ハクソク

世界を動かす技術を、日本語で。

GoDaddyが書類なしで見知らぬ人にドメインを譲渡した

6時間前原文(anchor.host)

概要

  • 27年間利用されたドメインがGoDaddyによって突然奪取された事例
  • 組織の全ウェブサイト・メールが即時ダウンし、復旧まで4日間要した経緯
  • GoDaddyのサポート体制と内部手続きの杜撰さが露呈
  • 偶然の善意によってのみドメインが元に戻る結果
  • セキュリティや運用上の重大な教訓を残す出来事

ドメイン強奪事件の全貌

  • 27年間運用してきた組織のドメインが、GoDaddyの内部操作で突然移管される事態発生
  • 移管時、事前通知や警告なしで即座に全サービスが停止
  • 二要素認証やフルドメイン保護を導入していたが、全く役に立たず
  • 監査ログには「Internal Userによる移管」とだけ記録され、Change Validated: Noという不審な記載
  • ドメイン移管後、DNSゾーンがリセットされ、全てのサブドメイン・メール・Webサイトがダウン

GoDaddyサポートとの苦闘

  • 32回の電話、9.6時間の通話、17通のメールも、進展なし
  • 毎回異なるサポート担当者・異なる指示・毎回新規ケース番号発行
  • 公式連絡は全て汎用メールアドレスから。責任者不在の対応体制
  • 指示されたメールアドレスも日々変化(undo@, transferdisputes@, artreview@など)
  • 「数日待て」という返答が繰り返され、緊急性への理解が皆無

ドメイン移管の実態

  • GoDaddyの調査結果として「必要な書類が提出されたので移管完了」との通知
  • しかし、どの書類かは不明、説明も一切なし
  • 案内されたのはWHOIS検索・ICANN仲裁・弁護士相談のリンクのみ
  • 組織はやむなく新ドメインへの全移行を決断、膨大な作業と混乱発生

偶然の解決と新たな事実

  • 2,000マイル離れた別拠点のスタッフSusanが、間違って自分のGoDaddyアカウントに知らないドメインが追加されていることに気付く
  • Susanの連絡により、5分で元のアカウントにドメインを戻すことに成功
  • GoDaddyサポートやCEOオフィスではなく、善意の第三者のみが解決の鍵
  • Susanは本来「HELPNETWORKLOCAL.ORG」の回復を依頼していたが、GoDaddyは書類提出なしで親ドメイン「HELPNETWORKINC.ORG」を移管
  • メール署名内のサブドメイン記載だけを根拠に、一切の証明書類なしで移管承認
  • Susanは書類アップロードリンクすら使わず、自動的に移管が完了

セキュリティ・運用上の教訓

  • 内部手続きの不備で、善意の第三者でなければ重大な被害が発生していた可能性
  • 悪意のある人物に渡っていた場合、メール傍受・パスワードリセット・フィッシングなど多様な攻撃が可能
  • 組織の信頼・SEO・マーケティング資産が一瞬で失われるリスク
  • ドメイン管理・レジストラ選定・緊急時対応体制の見直しが必須

今回の事件から得られるポイント

  • レジストラの内部プロセス・サポート体制の限界を認識
  • ドメイン保護機能や多要素認証だけでは不十分
  • 緊急時の連絡窓口・責任者明示の重要性
  • 組織内でのバックアッププラン・ドメイン移行手順の事前整備
  • 万が一の際は、第三者の協力やSNS活用も選択肢

まとめ

  • 長年運用してきたドメインでも、手続きミスや内部不備で一瞬にして失うリスク
  • レジストラ任せの運用は危険。自組織での監視・定期的な管理体制の構築が不可欠
  • 今回のような事例を教訓に、全ての組織がドメイン管理の重要性を再認識すべき

