9321.comは盗まれました

093210.comは、取り戻せるまでの代替ドメインになります。

9321.com was stolen around June, 2014.
The crime is not solved. Unresolved even now, 2020.
093210.com becomes an alternative domain until it can recover.

※このページはリンクフリーです。
* Feel free to link to this page.


ドメイン名「9321.com」は2014年6月頃に盗難に遭いました。ドメイン名の乗っ取り被害です。
現時点、解決はしていません。2020年現在、未解決です。

盗難に遭ったことに気付いた当時インターネットで情報を探ったのですが、このような事件・事例は過去にほとんど例がないようで日本語の情報はほぼ出てこずどう対応すれば良いのか悩されたので、今後のために今回どのようなことが起こったのかどのようなことをしたのか記し残しておこうと思います。

(2014年9月21日 記述)

犯人は中国の人またはグループらしく、レジストラがeNomやGoDaddyである数字だけのドメイン(.comや.net)が狙われ、いずれもレジストラを中国のeNameに移管されてしまったようです。
世界中に被害者が居るようで、日本国内でも複数の被害報告があるようです。
また、eNameはICANN公認レジストラであるにも関わらず犯罪者に協力的(事件解決に非協力的)な立場で、過去にも問題を起こしているレジストラのようです。

▽ドメインリセラーVALUE-DOMAINの掲示板
(今回5件の詐取事例があると報告されていて、定期的にレジストラに連絡するも1年以上経っても解決していないとのこと。)
http://help.value-domain.com/f_domain/index.cgi?read=78

▽ドメイン関連ニュースサイトDomainGang(英語)
(数字3~4桁.comが複数盗まれたという記事。)
http://domaingang.com/domain-news/large-group-reportedly-stolen-numeric-domains-includes-002-com/
日本語翻訳

(盗まれたドメインのうち元に戻った事例の記事。)
http://domaingang.com/domain-news/update-group-stolen-domain-names-including-002-com-now-reclaimed/
日本語翻訳

(eNameはICANN公認レジストラであるも盗難ドメインの解決に非協力的だという記事。)
http://domaingang.com/domain-news/hell-going-ename/
日本語翻訳

▽ドメイン関連ニュースサイトDOMAIN INCITE(英語)
(過去のドメイン盗難事件でのeNameの問題行動の記事。)
http://domainincite.com/8493-domain-hijack-leads-to-registrar-shutdown-threat
日本語翻訳



(2016年1月30日 追記)

国内で同時期に同じようにドメインを乗っ取られた方が記事にされていますので、ご参考に紹介させて頂きたいと思います。

▽ドメインが乗っ取られました・・・
http://blog.openmedialabo.net/9285
▽ドメインが乗っ取られました・・・・その後・・・・未解決対応中
http://blog.openmedialabo.net/9573


また、関連がありそうなものとして2014年11月には下記のようなニュースもありました。

▽登録情報不正書き換えによる「ドメイン名乗っ取り」、JPRSが緊急警告(ITpro)
http://itpro.nikkeibp.co.jp/atcl/news/14/110501764/


下記、9321.comの盗難に関する詳細です。
※事件未解決であるため、尽力して下さっているリセラーの名前は伏せさせて頂きます。

■いつ気付いたのか。

アクセス出来なくなったのは日本時間2014年7月18日(金)です。
気付いたのは翌日土曜日でした。

最初はウェブアクセス出来ないことに気付いたため、PCやインターネット環境、ウェブサーバといった面から疑いました。
「9321.com」以外にも別のURLも用意していたため、そのURLではアクセスが可能であったことからドメインの問題であることに気付きました。

その後、電子メールが7月18日を境に送られてきていなかったため、7月18日にドメインが利用できなくなったと判断しました。

■何が起こったのか。

WHOISの情報が書き換えられていました。

・登録者の情報(住所・メールアドレスなど)が変更されていました。
・DNSサーバの情報が他のサーバに変更されていました。
・有効期日が1年先延ばしにされていました。
・登録レジストラが米国のeNomから中国のeNameに変更されていました。

WHOISのキャッシュを持っているサイトを検索したところ、2週間前の2014年6月27日(金)にはWHOISの情報が書き換えられ、乗っ取られていたことがわかりました。

