- .com中心で運用してきた開発者が無料プロモーションで .online ドメインを使ったところ、サイト遮断とドメイン停止を経験した事例
- Namecheapで無料提供された .online ドメインが Google Safe Browsing の「危険なサイト」警告を受け、アクセス不能な状態に移行
- WHOIS の照会結果では
serverHold 状態と表示され、レジストリ(Radix)がドメインを停止したことを確認
- Google の検証手順とレジストリの解除条件がかみ合わず、ドメイン復旧が不可能な「検証のジレンマ」 に陥る
- .com ドメインは依然としてゴールドスタンダードであり、非標準 TLD の使用は危険
Namecheapの無料 .online プロモーション
- Namecheap が .online または .site ドメインを無料提供するプロモーションを実施
- 筆者は小規模なアプリプロジェクト用に .online ドメインを選択
- ICANN 手数料 0.20ドルのみを支払い、Cloudflare と GitHub Pages に接続してサイトを開設
- 当初は正常に動作していたが、その後 Google とブラウザで「危険なサイト」警告が表示され、アクセス遮断が発生
サイト遮断とドメイン停止
- Firefox と Chrome の両方で 全画面の警告ページが表示され、訪問者のアクセスが遮断
- サイトには App Store リンク、スクリーンショット、簡単な説明だけが含まれていた
- WHOIS の照会結果でドメイン状態が
serverHold と表示され、レジストリ(Radix) が直接停止したことを確認
dig NS コマンドを実行するとネームサーバー情報は空で、Cloudflare の設定は正常だった
復旧の試みと検証のジレンマ
- 筆者は Namecheap と Radix にそれぞれ問い合わせたが、Google Safe Browsing のブラックリスト解除なしでは復旧不可能
- Google Search Console でドメイン所有権を証明しなければ審査を依頼できないが、
- ドメインが停止されていて DNS レコードの追加が不可能で、検証自体が失敗
- Google は「有効なページが提出されなかった」という応答しか返さなかった
- 筆者は Safe Browsing、Safe Search、フィッシング報告など 複数の経路で誤検知の報告を試みたが効果はなかった
問題の原因と教訓
- 筆者は 3つのミスを指摘
- 非標準 TLD(.online)の使用
- Google Search Console 未登録
- 稼働監視の未設定
- Radix と Google はいずれも 自動遮断と復旧手順の不透明さで批判される
- 原因は明確ではないが、.online TLD の信頼性の問題または誤検知の可能性が挙げられている
結論とその後の対応
- その後 Google の Safe Search ブラックリストからサイトが削除され、Radix の
serverHold も解除されて サイトは復旧
- 筆者は「.com は今なおゴールドスタンダードであり、もう他の TLD は買わない」と述べた
- この事例は 低価格または無料の TLD を使う際に起こり得るリスクを示す警告として提示されている
1件のコメント
Hacker Newsの意見
大企業の終わりのないアカウント認証ループは本当につらい問題だ
「アカウントを確認してください」というメールを受け取ったときに、「これは自分ではありません」をクリックできる選択肢すらないのは呆れる
こういうシステムを設計した人たちが仕事を分かっていないのか、それとも消費者と目標が完全にずれているのか分からない
書類を要求してきたのにセキュアリンクは送ってこない、また1週間待たされる、書類の文が1つ抜けていると言って再提出を求められる……
名刺まで要求されて、20年ぶりに新しく作る羽目になった。この程度なら詐欺師のほうが早く通過できるプロセスだ
sbcglobal.netのアドレスだった結局、Googleが復旧用メールを2FA手段として誤用していたことが問題で、解決するにはAT&Tに連絡しなければならなかった。20年前の顧客情報を更新してくれと頼む状況だった
たいていの場合、相手はメール認証を完了できず、それ以上何もできなくなり、サイト側も追加メールを送らない
問題は、その状態だと自分が同じメールで新しいアカウントを作れないことだ。だが「パスワード再設定」手続きを通せば、結局そのアカウントを乗っ取れてしまう