Hackerたちの意見

10年前に誰がゴーダディを使う理由があったのか、今でも全く理解できない。
同じコメントを投稿しに来た。彼らはこういうアマチュアっぽいことをする歴史があるよね?俺にとっては、ブランドは「マーケティングに全てを賭ける」ってイメージしかない。
世界で一番大きなレジストラだし、その差はかなり大きい。ビジネスをやってて、信頼できるものが欲しいなら、人気のプロバイダーを選ぶのが普通はうまくいく戦略だよ。いろんなケースに対応できる確立されたプロセスがある可能性が高いからね。だからこそ、この話は特にひどいんだ。ドメインビジネスって本当に面白いよ。ビジネスにとって重要なのに、顧客一人あたりの収益がすごく少ないものなんて思いつかない。全ての技術インフラがそれに依存してるのに、年間15ドルで済むんだから。サポートリクエストを一回出すだけで、赤字顧客になっちゃうこともある。
まあ、10年前は非技術的な買い手にとって代替案はそれほど明確じゃなかったからね。
今のドメインオーナーの大多数は技術に詳しくないし、もう何十年もそうだと思う。もし100人の買いそうな人に「どこでドメインを買う?」って聞いたら、GoDaddyが圧倒的なトップの答えになるだろうね。ブランドに関する悪いニュースやセキュリティ事件についても知らないだろうし。
どれだけ多くの企業が彼らを使ってるか、驚くと思うよ。それに、彼らのマネージドホスティングサポートも意外と優秀なんだ。俺は彼らのサービスのファンじゃないけど、うちのクライアントの中には使ってる人もいて、サーバーに問題があったときはサポートがすぐに修正してくれた。自分でやるよりずっと楽だし、今のところは全部ローカルサポートで、オフショアじゃないんだよね。
その通り。笑っちゃったのは、> [...]は俺が知ってる中で最も有能なITの人の一人だっていうところ。GoDaddyのアカウントには[...] GoDaddyについて良い話を聞いたことがないな。
以前GoDaddyを好んで使ってた主な理由は、24時間いつでも電話して人と話せて、問題を解決してもらえたから。歴史的に、チケットを提出して待つよりも電話サポートがある会社を好んでた。
だから、ポークバンみたいな小さめで責任感のあるレジストラと仕事をしたいんだ。安い名前のレジストラでドメインを失った経験があるから。個人的な体験で、上に挙げたレジストラとは関係ないよ。
彼らは21世紀に入ってからずっとこんな感じだよ。マクドナルドで毎食食べて、健康が悪化してる理由を不思議がってるみたいなもんだ。
数時間待ってみて。CTOかPRの専門家がここにメッセージを投稿するはずだよ。「私たちはプロセスを完全に見直しています。これは無能から起こったことではありません。人間はミスをします。お客様には1年間の無料更新を提供します。クーポンコードをメールします。この問題は解決済みと考えています。」
GoDaddyからの直接的なフォローアップがあれば嬉しいな。
あるいは「これが実は大丈夫な理由を説明させて」っていう長いコメントが「ランダム」なアカウントから来るかもね。
HNはテクノロジー界で唯一の本当のサポートチャンネルだよ。最初のカスタマーサービスはAI、次は外注のバカがマニュアル通りにやってるだけ、三番目は「問題は解決しました」って感じ。
GoDaddyからこういう問題に対して、これまでに何か返事をもらったことある?
彼はこれらの3つを挙げてるけど、「- 世界に存在する全てのメールアドレスが今や間違っている。- 全てのマーケティング資料が今や不正確。- SEOが全て消えた。」って言ってるけど、一番大きな問題を見落としてるみたい。それは、オンラインビジネスアカウントや銀行、CRMなど、「異常なログインを検知しました。ログインを確認するために、今送ったコードを入力してください。」って言われて、実質的にロックアウトされてしまうことだよ。
そのメールに結びついてるものすべてに影響が出るから、連鎖的な影響は想像を超えるよ。電話やSIMを失うのに似てるけど、外国にいて番号にアクセスできない状態よりも悪い。
それ、すごくいいポイントだね!考えもしなかった!
もしこれがターゲットを絞った乗っ取りだったら、詐欺のチャンスがめちゃくちゃ大きいよね。メールとか他のものが同じドメインに行くから、偽者が何もなかったかのようにやり取りを続けられるし。さらに悪いことに、もし明日npmjs.comを乗っ取りたいと思ったら、GoDaddyがなんか…そのまま渡しちゃうかも(?!?!?)そしたら、一晩で暗号通貨の億万長者になれるかもしれない。
そうだね。2FAをメールに結びつけるのは、いろんな理由でリスクが高いけど、レジストラの無能さが一番怖いかも。
ちょっと皮肉っぽく聞こえるかもしれないけど、先週の土曜日の午後、彼のクライアントのドメインがGoDaddyのアカウントから消えちゃったんだ。リーは俺が知ってる中で一番優秀なITの人なんだけど、「優秀」と「GoDaddyにホストされてるクライアントのドメイン」は合わないよね。
ドメインはどこでホストするのがいいと思う?
