Route 53で管理するドメインでプライバシー保護できるWHOIS項目は、ドメインによって違うので注意
こんにちは、虎塚です。
AWSではRoute 53を使って独自ドメインを管理できます。最近、ある登録ドメインがプライバシー保護を有効にしているにもかかわらず、WHOISで連絡先情報を参照できてしまうことに気がつきました。
不思議に思って仕様を確認したところ、表題のとおりであることを知ったので共有します。プライバシー保護をしているつもりで公開状態になっていた、というケースがあるかと思いますので、気になる方は設定を見直してみてください。
プライバシー保護 (Privacy Protection) とは
ドメインを登録する時、ユーザは、ドメイン登録者、ドメイン管理者、技術担当者の氏名、住所、メールアドレス、電話番号などの情報をドメインレジストラに提供します。通常、これらの情報はwhoisクエリで参照できますが、プライバシー保護機能 (以下、Privacy Protection) を有効にすることで、情報を非公開にすることができます。
Privacy Protectionで連絡先情報を隠蔽できる条件
Privacy Protectionを有効化するだけで、連絡先情報を確実にマスクできるかというと、じつはそうではありません。どういう条件がそろったときに連絡先情報を隠蔽できるか、整理してみましょう。
第一に、ドメインの設定項目である「連絡先のタイプ (ContactType)」がPERSONである必要があります。選択できる値は、PERSON、COMPANY、ASSOCIATION、PUBLIC_BODYです。PERSON以外を選んだ場合は、Privacy Protectionを利用できません。
第二に、ドメインのロック (以下、Transfer Lock) が有効でなければいけません。これは、別のドメインレジストラにドメインを移管されないようにするための設定です。
第三に、ドメインがPrivacy Protectionをサポートしている必要があります。ドメインによって、登録情報を完全にマスクできる場合、部分的にマスクできる場合、まったくマスクできない場合があります。確認方法は後ほど説明します。
現在の設定の確認方法
連絡先情報を非公開にしているつもりだったけど大丈夫かな?と心配になった方もいらっしゃるかと思います。連絡情報の公開状態を確認して、設定を見直す方法を紹介します。
1. whoisクエリで現状を確認する
なにはともあれ、現在の公開状態を確認しましょう。Whois.netのようなWebサービスを使用してもよいですし、コマンドを実行して確認することもできます。
$ whois ドメイン名
実行結果は次のようになります。非公開にしているつもりの連絡先情報が表示されていないかを確認しましょう。
Domain : ドメイン名 Status : Live Expiry : 2016-12-01 NS 1 : ns-xxxx.awsdns-xx.co.uk NS 2 : ns-xxx.awsdns-xx.net NS 3 : ns-xxx.awsdns-xx.org NS 4 : ns-xxxx.awsdns-xx.com Owner Name : Taro Yamada Owner Addr : 1-2-3, Kanda, Chiyoda-shi, Tokyo, 123-4567, Japan Owner Addr : Tokyo Owner Addr : JP [...]
意図せず連絡先情報が表示されていた場合は、2以降に進みます。
2. Transfer Lockの設定を確認する方法
Transfer Lockの状態は、AWS Management Consoleのドメイン一覧画面、またはドメイン詳細画面から確認できます。
AWS CLIを使う場合は、次のコマンドで各ドメインについてTransfer Lockの有効/無効を確認できます。
$ aws route53domains list-domains --region us-east-1
上のコマンドを実行する時、~/.aws/configでus-east-1以外のリージョンを指定しているとエラーになります。route53domainsサブコマンドのエンドポイントはグローバルにはなく、us-east-1にだけ存在するので、注意してください。
Transfer Lockが無効な場合、連絡先は隠蔽できません。まずは有効にしましょう。(ただし、後述するように、ドメインによってはできないケースもあるようです)
3. Privacy Protectionの設定を確認する方法
ドメイン登録時に設定が必要な連絡先は、ドメイン登録者、ドメイン管理者、技術担当者の3種類で、それぞれに対してPrivacy Protectionを設定できます。
Privacy Protectionの状態は、AWS Management Consoleのドメイン詳細画面から確認できます。
AWS CLIを使う場合は、次のコマンドで、3種類の連絡先情報についてPrivacy Protectionの設定を確認できます。
$ aws route53domains get-domain-detail --domain-name --region us-east-1
出力結果を見て、AdminPrivacy、RegistrantPrivacy、TechPrivacyの値を確認してください。連絡先情報を隠蔽したい場合は、それぞれ有効化します。
4. ドメインのPrivacy Protectionサポート範囲を確認する方法
2と3の設定が正しく有効化されているのに、連絡先情報が公開されている場合は、ドメインのPrivacy Protectionサポート状態について調べます。次のページで対象ドメインを探し、Privacy Protectionに関する記述を確認します。
たとえば、人気があるいくつかのドメインについて調べてみると、次のように記述されています (2016年5月現在)。
| 全項目を隠蔽 | 一部を隠蔽 | 隠蔽サポート外 | レジストリが決定 |
|---|---|---|---|
| .com, .net, .org | .biz, .info, .xyz など | .click, .cloud, .mobi など | .io, .jp など |
Privacy Protectionサポート外のドメインは、連絡先情報を隠すことができません。
対象ドメインのPrivacy Protectionサポートをレジストリが決定する場合、さらに詳細を調べます。各ドメイン情報に記述されているレジストラを確認してください。おおむねGandiかと思います。Gandiの場合、次のページで対象ドメインを探します。
上のページの一覧にドメイン名があれば、連絡先情報を隠蔽できます。どの項目が隠蔽されるかは、次のページを参照してください。ページの下のほうにサンプルがあります。
もし一覧にドメイン名がない場合、連絡先情報を隠蔽することはできません。
プライバシー保護がされない例
意図せずに連絡先情報を公開した状態になりがちと思われるケースを、3つご紹介します。
Transfer Lockがサポートされないドメインの場合
たとえば、.ioドメインはPrivacy Protectionのサポート範囲について「レジストリが決定」となっていますが、そもそもTransfer Lockを有効にできないようです。
この場合、AWS Management Console上ではPrivacy Protectionを有効化できますが、実際にはWHOISで情報が公開されます。気づきにくいと思いますので、ご注意ください。
Privacy Protectionがサポートされないドメインの場合
ドメインの種類に依存する仕様なので、すでにドメインを取得してしまった場合は受け入れるしかありません。新しいシステムやサービスのためにドメインの取得を検討している段階で、対象ドメインがPrivacy Protectionをどの程度サポートするかを確認してください。
ドメイン移管作業の前後の設定ミス
ドメインをドメインレジストラ間で移管するには、Transfer Lockを無効化する必要があります。また、レジストラがドメイン管理者の情報にアクセスできる必要があるため、Privacy Protectionも無効にしなければなりません。
移管時にTransfer LockやPrivacy Protectionを一時的に無効化したら、作業が終わった後で再度有効化しましょう。Transfer Lockだけ有効化して、Privacy Protectionを無効のままににしても、連絡先は公開されてしまいます。両方忘れずに有効化しましょう。
おわりに
Privacy Protectionは、スパムメールや営業電話を避けるためにも重要ですね。ドメインを複数お持ちの方は、意図せずに連絡先情報を公開していないか、ぜひ一度確認してみてください。
それでは、また。
![[Auth0] Route 53+ACM+CloudFrontでAuth0にカスタムドメインとリバースプロキシを設定してみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e37cf03c5caac969de0f633e4738977d/1862834d1806cb03b64a8000a5a1a39e/Auth0ByOkta.jpg)
