0.概要
漫画村とは漫画を無料で配信しているWEBサイトのことです。
著作権法違反の疑いがあり、政府がアクセス遮断を実行すると宣言して話題になりました。
その中で漫画村が閉鎖されて新たに漫画タウンなるものが登場したり、Twitterで漫画村公式を名乗るアカウントが政府を批判したりしたことも話題となりました。
アクセス遮断の結果か、4月21日現在はアクセスできない状態になっています。
ここでなぜ政府はアクセス遮断という手段に踏み切ったのかという疑問が起こりました。
従来であれば、警察が捜査した上で管理者を特定して逮捕起訴するというのが普通の手順です。
今回の対応は、異例のアクセス遮断ということで、通信の秘密や自由を害するものだと批判されています。
その為、警察は漫画村の管理者を特定できず、これ以上の被害防止のためアクセス遮断せざるをえなかったのではないか?と考えました。果たしてそんなことが可能なのか?もし可能であるならばどういう手段で警察の捜査の目をかいくぐったのか?
以下の内容は、そんな疑問を解消するため、ドメイン情報を取得できるwhoisコマンドを使って漫画村のドメイン情報がどうなっているかの分析記事です。
1.whois
whoisとはインターネットで使われているIPアドレスやAS番号(ネットワーク識別番号)、ドメインネームの管理者などに関する情報を検索できるサービスのことです。
コマンドも提供されており、Macであればターミナルから簡単に実行できます。
これを使うことでドメインに関する情報(ドメイン登録業者、ドメイン所有者、ドメイン管理者、ドメイン技術責任者、DNS情報)が参照できます。
何故そのような情報を調べることが可能かというと、ドメインを登録するときに業者を通じて管理者情報を入力することが義務付けられているからなのですが、その辺りの話はリンク先に詳しく記載されてますので、ここでは割愛します。
用語集 「WHOISとは?」
Whois 情報の確認に関する方針 - ICANN
Whoisとは | JPドメイン名の検索 | JPドメイン名について | JPRS
whoisはあくまでドメインの登録情報をドメイン管理者に問い合わせて参照するサービスなので、そのドメインのサーバーに直接アクセスすることはありません。
不正アクセスがあった時、whoisを使えば、攻撃側に攻撃に気づかれたことを悟られず、また危険なサーバに踏み込むことなく調査を開始できますので、何かあった時にwhoisを使うのは基本中の基本なのですが、筆者は今までwhoisを使う機会がありませんでしたので、whoisを理解するついでに漫画村のドメインを調査してみます。
whois <ドメイン名>
でコマンドを実行できます。
whois mangamura.org
するとそのドメインの登録情報が出力されます。
まず最初に出力されたのはドメイン名でした。
Domain Name: MANGAMURA.ORG
今回はドメイン名をキーにwhoisしたのでここは一致するはずです。
トップレベルドメインは、非営利団体向けの「.org」ドメインなので、ドメイン種別は generic Top Level Domain(分野別トップレベルドメイン)略してgTLDというものになります。
ドメイン種別によってwhoisが返してくる情報の読み方が異なってきますので、軽く意識しておきます。
ドメイン名に続いて、レジストリとレジストラに関する情報が記載されていました。
Registry Domain ID: D402200000003441237-LROR
Registrar WHOIS Server: whois.tucows.com
Registrar URL: http://www.tucows.com
Updated Date: 2017-10-29T03:46:06Z
Creation Date: 2017-08-29T19:27:10Z
Registry Expiry Date: 2018-08-29T19:27:10Z
Registrar Registration Expiration Date:
Registrar: Tucows Inc.
