GoDaddyが何の書類確認もなく見知らぬ人物にドメインを渡していた
(anchor.host)- 27年間運用していたドメインが事前警告なしに別のGoDaddyアカウントへ移され、関連するWebサイトとメールが4日間停止した
- アカウントでは二重の二要素認証が有効で、ドメイン保護機能も適用されていたが、監査ログには Internal User が
Transfer to Another GoDaddy Accountを実行し、検証は行われていない状態のまま残っていた - GoDaddyは紛争受付の過程で複数のメールアドレスと新しいケース番号を繰り返し案内し、4日後には必要な書類が提出されたとして事案を終了したが、どの書類だったのかは明らかにしなかった
- 実際の復旧はGoDaddyチームではなく、誤ってドメインを受け取った人物が自分のアカウント内に見覚えのないドメインを見つけ、直接協力したことで実現し、アカウント間転送によってドメインは5分もかからず元のアカウントへ戻った
- 書類提出なしでもこうした転送が承認されたことで、メールの乗っ取り、パスワードリセット、決済経路の変更まで可能なセキュリティリスクが露呈し、今後も同種の脅威を防ぎにくいのではないかという不安が高まっている
事件の概要
- 27年間使っていたドメインがGoDaddyアカウントから事前警告なしに別のGoDaddyアカウントへ移され、その組織のWebサイトとメールが4日間停止した
- アカウントでは二重の二要素認証が有効で、ドメインにはGoDaddyのFull Domain Privacy and Protectionが適用されていた
- 監査ログには
Transfer to Another GoDaddy Account、実行主体はInternal User、Change Validated: Noと記録されていた
- 移動直後、GoDaddyがDNS zoneを初期値にリセットしたため、nameserverは同じだったもののzoneファイルが空になり、サービス全体がオフラインになった
- そのドメインは米国全土の20支部が利用する上位ドメインで、各支部のサイトとメールはすべてそのサブドメインに依存していた
- アカウント復旧依頼のメールは土曜午後1:39に届き、3分後に転送開始、4分後に完了として処理された
- 被害側は32回の電話、9.6時間の通話、17通のメールを送ったが、折り返しの連絡は一度もなかった
GoDaddyの対応と紛争処理
- 最初の問い合わせでGoDaddyは、そのドメインがもはやアカウント内にないことは確認したが、プライバシーを理由にどこへ移されたかは明かさなかった
- 当初は undo@godaddy.com へ連絡するよう案内したが返答はなかった
- その後、transferdisputes@godaddy.com、さらに artreview@godaddy.com へと案内先が変わった
- 問い合わせのたびに新しいケース番号が作成され、過去の履歴が引き継がれず、エスカレーションを毎回最初からやり直す必要があった
- 本文には
01368489,894760,01376819,01373017,01376804,01373134,01370012といった実際のケース番号が記されている
- 本文には
- ドメイン紛争は
cas.godaddy.com/Form/TransferDisputeの経路で受け付けられ、依頼側はドメイン登録者名、運転免許証、事業関連書類を提出した- 提出のたびに、返信予定時間は48〜72時間と繰り返し案内された
- 4日後、GoDaddyは「登録者が必要な書類を提供したためアカウント変更を進め、事案は終了した」とのメールだけを送った
- どの書類が提出されたのかについての説明は最後までなかった
- 後続の案内としては、WHOIS検索、ICANNの仲裁提供者、弁護士選任に関するページへのリンクだけが送られた
運用停止と暫定復旧作業
- GoDaddyが事件の終了を通知した後、被害組織は新しいドメインへの緊急移行を開始した
- 新しいメールアドレスと新しいWebサイトのアドレスへの切り替えを徹夜で進めた
- 既存ドメインを制御できなかったため、メールアドレス全体、マーケティング資料、SEOの蓄積資産がすべて損なわれる問題が大きくなった
- 既存アドレス宛のメールは返送されるしかなかった
- 印刷物や外部資料に残っている既存ドメインはすべて誤情報へと変わった
- 元のドメインが戻った後は、前日に行った作業を再度巻き戻すため、メールとWebサイトを元のドメインへ再切り替えしなければならなかった
実際の原因と復旧経路