Gmailで通知が来るたびに削除しているが、これを放置するとアカウント乗っ取りの危険があるのではと心配している
連絡しようとしたが国際電話か紙の手紙しか手段がなく、諦めてそのメールを別に振り分けておいた
レジストラがGoogle Safe Browsingを根拠にドメイン停止を行うのは衝撃的だ
こんなやり方では、そのTLD全体が信頼できない水準になる
.onlineのようなTLDは登録は1ドルでも、更新時に30〜35ドルへ跳ね上がる仕組みだこうした価格政策は、真面目なTLDと短期詐欺向けTLDを見分けるシグナルになる
ICANNの監督不在によりレジストリが勝手に方針を変え、結局人々は
.comや.orgのような長い歴史を持つTLDだけを信頼するようになる個人的には
.comと.caだけが信頼できると思っているサブドメインだけを遮断すれば済む話なのに、アカウント全体を凍結するのは筋が通らない
今回の件のTLD所有者はRadixだった
.store,.online,.tech,.site,.fun,.pw,.host,.press,.space,.uno,.websiteなどを運営しているradix.website
いっそそのTLD全体を遮断したほうがよいかもしれない
.techドメインを個人メール用に何年も使っていたが、こんなレジストリの管轄だとは知らなかった今ではhagezi rpz脅威インテリジェンスフィードを使って、たいていの怪しいドメインを防いでいる
「Google Safe Browsingのブラックリストのせいでドメインが停止された」というのは、自分が10年前から警告していた検閲の滑りやすい坂道だ
Google Search Consoleに登録していなかったのは大きな失敗だった。結局Googleの独占的な影響力がさらに強まった
GoogleやMicrosoftが悪性サイトの一覧を維持するのは構わないが、それを絶対的な基準としてドメインを停止するのは問題だ
Googleが権力を握ったのではなく、Radixが自発的に渡したのだ
逆に、詐欺サイトを通報しても削除されない場合も多い
Google Search Consoleに登録していなかったせいでこんなことが起きるなら、これは反独占調査につながるべきだ
Googleがインターネット上の存在そのもののゲートキーパーになってしまったわけだ
Radixが負のフィードバックループを作ったように見える
Google側からすると、Safe Browsingに引っかかった後にDNSが消えるのを見て、「詐欺行為」だと誤認する可能性がある
問題は
.onlineが「変」だったことではなく、無料だったことだ無料TLDはスパマーや詐欺師を引き寄せ、結局詐欺のシグナルとして認識される
もちろん
.com以外にも良いドメインはたくさんある.online,.top,.xyz,.info,.shopは詐欺サイト上位のTLDだあまりに安く、短期のフィッシング用に使われるからだ。新しいドメインを作るときはこうしたTLDを避けるべきだ
無料なのは魅力的だが、ときに致命的なリスクが伴う
自分の経験では、vanityドメインは企業のセキュリティシステムでしばしば遮断される
友人の
.homesドメインは6カ月間、quad9と会社のセキュリティ網でブロックされていた自分も新TLDを買ったとき、1カ月ほど一部ISPの「セーフブラウジング」機能のために接続を遮断された
結局学んだのは、新しいドメインは基本的に信頼されないということだ
.vgドメインはSPF、DKIM、DMARCを全部設定しているのに、迷惑メールフォルダに入りがちだ祖母が受け取った詐欺リンクの大半は
.topドメインだった。DNSで登録から90日以内のサイトをすべて遮断したら、詐欺リンクのクリックが完全になくなっただから自分もドメインを買うときは1ドルTLDを全部除外している
TLDは末尾にあるので、人は見落としやすい
.onlineのようなドメインから送られたメールは迷惑メールフォルダに入る確率がはるかに高いSpamhausのTLD別マルウェア比率統計を見ると明らかだ
以前、Googleが理由も説明せずに自分のAndroidアプリのアカウント全体を停止したことがあった
単純なフィットネスアプリだったのに、理由も分からず復旧も不可能だった。その後、Android開発は完全にやめた
結局、小規模事業はシリコンバレーの気分次第ということだ
その後は完全に**脱Google(UnGoogled)**した