Registrar IANA ID: 69
Registrar Abuse Contact Email: domainabuse@tucows.com
Registrar Abuse Contact Phone: +1.4165350123
レジストリは、「.com」や「.net」「.jp」などのトップレベルドメイン毎に1つのみ存在する一番上位の機関のことです。
.orgドメインのレジストリはPIR (Public Interest Registry)と呼ばれる団体です。
PIRの設立母体はISOC (Internet Society)です。
ISOCについてはこちらに詳細が記載されています。
レジストラは、ドメイン名を地域インターネットレジストリに登録を行う業者のことです。
インターネット用語1分解説~レジストリ/レジストラとは~ - JPNIC
whoisの結果から、レジストラはTucows(トゥーカウズ)社だということがわかりました。
Tucows Inc. | Unlocking the power of the Internet
Tucows社は世界シェア2位のgTLDドメイン(.com/.net/.org/.info/.biz)の上位レジストラの管理事業者で上場もしていますので、違法性の高いビジネスに関与しているとは考えにくいですし、あくまで代理登録事業者経由でドメインを提供したものと思われます。
再販業者の情報はないようです。
Reseller:
ドメインのステータスは以下の通りでした。
この辺りの記述がgTLDなのかそうでないのかで変わってくるようです。
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
それぞれ以下のような意味になります。
clientTransferProhibited
レジストラ変更が禁止されています。ドメイン名は使用可能です。
clientUpdateProhibited
ドメイン名の登録情報変更が禁止されています。
の二つ。これらはドメイン管理業が登録する情報のようなので今回は割愛。
詳しく知りたい方はこちらを参照のこと。
EPP Status Codes | What Do They Mean, and Why Should I Know? - ICANN
Registrantはドメインの所有者に関する情報です。
Registry Registrant ID: C196511403-LROR
Registrant Name: Host Master
Registrant Organization: 1337 Services LLC
Registrant Street: P.O. Box 590
Registrant City: Charlestown
Registrant State/Province: Charlestown
Registrant Postal Code: N/A
Registrant Country: KN
Registrant Phone: +1.4259064769
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: whois+mangamura.org@njal.la
Adminはドメインの管理者の情報です。
Registry Admin ID: C196511404-LROR
Admin Name: Host Master
Admin Organization: 1337 Services LLC
Admin Street: P.O. Box 590
Admin City: Charlestown
Admin State/Province: Charlestown
Admin Postal Code: N/A
Admin Country: KN
Admin Phone: +1.4259064769
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: admin+mangamura.org@njal.la
Techはドメインの技術担当者の情報です。
Registry Tech ID: C196511406-LROR
Tech Name: Host Master
Tech Organization: 1337 Services LLC
Tech Street: P.O. Box 590
Tech City: Charlestown
Tech State/Province: Charlestown
Tech Postal Code: N/A
Tech Country: KN
Tech Phone: +1.4259064769
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: tech+mangamura.org@njal.la
NameServerはドメインをIPアドレスに変換するサーバ、いわゆるDNSのことです。
DNSSECはDNSキャッシュポイズニングを防ぐための機能です。
Name Server: YOLANDA.NS.CLOUDFLARE.COM
Name Server: DOM.NS.CLOUDFLARE.COM
DNSSEC: unsigned
IPアドレスは機械が理解できるサイトの住所で、ドメインはそれを人間にわかりやすくしたものです。
どんなサイトでもドメインをIPアドレスに変換することでアクセスしています。
実際、ドメイン名がわからなくても、IPアドレスがわかればアクセスは可能です。
なのでIPアドレスが取得できない状態は、遮断されるということとイコールです。
DNSSECは状態はunsigned(署名なし)でした。
ただGoogleとかYahooとかの有名どころも普通に署名なしなのでとりあえずは気にしないで良さそうです。
最後はWHOIS databaseを管理するICANNのURLが記載されていました。
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2018-04-21T05:36:41Z <<<
ここまでで、whoisがどういう情報を提供しているのか概ね理解することができました。