- 翌朝、被害組織の本部から2,000マイル離れた別の人物が、自分のGoDaddyアカウントに見覚えのないドメインが入っていることを発見した
- その人物は元従業員が使っていた別のドメインを取り戻そうとしていた
- その人物と協力してGoDaddyのアカウント間転送を実行すると、ドメインは5分もかからず元のアカウントへ戻り、DNSもすぐに復旧し始めた
- 実際の解決はGoDaddyのサポートチーム、紛争チーム、CEO Officeチームではなく、誤ってドメインを受け取った当事者が問題を認識して直接連絡したことで実現した
書類なしで承認された転送
- 誤ってドメインを受け取った側は同じネットワークの地域支部で、2週間前にGoDaddyへ別のドメインの復旧を依頼していた
- 依頼対象は
HELPNETWORKLOCAL.ORGで、実際に移されたのはHELPNETWORKINC.ORGだった
- 依頼対象は
- その人物のメール署名には
HELPNETWORKINC.ORGのサブドメインWebサイトが入っており、GoDaddyの復旧チームは署名に書かれた上位ドメインを見て、そのドメインをアカウントへ移したようだ - GoDaddyは証明書類アップロード用リンクを送ったが、そのリンクは使用前に期限切れになった
- 新しいリンクを依頼した後も、新しいリンクが届く前にドメイン転送承認メールのほうが先に届いた
- 結果として、その人物は本来取り戻そうとしていたドメインについても、実際に受け取ったドメインについても書類を1つも提出していない
- それにもかかわらずGoDaddyは、27年続く非営利組織のドメインを別アカウントへ移し、その後の紛争も終了扱いにした
セキュリティへの影響
- 本文には、もし悪意ある受信者だったならメールの乗っ取り、パスワードリセット、MFAコードの受信、フィッシング、マルウェア配布、決済経路の変更まで可能だったと記されている
- 被害組織はドメインの所在がわからなかった間、すべての利用者に重要サービスのアカウントから侵害されたドメインを削除するよう準備しなければならなかった
- 対象には銀行、Amazon、IRS、給与システム、Dropbox、メールアカウント、さらにはGoDaddyアカウントまで含まれていた
- 書類なしでこうした転送が承認されたこと自体が重大なセキュリティ問題として明らかになった
セキュリティ通報チャネルの問題と後続対応
- 掲載前の調査結果をGoDaddyのセキュリティチームへ直接送るため security@godaddy.com にメールを送ったが、バウンスした
- 自動返信ではそのメールボックスはもはや監視されておらず、代替としてAbuse Reporting Formと https://hackerone.com/godaddy-vdp が案内された
- 同じ報告書は最終的にHackerOneへ提出され、本文には report #3696718 と記されている
- 公式チャネルが機能せず、迂回経路を知る人だけが実際の担当者へたどり着ける構造が、今回の4日間障害対応と同じパターンで繰り返されている
- 原文時点で求められていた後続対応は明確である
- Flagstream Technologies に実名担当者が直接連絡すること
- 一般向けの共有メールアカウントではなく、返信可能なメールアドレスと電話番号を残すこと
- 転送検証手順と書類なしで承認された経緯を社内で見直すこと
今後の対応方針
- 被害側のより大きな懸念は、今後もGoDaddyにドメインを置く限り、同種の脅威を防ぐ方法が見えないという点にある
- 本文には、Flagstream が自社の全ドメインをGoDaddyの外へ移管する可能性が高いと記されている
- GoDaddyにドメインを置いているなら、ドメインがアカウントから消えて事業全体が止まったときにどう対応するかを自分で点検する必要がある
2件のコメント
こういうことを見るたびに、できるだけ文書のようなものを読まなくても回避や失敗が起こりえない方向でシステムを構成するのは難しいのだろうか、と思います
Hacker Newsの意見
GoDaddyは悪名が高すぎて、専用のWikipedia記事まで別にあるほどだ
https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy
GoDaddyは前科があまりにもひどいので、過去の事例を並べるだけでも十分に文脈がつかめる
Jan 2017: Godaddy has issued at least 8850 SSL certificates without validating anything
