凡人の感想・ネタバレ>その他>ネームサーバーが不正に変更される問題について
スポンサーリンク
執筆日:2015年10月19日
事の始まりは2015年の10月6日。Value Domain(バリュードメイン)で管理しているドメインの一つのネームサーバーが勝手に変更されてしまうという問題が起きた。
何の前触れもなく、不正にログインされたわけでもないのに唐突に、だ。
twitterでのリアルタイム検索でネームサーバー関連のつぶやきを検索してみたところ、10/19現在で自分と全く同じ症状が起こった人は2人だけ見つかった。一言でまとめると、
「上位レジストラがeNomの場合、ネームサーバーが勝手に書き換えられてしまう」
ということである。
なお、自分が世話になっているドメイン会社はValue-dmain(バリュードメイン)である。同じ症例の2人というのがそこまで同じなのか、そこまで調べてはいないが、どにかく上位がeNomであることは共通項だ。
自分が得た情報として、これにはもう一つ条件があるのだが、それをあまり書くのも個人情報的な観点から問題があるのでここでは書かない。
そして、この問題と向き合って自分が得た情報は以下のようなものである。
というわけで、「全く意図せずに自分のサイトから別のサイトに飛ぶ」という、サイト乗っ取りと言っていい危機となったわけだ。
サイト運営者としてはこれ以上なく恐ろしい事象に遭遇した今回の事件、eNomから全てのドメインを変更しようかと考えるには十分すぎるものだった。今後どうするのかはまだ考え中だが、こんなことが起きる可能性がほんの少しでもある以上、もはやeNomにしておくわけにはいかないというのが当たり前の心情ではある。ただドメイン移管というもの自体がそうそう行うものではなく二の足を踏むものなのでどうしても躊躇してしまうのだが…。とりあえずeNom側からの見解を何より聞きたいもの。しかし10月19日現在でも、VDのサポートからは「eNomに聞いているが返答はない」という答えを3日前に聞いたままであり、事実は全くわからない。パスワード変更しようが勝手に変更されるのではただの一個人がどうこうできる領域ではない。
上で「寄らば大樹の陰」の意識でeNomにしている人間は多いだろう、なんて勝手なことを書いたが、何を隠そうこれは自分の意識だった。しかし今回のことで信用は地に墜ちたと言わざるを得ない。何しろパスワードを変更しようが何しようが、上位レジストラがeNomな時点で不正にネームサーバーを変更されてしまうのだ。一個人ができることと言ったら上位レジストラの変更しかありえないのだ。極端なことを言えば、eNomにしていたら、たとえば数日間の旅行どころか日帰り旅行すら恐ろしくなってしまうわけで…。
例えば数日サイトが閲覧できないような状況があれば、検索エンジンでの検索結果は変わるだろうし、今回自分が遭遇したような自動ポップアップが出たり、さらには別サイトへのリダイレクトなんてされた日にはサイトの信用は完全に損なうだろう。本当に恐ろしいことだ。
以前から、英語が堪能なわけでもないからeNomにしていると色々不便だろうし、国内最大手のドメイン会社であるGMOはeNomと比べてもまあ信用度の観点から、そう劣るものでもないだろう、という風にも考えていたので、近いうちにGMOへ変更することになる、かもしれない。
今回は例外中の例外ともいえる事例だったわけだが、とにもかくにもVDの提案によりレジストラ移管手続きを行うことになったわけで、その件に関して色々。
まず、移管手続きに関しての「承認メール」が移管元の「eNom」、移管先の「GMO」それぞれから届いた。以前も移管は行ったことはあるが、それは確か別ドメイン会社からの移管。VDで扱っている上位レジストラ同士内での移管というのは今回初だったわけなので、メモとして残しておく。
ここで記しているのは、「Value Domain内で、eNomからGMOへ上位レジストラを変更する手順」である。この場合、どちらのレジストラもValue Domainが扱っているので他のドメイン会社は一切関係ない。
今回の件での疑問や注意点をまとめ。疑問などが解決したかどうかはともかく、書き留めておく。といっても、不正変更についてではなく、VDにおけるレジストラ移管についての注意点だ。
VDの移管は「GMO」「eNom」「Key Systems」のうちいずれかを選択するわけだが、今回は「eNom」から「GMO」に移管となったわけだが、「移管」でなくGMOでの「延長」でも同じ結果になったのではないだろうか?
