もしていない』・・・」

この時点でもう、十分にホラーです。とりあえず、URLはそのままがいいとの意向だけを確認し、ドメイン移設で対応することに。ところが、そこで頭をもたげてきたのが、第一のホラー。サーバの契約者はこの時点でもわからずじまい。Aさんも、コントロールパネルからドメインの削除申請ができることは知識として持っていたものの、必要な情報が全くありません。それでも、コントロールパネルのURLを探し出したAさん、ここでまた、ダークモードが起動します。

「この前の謎ツールの中のファイルで何とかなるんじゃね?」→結論、何とかなりました。
しかし、ここから、さらにホラーが始まるのです。

・・・そして、第四のホラー・・・・・
無事サーバのコントロールパネルにたどり着いたAさん。ドメイン削除のボタンを確認しますが、画面には、同じホスティング事業者内で利用できるはずの「引っ越しサービス」のボタンはありません。どうやら会員IDでログインが必要な「契約者サービス」のメニューに含まれているようです。

もう、何が起こってもおかしくないと開き直ったAさんは、ホスティング事業者のレジストラに「サーバの契約者が違う場合のドメイン移設」についてまずは問い合わせることにします。すると返ってきたのは、「このドメインを取り扱った履歴がない」という回答。他部門も含めて利用歴のあるその他のレジストラに問い合わせても、このドメインの情報は見つかりませんでした。

これでは、移設もできなければレジストラの移管もできそうにありません。いったい、どこに何を問い合わせて、申請すれば、新しいWEBサーバにドメインを設置できるのだろう?さすがのAさんも困った顔です。

ちなみに、Aさんに当時を振り返ってもらったところ、この時点ではまだ、「WHOISはサイトの運営者の「ほぼ現在」の情報が登録申請者等に記載されているはずで、情報公開代行をしていなければ、レジストラの名前は出てこないけど、ホスティング事業者の系列のものか、いくつかの大手のどれかだろう」という思い込みがあり、それに基づいて問い合わせ先とやりとりをしていた、それも解決が遅れる原因だったかもしれないと苦笑いをしていました。

しかし、このAさん、意外に執念深い性格なのか、ここであきらめずに、WHOIS情報をじーっと眺めます。そこで目にしたのは、「組織名は自社であるものの、連絡先に見ず知らずのメールアドレスが登録され、見ず知らずの登録申請者と技術担当連絡先名が登録されたWHOIS情報」だったのです。まさにWHOISHE?です。ひょっとして退職した前任者か誰かの旧姓か?とも思ったのですが、人事担当者に調べてもらうと、どうやら現職員でも元職員の名前でもないようです。しかも、記載されたメールアドレスにメールを送っても届きません。それもそのはず、メールアドレスのドメインはすでに「取得可能」状態になっていたのです。その日だけで、最低でも3回は「なんじゃこりゃ~」と心の中で叫びました。

しかし、諦めるわけにもいきません。わかっている情報から追いかけるのみ。と、そこでAさんの目に入ったのは、記憶にないネームサーバ情報でした。少なくともホスティング事業者のものでも、良く知られたレジストラのものでもなさそうです。この情報に何かヒントがあるかもしれない。これで何も分からなければ、URLを変えるしかないかと思い、ネームサーバのドメイン情報を調べたところ、見つかったのは、第二のホラーで出てきた謎の社名と似た企業の名前でした。そう、そして、レジストラの事業者一覧からその社名を探し出し、Aさんはうんうんうんと3回頷きました。

結論は、1.サーバの契約も、ツールの制作も、ドメインの登録申請者もレジストラも全て同じ事業者だった。2.サーバへのFTP接続に制限を全くしておらず、パスワードは全アカウント共通で、ローカルのアドミニストレータと同じ。しかも10年以上にわたって同じものだった。3.その事業者と保守契約は結んでいたものの、実際はほとんど依頼事項がなく、事業者とのやりとりも行われていなかったのに加え、レジストラ部門は当初は現在とは違う名称だったため、情報が途切れてしまっていた。

ここまでわかったところで、Aさんの役目は終了です。あとは、プロジェクトの責任者に報告し、プロジェクトの責任者が、その事業者との過去の契約関係を直接交渉の上整理し、約1か月後にはレジストラも変更、新しいサイトも公開することができました。

もとはといえば、記録を適切に保存していなかったことや、ドメインの登録を事業者に任せたままで登録情報を確認してこなかったこと、将来的なWEBサーバの変更やWEBサイトのデザインの変更を想定せず、自組織でレンタルサーバの契約をしていなかったこと等が積み重なって生まれた「ドメイン怪談」です。みなさま、記録はきちんと管理しましょう!

ところで・・・・・第五の怪談がこのなかに潜んでいることにお気づきでしょうか?

PCNW運営委員より寄稿

「ヤバいシステム」に遭遇しがちな関西在住の元情シス。元情シスのはずなのに、現在の業務もほぼ情シス。
OWASP-ZAPとBurp Suitの使い手。特技は定型&定形外の郵便物の重さを手に乗せて10g単位まで測ること(小包は無理です)

© PC・ネットワークの管理・活用を考える会