前提

• 今回、 Google Domains からムームードメインへ、 JPドメインの移管の手続きを行った。

JP ドメイン移管の流れ

• 移管先 (今回はムームドメイン) から、移管手続き申請を行う。
• 移管元 (Google Domains) から通知が来る。
• 10日以内に「拒否」の手続きを行うと、ドメインの移管手続きが停止される。
• 「拒否」の手続きを行わず 10日が経過した場合、移管が行われる。移管したい場合は放置する。

脆弱な点

• 申請を送るのに、移管元側での認証を行う必要がない。
• 申請の承認を行わなくても、「拒否」の手続きをせずに 10日が経過することで移管が完了する。

対処方法

• レジストラロックを設定しておくことで、そもそもドメイン移管手続きが行えないようにしておくことができる。
• 移管を行う際は、レジストラロックを解除したのち移管の手続きを行う。

経緯

• 移管の手続きを行ったが、あまりに手続きが簡素なので、フローとして、セキュリティ的に大丈夫なのかと思った。
• 事故を検索したところ、サンライズの件がヒットした。

Ref

• 「10日ルール」突かれたラブライブ！ 10連休はドメイン乗っ取りに注意 | 日経クロステック（xTECH）
• 「ラブライブ！」の公式サイト乗っ取りから考える、適切なドメインの管理方法 ドメイン移管の基本と企業が取るべき対応策 - BUSINESS LAWYERS