「eNom」から「GMO」に上位レジストラが変わったことで、管理ドメイン一覧での何らかの変動はあるのだろうか?とりあえず、2015/10現在、eNomは割高の1404円になっているので、おそらく一覧で見た場合に移管したものだけはGMO価格の1080円になるのだと予想される。
上位レジストラ変更に伴い、ネームサーバーをあらかじめeNomのもの以外にしておかないとつながらない時間がある、とVDのドメイン更新ページにある。正確にはこう↓だ。
「eNomのネームサーバー(dns1〜5.name-services.com)を設定している場合は、GMOのネームサーバーに自動で切り替わります。
ドメインが繋がらなくなる時間帯がありますので、予めeNom以外のネームサーバーに変更の上、申請ください。
また、DNS設定は自動で引き継がれません。ネームサーバー変更前のDNS設定を再度行ってください。
ドメイン付属のメール転送機能を利用する場合は、移管完了後にメール転送設定を行ってください。」
これはドメインの「更新」についての注意書きなのだが、サポートに聞いたところ、これは「更新」でなく「移管」でもあてはまるのだという。そしてここが最大の注意点だが、どうやら「移管申請した時点」で、ネームサーバーを変更していないとダメであるらしい。今回、移管申請後にこの件をサポートに相談したところ「ならばキャンセルして申請し直す」という旨、返信されてきたのでそういうことになるだろう。
つまり、ドメイン移管申請の時点で「dns1〜5.name-services.com」以外にする必要があるということ。VDでの設定の場合は「当サービス標準のネームサーバー(eNom)」にしているとこのeNomのネームサーバーを使う設定になるわけだが、これを変える必要があるということだ。この件相談後、VDの管理側が「VALUE-DOMAIN独自のネームサーバー(国内)」に変更していてくれた。
仮にdns1〜5.name-services.comの設定のまま移管した場合にどのタイミングでどれだけの時間サイト閲覧が不可能になるのかはわからないが、VD側が、キャンセルして再度の申請を提案してきたということは、とにかく移管すると見れなくなるタイミングがあるということだろう。
追記:10/29に別ドメイン(eNomレジストラ)で「移管」でなく「更新」でeNomからGMOへ変更したところ、結局処理は「移管」扱いになった。つまり、今回が特別なケースというわけではなく、eNomからGMOへ変更する際には更新であろうが移管であろうが必ず「移管」扱いになる。ただしこの場合、移管と違ってWHOISへの確認メールは来ないままに移管(更新)が開始された。
上の項目と関連するが、上に書いたVDの更新に際しての注意書きをもう一度引用すると、
「eNomのネームサーバー(dns1〜5.name-services.com)を設定している場合は、GMOのネームサーバーに自動で切り替わります。
ドメインが繋がらなくなる時間帯がありますので、予めeNom以外のネームサーバーに変更の上、申請ください。
また、DNS設定は自動で引き継がれません。ネームサーバー変更前のDNS設定を再度行ってください。
ドメイン付属のメール転送機能を利用する場合は、移管完了後にメール転送設定を行ってください。」
赤色で記した位置の通り、DNSが引き継がれないということだ。これはどういうことかと整理してみる。
ドメインは移管申請してすぐ移管されるわけでなく、一週間前後ドメイン移管にはかかるわけで、DNS設定がこの移管時にリセットされてしまうということだろうか?
無論、DNSを適正に設定しなければサイトは閲覧できない。サイト閲覧ができなくなるタイミングを作りたくないというのは運営者として当たり前。移管が行われる一週間後くらいには常にサイトを見張っている必要があるということだろうか…?
上の文章を引用してサポートに質問したところ「移管でもその注意書きの通りのことが言える」という回答を確かにもらったので、ネームサーバーだけでなくDNSに関してもこの文章の通りということだろう。
随分厄介な仕様だとも思う。しかし自分はこれがレジストラ移管作業初というわけでもないのだが、かつてもそうだったのだろうか?まったく記憶にない。こういうことはやはりメモを残しておかないとダメだ。下手をすれば致命傷になる。だからこうして今回はこうして書いているわけだが。
今回一番焦ったのがこの問題だったりする。だからこれは大見出しで書く。簡単に言えばネームサーバー設定が反映されなくてサイト閲覧できなくて焦ったという話だが、「DNSサーバーの反映は数時間数日かかる」なんてよく言うので、別におかしいことではないと言えば、その通りなのだとは思う。ただ今回全くその覚悟をしていなかったので。調べてみたら、VDで注意書きとしてちゃんと書いてあった。該当ページ
上の通り、eNomのネームサーバー(dns1〜5.name-services.com)を使っている状態で上位レジストラをeNomからGMOに変更する場合、自動的にGMOのネームサーバー、おそらく「ns.namedserver.net」と「ns2.namedserver.net」?に変更されるということだが、この際ラグが生じるということであらかじめeNom以外のネームサーバーに変更しないとサイト閲覧ができない時間が発生するということだ。
ならばということでサポートに連絡したところ、16日の移管申請をキャンセルして19日に改めて申請するということになった。