■盗まれた心当たりはあるか。

盗まれるような心当たりはありませんでした。

・ドメインおよびウェブサイトを巡る争いはありませんでした。
・PCをセキュリティソフトで検索したところウィルスは発見されませんでした。
・PCではローカルファイヤウォールも利用して、アプリケーションの通信も監視していました。
・「9321.com」はリセラーで購入し、管理もしていました。
 リセラーの管理画面へのログインパスワードはメモ書き等はしておらず、記憶の中だけにありました。
・同じパスワードを他のサービスでも使用するようなことはしていませんでした。
・レジストラの移転には認証鍵(認証コード)が必要になります。
 リセラーの管理画面から登録メールアドレス宛てに送信することが出来たのですが、一度も利用したことはなかったため認証鍵を送信したことはありませんでした。
・その他も含めてレジストラからは電子メールは送られてきていませんでした。
・ドメイン登録で利用していたメールアドレスはインターネットプロバイダNTTぷららで取得したもので、迷惑メールフィルタなど一切の機能はOFFに設定し、全てのメールを受信していました。
 その一方で、全てのメールはテキスト表示し、HTMLメール等での画像表示などは行っていませんでした。
 添付ファイルを開いたこともありませんでした。
・被害に遭う前の最後に「9321.com」の情報を更新したのは更新料金を支払いドメインの有効期限を延長したときです。
 2011年8月に支払ったのが最後で、その後は何もWHOISの情報を書き換える様なことはしていませんでした。

■リセラーへは相談したか。

リセラーには始めに相談しました。
最初は私に落ち度がないかを疑われましたが、リセラーへの不正アクセスがなかったかどうかを調査して頂き(不正アクセスはなかったようです。)、レジストラへの問い合わせを行って下さいました。

eNomへの問い合わせでは、「eNomからもeNameに問い合わせているが、正規に移管されたドメインであるため、元に戻すことに応じてくれていない。」というような返答を頂いているようです。

eNameへの問い合わせでは、リセラーからの問い合わせには相手をしてくれていないようです。

現在はレジストリである米国のVeriSignへ調査依頼を出すと共に、米国ICANNへも連絡をしているようです。

9321.comの有効期限は残り2年あり、3年前に5年分の更新料金を支払済みでした。
リセラーの規約では「レジストラで起きた問題での賠償はしない」「支払いから2年以上経過したものに対する補償はしない」というような事項が存在しましたが、迷惑料を含めて約3年分の金銭的補償をして下さいました。

■レジストラへは相談したか。

eNomとeNameの両者に対して電子メールを送信し、eNameからのみ返信がありました。

eNameへは、英語・中国語・日本語の3言語を記述して送信し、英語で返事が返ってきました。
「認証コードを受け取って正当に移管しました。」
「9321.comがあなたのものであったのなら、eNomに問い合わせてみて下さい。」
というような回答でした。

eNomへは、英語・日本語の2言語を記述して送信しましたが、2ヶ月近く経った現時点でも返答はありません。

■警察へは相談したか。

現住所管轄の地元の警察署で相談はしました。
幸いにもある程度インターネットの知識をお持ちの警察官であったので話が通じました。
ただ、話の中で残念なことを伝えられました。

私は被害者にはなれないということ。
私の名で被害届を出すことはできないそうです。

実際に不利益を被ったのは私ではあるのですが、この場合は加害者がWHOISの情報を書き換える際に不正アクセスを行ったサーバの持ち主が被害者となり得るのだそうです。
よって今回の場合はeNomが被害者となり得るのですが、米国企業であることから日本の警察には何も出来ないようなことを伝えられました。

被害届は出せなかったものの、警察署に相談に行った後に警察からもリセラーへの問い合わせ等を行って下さり、その結果報告をお電話下さいました。

※被害届は出せないにしても、多くの情報が寄せられれば何か行動を起こしてくれるかもしれませんので、警察署への相談または後述(IPAの欄)に記載した警察のサイバー犯罪相談窓口へ情報提供は行っておくと良いと思われます。

■消費生活センターへは相談したか。

相談はしませんでした。

警察では被害届を出せなかったこと(被害者にはなれないこと)から、契約関係にあるリセラーとの交渉しか出来ない立場ですが、そのリセラーのほうでは金銭的な補償をして頂けたことから、消費生活センターへは相談はしませんでした。

■その他の期間へは相談・通報などは行ったか。

IPA独立行政法人情報処理推進機構へ相談と報告を行いました。(以下「IPA」と記します。)

IPAは情報処理の国家試験である「情報処理技術者試験」を実施していて、国民向けにコンピュータ関連のセキュリティ情報を発信し注意喚起も行っている機関です。
IPAでは国民向けに「情報セキュリティ安心相談窓口」という電子メールでの相談窓口を設けているため、こちらに相談と報告を行いました。
http://www.ipa.go.jp/security/anshin/

同様の過去事例や対策・対抗手段などはアドバイス頂けませんでしたが、金銭的な補償が受けられない場合には「消費生活センター」への相談や、被害については警察のサイバー犯罪相談窓口へ相談・届出するようにアドバイスを頂きました。

全国の消費生活センター等の一覧と電話での相談窓口
http://www.kokusen.go.jp/map/
都道府県警察本部のサイバー犯罪相談窓口一覧
http://www.npa.go.jp/cyber/soudan.htm

※IPAへ相談メールを送信してから返信を頂くまで約1週間掛かりました。すぐには返答がこないことを認識しておくと良いと思います。


▼eNameへの問い合わせとその返答

Hello,

Thank you for contacting eName service.