IPアドレスの確認方法
hostコマンドでDNSからドメイン名のIPアドレスを検索できます。
host <ドメイン名>
成功すれば以下のような結果が出力されます。
以下はhost www.google.com
を実行した例です。
www.google.com has address 172.217.25.196
www.google.com has IPv6 address 2404:6800:4004:81a::2004
host mangamura.org
も実行したところ、
遮断されているためか結果を取得することはできませんでした。
nslookupコマンドも同様にドメイン名のIPアドレスを取得できます。
nslookup <ドメイン名>
成功すれば以下のような結果が出力されます。
以下はnslookup www.google.com
を実行した例です。
Server: XXX.XXX.XXX.XXX
Address: XXX.XXX.XXX.XXX
Non-authoritative answer:
Name: www.google.com
Address: 172.217.25.196
Serverは、DNSの名前
Addressは、DNSのIPアドレス
そして、Non-authoritative answer以降がドメインの名前とIPアドレスです。
nslookup mangamura.org
を実行したところ、
結果は取得できましたが、やはりドメイン名のIPアドレスを取得することはできませんでした。
Server: XXX.XXX.XXX.XXX
Address: XXX.XXX.XXX.XXX
Non-authoritative answer:
*** Can't find mangamura.org: No answer
ちなみに、ここで出力されるDNSは問い合わせに使用したDNSなのですが、
whoisしたところもろ近隣のビルの住所が出てきましたので、伏せています。
自身の使用しているDNSがどこの業者に管理されているのかわかるので、興味ある人は調べてみると面白い結果を得られるかもしれません。
使用するDNSは任意で設定可能です。
nslookup www.google.co.jp 8.8.8.8
dig コマンドでもIPアドレスの調査は可能です。
DNS指定なしだとご近所さんのDNS使われるので、今回は最初から指定して実行します。
dig <ドメイン名> @<DNS>
例えばdig www.google.com @8.8.8.8
を実行すれば、IPアドレスの他に経路や実行時間も表示されます。
; <<>> DiG 9.8.3-P1 <<>> www.google.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7946
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.google.com. IN A
;; ANSWER SECTION:
www.google.com. 210 IN A 172.217.24.132
;; Query time: 15 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Apr 22 11:49:41 2018
;; MSG SIZE rcvd: 48
8.8.8.8
はGoogleの公開DNSだからか、他の余計なDNSにアクセスすることなく結果が帰ってきました。
Public DNS | Google Developers
余談ですが、ホスト名とドメイン名は異なるものです。
ドメイン名は住所に例えられ、ホスト名はマンションの部屋番号に例えられます。
どういうことかというと、ホスト名はそのドメインの中でドメインの管理者が自由に割り当てることのできる名前で、ドメイン名は業者によって割り当てられる名前なのです。
例えば、www.google.co.jp
というアドレスの場合、google.co.jp
がドメイン名で、www
がホスト名になります。
ホスト名はドメインの管理者が自由に追加できるので、googleはアカウント管理にはmyaccount
、Gメールにはmail
のホスト名をつけて運用しています。
このホスト名とドメイン名を組み合わせたものが、FQDN(Fully Qualified Domain Name)と呼ばれます。
2.分析
ここからは、whoisの情報から漫画村の管理者がどんな人なのかを割り出していきます。
まず真っ先に確認すべきは、ドメイン所有者、管理者、技術者の情報です。
通常の個人、あるいは企業であれば、個人や事業責任者の情報が記載されている箇所です。
Whois情報の正確性の確認はICANNによって義務づけられています。
これは、利用者同士の自己解決を目的に公開されているためで、基本的には虚偽の情報が発覚した場合取り消しもありうるものです。
実際、個人がドメイン名を取得した時に住所氏名がモロバレになり、よく問題になっています。
そのため、企業が代理で登録することで身バレを防ぐWhois情報公開代行なるサービスも存在します。近年では、個人情報保護の観点から、個人名や住所をwhoisに出力しないドメインも増えてきましたが、テロや不正アクセス利用対策の観点から公開を義務付けるドメインも存在します。このようにドメインによって公開範囲は様々です。
名前は、Host Master
ここは他のドメインだとAdminとかそういう名前の時もあるのであまり気にしなくても良さそうです。
Registrant Name: Host Master
住所も当然日本ではありませんでした。日本ならばJPになります。
Registrant Country: KN
KNとはセントクリストファーネイビスのことのようです。
余談ですが、セントクリストファー島(セントキッツ島)とネイビス島はコロンブスがかの有名な新大陸への航海で最初に発見した島だそうです。つまりアメリカ大陸にほど近い小さな島です。
前述の様にwhois情報は利用規約上、虚偽記載が許されてません。