Jan 2019: GoDaddy injecting JavaScript into websites and how to stop it
Aug 2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
Dec 2022: GoDaddy buying domains when they expire to extort their own users
Jul 2023: Godaddy just stole my domain
Jan 2024: Tell HN: GoDaddy Stole My Domain
https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
いつも技術よりハッタリが先に立つ会社に見えていたし、技術者もただ給料をもらっているだけという雰囲気で、顧客や品質にはあまり関心がなさそうだったが、実際の振る舞いもまさにその通りだった
そうなると特定の国では顧客自身のサイトにすらアクセスできないことがあり得た
価格は高いのに価値は低すぎて、なぜ使うのか分からない
今のリンクはこのスレッド自身を指している
自分が初めてコンピュータを持った頃から、すでにGoDaddyはNoDaddyという認識だった
2000年代前半から半ばにかけて、プログラマーが公然と女性嫌悪的だと言っていた数少ない事例のひとつがGoDaddyのコンベンションブースの話で、今でも覚えている
最初は内部犯行のように見える
AWSでもセキュリティ設定を全部していたのにアカウントが侵害されたことがあり、後で内部の請負業者が原因だったと判明した
それまではAWSは何の根拠もなく私のせいにするだけで、州司法長官室に連絡して初めて調査が始まり、マネージャーがまともに対応し始めた
別のGoDaddy顧客が似たドメインの移管を依頼し、その過程で間違ったドメインを渡してしまったのだ
担当者が手順をまったく守らず、メールも途方もなく読み違えて、無関係なドメインを移管してしまった
結局元に戻せた理由も、ドメインを受け取った側が誤って移管されたとGoDaddyサポートに直接知らせたからだ
それをどう内部工作だと見なせるのか分からない
どんな意味でもinside jobには見えない
受け取った人もわざわざ元の持ち主に返そうと動いており、意図的な奪取という説明は成り立ちにくい
記事ではメールアドレス全滅、マーケティング資料全滅、SEO喪失の3点が挙げられていたが、もっと大きな点が抜けていると思う
ドメインを失えば、不審ログイン確認コードをメールで受け取るあらゆるオンラインアカウントのロックが即座に発生する
銀行、CRM、各種ビジネスサービスまで次々と詰む可能性がある
ドメインさえ自分で所有していれば、どこでもホスティングできるから理想的に感じられた
でもこうした破滅シナリオを考えると、結局Gmailを残しておくしかなかった
幸いEUでは今でも実所有者の確認をかなり重視しているので、こうした誤りが起きても数時間以内に解消される可能性は高い
すべてがそのメールに結びついていると、スマホやSIMを失うより深刻になり、海外で番号が使えない状況に似ているが、それより悪い
メールも各種連絡も同じドメインに届くので、なりすまし犯が何事もなかったかのように返信を続けられる
さらに恐ろしいのは、たとえばnpmjs.comのようなものをGoDaddyがそのまま渡してしまったら、一夜にしてcrypto billionaireにもなれそうだと思えることだ
ドメインを商標登録しておく方がいいと思う
数百ドル程度で、オンラインでも可能で、そうしておけばICANN相手でもドメイン強奪犯相手でもタイポスクワッター相手でもレジストラ相手でも裁判所でも権利がずっと強くなる
弁護士名義の強い警告書を送り、サポート段階を飛ばして法務対応へ素早く引き上げることもできる
ANIMATS®
もっと金を払わないと所有権の防御力も上がらないわけだ
個人的な意見としては、こういう争いに商標を持ち込まない方がいい
商標主張を持ち出した瞬間にドメインは変更防止のためロックされ、通常はUDRPを申し立てるよう案内される
その判断が出るまでに何か月もかかることがある
弁護士の警告書も似たようなもので、ごく限られた場合を除き、こちらが法的対応にコストをかけて返答する義務はない
だが法的権利を根拠に特定の処理を求めた瞬間、結局は管轄裁判所や正式手続きへ進んでくれとしか答えられなくなる
カナダでは実質的に弁護士を使う必要があり、コロナ以降の滞留がひどかった時期は登録まで4年待ちということもあった
オンラインで簡単に登録できるなら本当に助かる
私の場合、米国登録商標があり、時期的にもこちらが先だったのに、Facebookが私のサイトを閉鎖してしまった