As per checking, the domain: 9321.com was transferred to eName from eNom, Inc.
Domain transfer needs to have an authorization code, and confirm the transfer email, then the domain can transfer successfully.
If the domain was yours, we suggest you to contact eNom, Inc about your domain management.
Thank you.

Best regards,

------------------

     Mia Yang
 Oversea BD specialist
eName Technology Co., Ltd.
 Tel: +86.592.5954294
 Fax: +86.592.2669760
 Mail: service@ename.com 
Web: www.ename.net 
Add: Unit 603,No.19 Wanghai Road, Software Park, Xiamen
 Z.C:361005


------------------ 原始邮件 ------------------
发送时间: 2014年7月21日(星期一) 凌晨2:01
收件人: "客服邮箱"<1001@ename.com>; "abuse"<abuse@ename.com>; 

主题: Inquiry: About a 9321.com

> Dear Sirs/Madams,
> 
> I am writing to inquiry about domain "9321.com".
> 
> I had been using since 2002 "9321.com".
> It became impossible to use a domain.
> The expiration date for use was till September, 2016.
> 
> I registered on the *****(リセラー名) in Japan.
> The registrar of the domain "9321.com" was "eNom".
> But, The registrar of a domain is "ename.com" now.
> 
> I would like to know what happened.
> I would like to return.
> 
> I look forward to hearing from you soon.
> Sincerely yours,