そしてこの際、ネームサーバーはバリュードメイン独自のネームサーバー「ns1〜4.value-domain.com」に変更したうえで再度の申請が行われた。eNomから別のネームサーバーの変更とともにDNS設定がリセットされてしまう仕様なようで、そしてそちらはこっちがやる必要があったのでDNSを再度設定した。別にサイトを運営するレンタルサーバーの方は変更しないので、ネームサーバー変更以前と変わらないDNSレコード設定を、VDのコントロールパネルにて、自動設定(レンタルサーバーを選択すると自動的にフォームに設定してくれる)したのだった。
ここからが問題なのだが、どうやら、「eNomネームサーバーから別のネームサーバーに変更した場合、DNSレコード再設定の必要があり、さらにその場合は設定の反映、浸透が遅い」らしい。追記:上の注意書きのページによれば、さらにこれには「eNom管理下のドメインは」という条件も加わるようだ。つまりeNomレジストラでさらにeNomのネームサーバーを使っている、eNomのお膝元にあるドメインをeNomから引きはがすにはそれなりにリスクがある、ということか。
今回、DNSレコード設定を19日の21時に行ったのだが、サイトが閲覧可能になったのはそれから8時間も経過した20日の午前5時だったのだ。8時間サイトが接続不能になったというのは、自分のサイト運営において初のことであったので、正直死ぬほど焦った。ストレスで死ぬかと思った。
つまり、「eNomからGMOへのレジストラ移管時に自動的にネームサーバーがGMOのものに変更されることによるサイト閲覧不可能な時間が出ないようにするためにあらかじめネームサーバーをeNom以外に変更しようとしたのに、結局は8時間も接続不可能な時間を作ってしまった」ということになる。本末転倒というのはまさにこのこと。
まあ、仮に事前に変更せず、移管時に自動的にeNomネームサーバーからGMOネームサーバー切り替わってしまってそれを把握するのが遅れた場合より(移管自体が具体的にいつ行われるのかはこちらが正確に知ることはできないだろうから)は、変更のタイミングを把握しているだけマシかもしれないが…。
自分は過去、VDで取得したドメインを一時さくらインターネットなどに移したことがあり、だが再度VDへ戻した、というようなことを行ったことがある。もはや5年以上も前のことなのであまり記憶がないのだが、この際おそらくネームサーバーの変更はしたはずだと思う。だが、8時間も接続不能になった記憶はない。
「eNomネームサーバーを使っている場合に別のネームサーバーに変更」という今回の場合はやたら時間がかかったことだけが確か。確認したが、逆に「VDネームサーバー(ns1〜4.value-domain.com)からeNomネームサーバー(dns1〜5.name-services.com)」に変更した場合はDNSレコードのリセット自体がされず、問題はない。「eNom→他ネームサーバー」の場合のみ、DNSレコードがリセットされて再設定の必要があり、さらにやたら反映が遅くなるということ、今後のために気を付ける必要がある。8時間どころか仮に1日、2日と接続不可能になったらその時は、個人サイトの信用などは地に墜ちると考えていいだろうから。
ただ今回、VD管理側がネームサーバーを変更してからこっちがDNSレコードを変更するまでに2時間半ほどのラグが出てしまったのが、反映が遅くなった原因でもあるんじゃないかな?なんても勝手に考えていたり。19日18時30分にネームサーバー変更しつつ移管申請を行った旨、サポートから連絡がきたのだが、てっきりDNSレコードの変更もなされていると思ったので、それから2時間半経過して21時になり、サイト閲覧不可能になるまで、自分はDNSレコード再設定の必要があることに気づかなかったのだ。何せ今回は異例中の異例で費用持ちで作業もやってくれるということだったので、まさかネームサーバー変更だけやってDNS設定はこちらがやらなければならないとは思わなかった。
それはともかく、上で「今回の不正変更でeNomが信用できなくなったからGMOへ変更するかも」なんて書いたが、この問題のおかげでそれはかなり二の足を踏むことになった。というか、恐ろしくてできなくなった。いや、昔から「DNSサーバー(ネームサーバー)の反映には数時間から数日かかります」なんてのがドメイン屋の多くが言っていることだし、別にちょっとやそっとのアクセスのウェブサイトならまあいいんだが…。それなりにアクセスのあるドメインというのは不動産と変わらない価値がある。半日近くサイトが閲覧不可能になるということの恐ろしさは、アクセスが多いウェブサイトを持っている人間にしかわからないところだろう。「反映まで数時間から数日〜」なんて文言を見るたび、「本当に数日なんて見れなかったりした日には半分おしまいじゃん…」と昔から思っているところだったり。検索エンジンは数日見れないようなたかが個人サイトに優しいようにできてるかつったら、できてないだろうと思う。
結局、独自ドメインを使ってサイト運営している人間にとっての最大の脅威はこの移管や延長関連のトラブルということだなあ。何せドメインの価値を失うということは今まで積み上げてきた全てを失うことにほかならないのだから。今後も最大限に気を付けたいと思っているが、このネームサーバーの反映といった問題は基本的に個人がどうこうできる問題ではないよなあ…。
リスクヘッジとしては、使っていないドメイン、あるいはほとんどアクセスのないリスク極小のドメインを使って予行練習すること以外にないだろうな。
凡人の感想・ネタバレ>その他>ネームサーバーが不正に変更される問題について