なので、漫画村の管理者、あるいはWhois情報公開代行業者はセントクリストファーネイビス人、あるいはその国の事業者ということになります。
日本から遠く離れた南国の島国に住んで国籍を取得して、サイト運営しながら悠々自適の生活。憧れますね。
…という話だけならまだ良かったのですが。特定して業者締め上げればそこで試合終了なので。
ところがどっこい、ここ国籍がお金で買えるようです。しかも通信販売で。身分証なしで。Ohマジデスカー
セントクリストファー・ネイビスは通信販売で市民権が買える国?![木村昭二のどんとこい!フロンティア投資]|新興国投資 | 橘玲×ZAi ONLINE海外投資の歩き方 | ザイオンライン
市民権取得に関するサイト見たら必要な条件が書いてました。
簡単にいうと、40万ドル払えてエイズでない証明できた人には市民権くれるそうです。身分証なしで(大事なことなので二回ry
Apply | Government of St. Kitts & Nevis - Citizenship By Investment Program
つまり、これ偽名で市民権使取り放題です。高確率で実在してない人です。
(エイズ検査の証明書?あれ日本だと書いた名前で発行してくれるらしいですよ。プライバシー何ちゃら)
実在してないけど、国が市民権発行しちゃっているから認めざるを得ないパターンです。国が作った偽札は本物かどうか問題です。
なので実在しているかすら怪しいセントクリストファーネイビス人、あるいは業者から管理者を辿る道はここで途切れました。
次に手がかりとなるのは、登録されたメールアドレスです。
メールアドレスもまた偽装してはいけないので、メールアドレス管理業者がコンプライアンス(法令遵守)精神の高い企業であれば、そこから追跡できるからです。
Registrant Email: whois+mangamura.org@njal.la
先ほどはドメイン所有者はセントクリストファーネイビス人、あるいは業者と言いましたが、もしそうならもっと別の名前のメールアドレスを使いそうです。例えば企業名らしきアドレスとか。
メールアドレスの名前は明らかに漫画村なので、謎のセントクリストファーネイビス人、あるいは業者と漫画村の管理者は同一人物だと考えられます。
そしてドメインは見慣れない@njal.la
というもの。
GメールやYメールなら話が早かったんですけど、さすがにそうはいきませんね。
もしそうだったらとっくに捕まっているでしょうが。
調べたら@njal.la
はラオスの業者で、予想通りというべきか、また匿名性が高いサービスでした。
Njalla — A privacy-aware domain registration service
「完全な匿名性」を標榜するドメイン登録サービス「Njalla」開始 - GIGAZINE
これは、先ほど紹介したWhois情報公開代行業者と業務的には変わりはありません。
しかし、Njallaが他の代行業者と一線を画すのは、他の業者があくまでも登録代行であるのに対して、Njalla自身がドメインを購入してユーザーにはそのドメインの完全な使用権が与えるというものです。
従来のは、代行業者の元にユーザーの個人情報が残りますが、Njallaはそれすらもやめて、ユーザーに完全な匿名性を与えています。
「え?そんなのありなの?」「虚偽の記載は取り消し云々と矛盾しない?」という意見が出そうですが、ドメインは特定の団体が一括して管理している類のものでなく、ICANN自体も非営利団体である以上、その地域の政治的な事情も絡んだ結果、規制をするにも限界があるのかもしれません。
わざわざドメインをラオスのものにしているのもそこに理由があるだろうと思われます。
そもそも創業者のSunde氏自身がBitTorentの検索サイトを運営するなどの筋金入りの反著作権主義者。漫画村のことを知ったら間違いなく漫画村側に回りそうな人物です。
最後に残った手がかりはDNSの管理業者です。
Name Server: YOLANDA.NS.CLOUDFLARE.COM
Name Server: DOM.NS.CLOUDFLARE.COM
Cloudflare - The Web Performance & Security Company | Cloudflare
どういう業者かなーと調べたらやはりこういう業者でした。
日本国内の設備から海賊版サイトを配信する米Cloudflareブロッキングを無効化する新サービス開始(楠正憲) - 個人 - Yahoo!ニュース
遮断が噂されている海賊版サイトは、いずれも米Cloudflareに配信を委託している。同社は東京・大阪のデータセンターに配信設備を保有し、執筆時点で日本国内のインターネットエクスチェンジやデータセンター事業者の回線を経由して海賊版コンテンツを配信している。J-Streamの調査によると2017年10月時点で、日本語のWebサイト配信で3割近くのシェアを持つ国内最大手だ。
IPアドレスを保存しない高速パブリックDNSサービス「1.1.1.1」、APNICとCloudflareが無料提供 - INTERNET Watch
Cloudflareでは、1.1.1.1のサービスにおいて、ユーザーのIPアドレスを記録しないことをうたっており、これを証明するため、KPMGによる監査を毎年行うとしている。
Cloudflareもまた利用者の匿名性は守るべきだと高い匿名性をうたっており、それはプライバシーの問題が叫ばれている昨今では非常に重要なことですが…当然の様に利用されることになります。
この線から追うのもまた困難そうです。
3.まとめ
漫画村の管理者は、
セントクリストファーネイビス人のHost Masterさん…ではなく、
警察の捜査の目をかいくぐるために、匿名性の高いサービスを複数利用している人です。
少なくとも手続きや連絡手段としてのメールはNjallaを使用し、
そこからDNS契約、国籍の取得、ドメインの取得などの各種申請を行なっているものと思われます。
それらの契約もまた追跡が困難な企業、国家のシステムを利用することで追跡を断念させる念の入れ様です。
そのために、個人の特定に至ることができず、政府はサイトブロッキングという最後の手段に踏み切ったのではないでしょうか?