▼盗難前後のWhois

盗難前(Before) 盗難後(After) 現在(Now) 2014/09/21
Domain Name: 9321.COM
Registry Domain ID: 90570343_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.enom.com
Registrar URL: www.enom.com
Updated Date: 2012-08-19 23:05:42Z
Creation Date: 2002-09-24 00:00:00Z
Registrar Registration Expiration Date: 2016-09-24 00:00:00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Registrar Abuse Contact Email: abuse@enom.com
Registrar Abuse Contact Phone: +1.4252744500
Domain Status: ok
Registry Registrant ID:
Registrant Name: WHOIS PRIVACY PROTECTION SERVICE BY *****(リセラー名 / Reseller Name)
Registrant Organization: WHOIS PRIVACY PROTECTION SERVICE BY *****(リセラー名 / Reseller Name)
Registrant Street: *****(リセラーの所在地 / Reseller Address)
Registrant City: *****(リセラーの市区町村 / Reseller City)
Registrant State/Province: *****(リセラーの都道府県 / Reseller State)
Registrant Postal Code: *****(リセラーの郵便番号 / Reseller Postal Code)
Registrant Country: JP
Registrant Phone: *****(リセラーの電話番号 / Reseller Telephone Number)
Registrant Phone Ext:
Registrant Fax: *****(リセラーのファクシミリ番号 / Reseller Facsimile Number)
Registrant Fax Ext:
Registrant Email: IM8T-YSD@AMAIL.PLALA.OR.JP
Registry Admin ID:
Admin Name: WHOIS PRIVACY PROTECTION SERVICE BY *****(リセラー名 / Reseller Name)
Admin Organization: WHOIS PRIVACY PROTECTION SERVICE BY *****(リセラー名 / Reseller Name)
Admin Street: *****(リセラーの所在地 / Reseller Address)
Admin City: *****(リセラーの市区町村 / Reseller City)
Admin State/Province: *****(リセラーの都道府県 / Reseller State)
Admin Postal Code: *****(リセラーの郵便番号 / Reseller Postal Code)
Admin Country: JP
Admin Phone: *****(リセラーの電話番号 / Reseller Telephone Number)
Admin Phone Ext:
Admin Fax: *****(リセラーのファクシミリ番号 / Reseller Facsimile Number)
Admin Fax Ext:
Admin Email: *****@*MAIL.PLALA.OR.JP
Registry Tech ID:
Tech Name: WHOIS PRIVACY PROTECTION SERVICE BY *****(リセラー名 / Reseller Name)
Tech Organization: WHOIS PRIVACY PROTECTION SERVICE BY *****(リセラー名 / Reseller Name)
Tech Street:*****(リセラーの所在地 / Reseller Address)
Tech City: *****(リセラーの市区町村 / Reseller City)
Tech State/Province: *****(リセラーの都道府県 / Reseller State)
Tech Postal Code: *****(リセラーの郵便番号 / Reseller Postal Code)
Tech Country: JP
Tech Phone: *****(リセラーの電話番号 / Reseller Telephone Number)
Tech Phone Ext:
Tech Fax: *****(リセラーのファクシミリ番号 / Reseller Facsimile Number)
Tech Fax Ext:
Tech Email: *****@*MAIL.PLALA.OR.JP
Name Server: NS.INETD.CO.JP
Name Server: NS2.INETD.CO.JP
DNSSEC: unSigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2012-08-19 23:05:42Z
Domain Name: 9321.com
Registry Domain ID: 
Registrar WHOIS Server: whois.ename.com
Registrar URL: http://www.ename.net/
Updated Date: 2014-06-27 16:09:41
Creation Date: 2002-09-24 11:44:13
Registrar Registration Expiration Date: 2017-09-24 11:44:18
Registrar: eName Technology Co.,Ltd.
Registrar IANA ID: 1331
Registrar Abuse Contact Email: abuse@ename.com
Registrar Abuse Contact Phone: +86.4000044400
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registry Registrant ID: 
Registrant Name: Xiamen eNameNetwork Co., Ltd.
Registrant Organization: Xiamen eName Network Co., Ltd.
Registrant Street: Software Park wanghai Road No. 19, 603
Registrant City: Xiamenshi
Registrant State/Province: Fujian
Registrant Postal Code: 361000
Registrant Country: CN
Registrant Phone: +86.4000400044
Registrant Phone Ext: 
Registrant Fax: +86.4000044400
Registrant Fax Ext: 5
Registrant Email: kkbffhdh2m@enamewhois.com
Registry Admin ID: 
Admin Name: Xiamen eNameNetwork Co., Ltd.
Admin Organization: Xiamen eName Network Co., Ltd.
Admin Street: Software Park wanghai Road No. 19, 603
Admin City: Xiamenshi
Admin State/Province: Fujian
Admin Postal Code: 361000
Admin Country: CN
Admin Phone: +86.4000400044
Admin Phone Ext: 
Admin Fax: +86.4000044400
Admin Fax Ext: 5
Admin Email: kkbffhdh2m@enamewhois.com
Registry Tech ID: 
Tech Name: Xiamen eNameNetwork Co., Ltd.
Tech Organization: Xiamen eName Network Co., Ltd.
Tech Street: Software Park wanghai Road No. 19, 603
Tech City: Xiamenshi
Tech State/Province: Fujian
Tech Postal Code: 361000
Tech Country: CN
Tech Phone: +86.4000400044
Tech Phone Ext: 
Tech Fax: +86.4000044400
Tech Fax Ext: 5
Tech Email: kkbffhdh2m@enamewhois.com
Name Server: dns1.iidns.com
Name Server: dns2.iidns.com
Name Server: dns3.iidns.com
Name Server: dns4.iidns.com
Name Server: dns5.iidns.com
Name Server: dns6.iidns.com
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2014-06-27 16:09:41
Domain Name: 9321.com
Registry Domain ID: 
Registrar WHOIS Server: whois.ename.com
Registrar URL: http://www.ename.net
Updated Date: 2014-09-03 13:56:08
Creation Date: 2002-09-24 11:44:13
Registrar Registration Expiration Date: 2017-09-24 11:44:18
Registrar: eName Technology Co.,Ltd.
Registrar IANA ID: 1331
Registrar Abuse Contact Email: abuse@ename.com
Registrar Abuse Contact Phone: +86.4000044400
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registry Registrant ID: 
Registrant Name: yangjingkai
Registrant Organization: yangjingkai
Registrant Street: zhongguancundajie27hao
Registrant City: bei jing
Registrant State/Province: bei jing
Registrant Postal Code: 100044
Registrant Country: CN
Registrant Phone: +86.13260376820
Registrant Phone Ext: 
Registrant Fax: +86.13260376820
Registrant Fax Ext: 
Registrant Email: 2275192426@qq.com
Registry Admin ID: 
Admin Name: yangjingkai
Admin Organization: yangjingkai
Admin Street: zhongguancundajie27hao
Admin City: bei jing
Admin State/Province: bei jing
Admin Postal Code: 100044
Admin Country: CN
Admin Phone: +86.13260376820
Admin Phone Ext: 
Admin Fax: +86.13260376820
Admin Fax Ext: 
Admin Email: 2275192426@qq.com
Registry Tech ID: 
Tech Name: yangjingkai
Tech Organization: yangjingkai
Tech Street: zhongguancundajie27hao
Tech City: bei jing
Tech State/Province: bei jing
Tech Postal Code: 100044
Tech Country: CN
Tech Phone: +86.13260376820
Tech Phone Ext: 
Tech Fax: +86.13260376820
Tech Fax Ext: 
Tech Email: 2275192426@qq.com
Name Server: dns1.iidns.com
Name Server: dns2.iidns.com
Name Server: dns3.iidns.com
Name Server: dns4.iidns.com
Name Server: dns5.iidns.com
Name Server: dns6.iidns.com
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2014-09-03 13:56:08