風が吹けばWHOISが使えなくなる ～なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか～ 2025年8月1日 JANOG56 野良LT BoF 森下泰宏/Orange Copyright © 2025 Yasuhiro Orange Morishita 1 

Disclaimer • 本発表の内容には、発表者個人の見解が含まれます。 • 本発表の内容は、発表者の勤務先・関係団体の公式見解ではありません。 • 発表時間が短いため、ドメイン名業界やサーバー証明書業界（WebPKI） の意思決定の仕組み・しきたり・上下関係強弱などについては説明しません。 Copyright © 2025 Yasuhiro Orange Morishita 2 

本日の内容 • 2025年7月15日から、サーバー証明書の発行におけるドメイン名管理権限 確認（DCV）の参照先として、WHOIS・RDAPのコンタクト情報を使うこと ができなくなりました*1。 – できなくなった方法：認証局が発行要求を受け取ったドメイン名のWHOIS・RDAPを 参照して、そのコンタクト情報の電子メールアドレスにランダムな内容が書かれている メッセージを送り、メッセージを受け取った申請者が認証局にその内容を伝える • そのきっかけは、2024年9月にドメイン名業界で発生した、とある事件でした。 • 今回はこの事件から使用禁止までの経緯について、コンパクトに話します。 Copyright © 2025 Yasuhiro Orange Morishita 3 *1 Ballot SC080v3: Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods 

第1幕：.mobiのシステム改修 • 2022年に.mobiのレジストリがシステムを改修し、サービス用のドメイン名を dotmobiregistry.netから、nic.mobiに変更しました。 – .mobiのレジストリはICANNとの契約通り、IANAの登録情報を更新していました。 • しかし、同社は変更前のドメイン名を維持せず、 2023年12月に dotmobiregistry.netは期限切れになり、誰でも登録可能になりました。 Copyright © 2025 Yasuhiro Orange Morishita 4 TLDのWHOISサーバーが変更された場合、クライアントはIANAの登録情報を参照して、 新しいWHOISサーバーにアクセスする必要があります。 RDAPには、サーバーを自動追尾する仕組みがプロトコルに含まれています。 

第2幕：セキュリティ研究者の気づき • この状況を発見したセキュリティ研究者が、2024年8月に dotmobiregistry.netを、20米ドルで再登録しました。 • セキュリティ研究者が試しに、.mobiの公式WHOISサーバーだった whois.dotmobiregistry.netでWHOISサーバーを立ち上げたところ、 世界中の多数のIPアドレスからアクセスされていることが判明しました。 • それらのIPアドレスには、ある大手認証局のものも含まれていました。 Copyright © 2025 Yasuhiro Orange Morishita 5 

第3幕：セキュリティ研究者のドヤり • これに注目したセキュリティ研究者が、このWHOISサーバーに偽のコンタクト 情報を設定して、アクセスのあった認証局に証明書の発行を申請したところ、 その認証局は任意の.mobiドメイン名の証明書を不正発行してしまう状態に なっていたことが判明しました。 • セキュリティ研究者は「もう1クリックすると偽のコンタクト情報の電子メール アドレスに発行確認のメールが送られる」状態で作業を中断したため、 証明書は発行されませんでした。 • セキュリティ研究者が、この状況をブログで公開しました*1。 Copyright © 2025 Yasuhiro Orange Morishita 6 *1 We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI 

第4幕：サーバー証明書業界への飛び火 • ドメイン名業界・DNS業界では「またドロップキャッチ案件か」「やらかしたのは よりによってレジストリか」「証明書を不正発行されても、BGPやDNSをひねら ないと使えないよね」ぐらいの反応でした。 • しかし、サーバー証明書業界では 証明書全体の信頼を揺るがす深刻な問題と 捉えられ、関連するコミュニティのフォーラムで 火の手が上がりました。 Copyright © 2025 Yasuhiro Orange Morishita 7 

第5幕：炎上するフォーラム • フォーラムで別のセキュリティ研究者が、多くのccTLDではWHOIS・RDAPの 提供や情報の正確性の担保が契約で義務付けられていないことと、実際に WHOISが十分に機能していないTLDが複数存在することを指摘しました。 • その結果、コミュニティのメンバーにWHOISの信頼性そのものに対する疑義が 生じ、WHOISの使用を全面的に禁止する形で、方向性が定まりました。 • WHOIS・RDAPの使用を信頼できるTLDのみに限定する案も出されましたが、 認証方式を複雑にすべきではないという観点から、採用されませんでした。 Copyright © 2025 Yasuhiro Orange Morishita 8 

第6幕：Googleの処断と情状酌量 • 当初、フォーラムには2024年11月1日からWHOISの使用を禁止するという 過激な提案が、Googleの担当者から出されました。 • しかし、システム改修や顧客対応に必要な期間を考慮してほしい旨の嘆願書 意見が認証局の担当者から出された結果、以下の2段階に提案が改訂され、 投票による多数決で決定されました。 – 2025年1月15日から、WHOIS・RDAPの使用時にIANAの情報を参照して、 TLDごとのアクセス先を決定することを義務付ける – 2025年7月15日から、WHOIS・RDAPの使用を禁止する Copyright © 2025 Yasuhiro Orange Morishita 9 ということで、ドメイン名業界で風が吹いてサーバー証明書業界で 火の手が上がった結果、WHOISはメール認証に使えなくなりました。 

第7幕：ICANNの後始末 • ICANNは今回の件を受け、WHOISサーバーのドメイン名を運用終了後も 無期限に維持することを強く推奨する旨の通知文書を、2025年1月24日に すべてのgTLDレジストリ・レジストラに送付しました。 • なお、gTLDでは既にWHOISはレジストリ・レジストラの義務ではなくなって おり、提供を終了するレジストリ・レジストラも現れ始めています。 – gTLDではRDAPの提供が義務付けられており、ICANN Lookupで検索できます。 Copyright © 2025 Yasuhiro Orange Morishita 10 ICANN：Notice: Rogue WHOIS Server Exploit ICANN Lookup 

予告：メール認証に関するその後の動き • 証明書の発行・更新の自動化・MPIC*1・失効期限遵守の厳格化の対応を 進めるため、それらへの対応が難しいメール認証を段階的に全面廃止する 提案の草案が、 2025年7月12日にGoogleの担当者から公開されました。 • もしかすると、メール認証そのものも風前の灯なのかもしれません。 Copyright © 2025 Yasuhiro Orange Morishita 11 Exploring an alternative approach to the Validation Summit *1 証明書発行時のドメイン名の権限確認の手順に別拠点からの確認を追加する仕組み。DNS認証・ファイル認証に対応。 

ありがとうございました！ Copyright © 2025 Yasuhiro Orange Morishita 12