10年前どころか今でも、なぜGoDaddyを使うのか理解できない
ビジネスの観点では、最も有名な供給者を選ぶ戦略はたいていかなりうまく機能し、各種の事態に対応するプロセスも整っているはずだと期待してしまう
だからこそ今回の件はより深刻に感じられる
ドメインは事業にとって極めて重要なのに、顧客当たりの売上はほとんど出ない奇妙な業種でもある
全インフラがこれにぶら下がっているのに年15ドル程度で、サポート依頼が一度来ただけで即座に採算の合わない顧客になり得る
100人にどこでドメインを買うか聞けば、GoDaddyが圧倒的1位である可能性が高い
ブランド関連の悪材料やセキュリティ事故なども大半は知らないだろう
有能なIT担当者という表現を見て少し笑ってしまった
GoDaddyについて良い話を聞いた記憶がほとんどない
そしてmanaged hostingのサポートは意外とかなり良い
サービス自体は好きではないが、顧客企業の何社かが使っていて、サーバー問題のたびにサポートがすぐ直してくれるので、自分で飛び込むよりずっと楽だった
少なくとも今までは海外委託ではなくローカルサポートだった
非技術系の創業者なら、ただGoogleで buy a domain と検索して最初に出たところへ行く
後になってIT体制が成熟したらより良い業者へ移すべきだが、登録は何年分もまとめて行い、自動更新まで設定され、問題なく回っていると、理論上のリスクより目の前の仕事が優先されがちだ
正直に言って、有能さと顧客ドメインをGoDaddyに置くことはあまり相性が良く見えない
間違いではあるが、ごくありふれたパターンだ
すでにうまく回っていて、一度も問題のなかった顧客に、DNSやホスティング、メールまで移しましょうと説得するのは簡単ではない
私もGoogle Domains移管後はSquarespaceをよく使っているが、価格が妥当で、何よりすでに動いているからだ
もっと良いツールがあるかもしれないが、移行には時間も、顧客停止のリスクも、ストレスもかかる
VPSを立てられないからではなく、その数時間を無償で費やす理由が弱いのだ
ここでも似たことが起きたのかもしれず、Leeがどれほど有能でも、長年無事だったfoot gunが遅れて暴発しただけなのかもしれない
理想的ではないが、現実には十分起こり得る話で、少なくとも今回の件で今後避けるべき業者はさらに明確になった
27年は本当に長い時間だ
有能なIT担当者は予見可能な障害へのバックアップ計画は立てられても、registrarレベルのミスまでは制御できない
MarkMonitorのように自らをbulletproof domainsとして売り出す会社ですら大事故を起こしたことがある
そして新しいドメインをXに登録しようと言うのは簡単だが、古いドメインをYから引き抜こうと言うのははるかに難しい
GoDaddyは一応正式なレジストラであり、顧客は二重MFAまで有効にしていた
顧客はできることはすべてやっていた
GoDaddyが奇妙なミスをした話は聞いたことがあっても、ここまでのとんでもない誤移管は初めて見た
こんな状況で被害者を責めるのは、ドアに鍵をかけなかったのだから盗まれても自己責任だと言うのと変わらない
規則を破ったのはGoDaddyであり、顧客はその規則が守られることを期待して金を払っている
被害者非難に傾くのはたいてい間違った側だ
誤ったドメイン移管自体が無能の証拠であり、必要書類ひとつなしにそれを処理したなら明白な過失だ
いくつもの層で深刻だ
だから私は、規模がそこまで大きくなくても責任感のあるレジストラであるporkbunのようなところをより好む
以前「cheap name」系のレジストラでドメインを失ったことがあって、なおさらそう思う
個人的な経験にすぎず、挙げた2社と利害関係はない
GoDaddyはもうずっと前に、自らが腐った会社であることを証明している
顧客が期限通りに支払えないと、そのドメインを押さえておいて法外な上乗せを付けて再度オークションに出し、そうした悪質な行為は一つや二つではなかった
私のメインドメインは今でも nic.ddn.mil / rs.internic.net、つまり現在のNetwork Solutions系に残っている
昔は将来世代のために物理サイトごとにドメインは1つだけ与えるという倫理すらあったのに、ある製薬会社が一度に90個ほど買おうとすると、その倫理はあっさり消えた
それでも、収益源ができてから何十年も改善できなかったその古びたプロセスですら、GoDaddyよりは信頼できるように感じる
知り合いの間では、GoDaddyはもうずっと前から皆が知っているジョークの種だった