確かに皮肉っぽいね。GoDaddyが最初は安かったのかもしれないし、そのまま使い続けたんだろうね。気持ちは分かるよ。俺もいろいろなことにSquare Spaceを使ってるけど、主にGoogle Domainsが売り切れたからで、値段も「まあまあ」だしね。もちろん、他のサービスも使えるけど、これでちゃんと動いてるし、コストも合ってる。これだけは言いたいけど、もう本当に動いてるんだよね。あと、よく使うPythonのサービスツールもあるけど、カスタマーサービスが素晴らしいから、そこではこんなことは起きないと思う。だけど、普段はどこかのサーバーを手動で設定することはないかな。これが「最高の」ツールかって言われると、そうでもないけど、俺が使う分には十分だし、コードを本番環境にデプロイするためのワークフローもバッチリだよ。VPSを立ち上げるのが難しいからとか、ヘッツナーを理解するのが難しいからってわけじゃないけど、前にやったこともあるし、またできると思う。ただ、それにはX時間かかるし、その間はお金ももらえないし、限られたユーティリティのために移行するのはストレスだよね。1年後には移行が必要になるかもしれないけど、それまでは面倒くさいからやらないつもり。ここでも似たようなことがあったんじゃないかな。ビジネス的に何をしているかによるけど、リーは超優秀なITの人かもしれないし、ただ運が悪かっただけかも。GoDaddyに手を伸ばしたら、実はそれが足元をすくうようなもので、何年もかかってしまったんだろうね。こういうことは起こるし、理想的ではないけど、実際に起こるんだよ。解決できてよかったし、こういう出来事がHNの雰囲気に広がるのは嬉しい。未来に誰に頼らないかははっきりしたしね。GoDaddyがゴミだってのは、なんとなく前から知ってたかな?10年前に友達のためにウェブサイトを立ち上げるのに使ったけど、その時の体験は最悪だった。「二度と使わない」って言ったし、それがこの分野のことを学び始めた頃だったからね。でも、製品エコシステムにハマってしまって、切り替えるコストがそのままいるよりも大きくなるシナリオは十分に想像できる。
なんでダメなの?GoDaddyは正当なドメインレジストラだよ。顧客は二重のMFAを設定してたし、顧客は正しいことを全部やってた。GoDaddyがこんなひどいミスをしたって話は聞いたことがない。確かに変なことはあったけど、こんなのは初めて。被害者を責めるのはやめて。「盗まれたのは自分のせい、ドアを開けっぱなしにしてたから」っていうのは、こういう状況に対する正当な反応じゃないよ。泥棒は盗んだし、GoDaddyも自分たちのルールを破ったんだから。顧客が守られるためにお金を払ってるルールなのに。被害者を責める立場になると、間違った側にいることになるよ。
ここで提案されている代替案を全部読んでみて。次の5年で、彼らがダメになったり、食い物にされたり、サポートラインがAI化されたり、知らないうちに40%も人員削減されたりする世界を想像してみてよ。27年って、めっちゃ長いからね。優秀なITの人なら、予想される失敗に対してバックアッププランを持ってるもんだよ。レジストラーレベルのミスをコントロールすることはできないし、"バルチプローフドメイン"を売ってるMarkMonitorみたいな会社は大失敗してるしね。それに、ITの人間として言わせてもらうと、新しいドメインをXで登録するのは、長い間持っていたドメインをYから移転するよりもずっと簡単なんだよ。
GoDaddyで苦しんでる人を助けたことが何度もあるよ。名前を聞いた瞬間に、恐ろしい話を教えてあげるんだ。これもストーリーの一つとして保存しておくね。
良いことをしたと思ってるよ。あるグリーンフィールドプロジェクトでGoDaddyから離れるようにグループを説得したことがある。今でもそれを誇りに思ってる。
おそらく内部の仕業だね。AWSでも似たような経験があって、ちゃんとセキュリティ機能を全部有効にしてたのにアカウントが乗っ取られたことがあった。結局、内部の契約者が原因だったんだけど、その時はAWSが証拠もなしに全部俺のせいにしてた。州のAGオフィスに電話したら、調査が始まって、やっとマネージャーが真剣に取り組んでくれたよ。
説明は記事の最後にあるよ:別のGoDaddyの顧客が似たようなドメイン名の移転を求めて、間違ったドメインを移転しちゃったんだ。
でもなんで?なぜ内部の人が全く興味のない他人のアカウントに間違ったドメインを入れて、そのドメインを正当な所有者に返そうとしたんだろう?
もっと下まで読んでみると、これは明らかに内部の問題だね。悪意があるわけじゃなくて、無能な感じ。彼らの社員は手続きを全然守らなかったし、メールをめちゃくちゃに読み間違えて、間違ったドメインを移管しちゃったんだ。
それは全然意味がわからない。元に戻された理由は、受取人がGoDaddyのサポートに「間違ったドメインを移管された」って言ったからなんだよね。だから、どうしてこれが内部の問題だと言えるの?
GoDaddyは完全にServiceNowの官僚主義に飲み込まれてる。彼らは何もできない状態だよ。最近までファンだったけど、GoDaddyのエンジニアに会って、彼らが全員無能だと思わされちゃった。実際はそうじゃないってわかってるけど、あの経験がすごく嫌な思いをさせたから、もう彼らとはビジネスしたくない。
[遅延]