Google がソフトウェアの欠陥から、有料のプライバシー保護サービスを希望していたドメイン登録者28万2000件あまりのWHOIS情報をウェブで公開していたことが分かりました。


Google が誤って公開状態にしていたことを認めたのは、Google Apps for Work の運用ドメインを Google 経由で取得したユーザーのうち、特にプライバシー保護を希望していた28万2000件あまりのWHOIS情報。

WHOIS はドメインの取得時に登録を義務付けられる連絡先情報で、ネット上で誰でも検索して参照できます。中身は氏名・住所・電話番号・連絡メールアドレスなど。


かつてはドメインを取得するのは企業や団体が主であったこともあり、技術的・法的問題が生じた際の責任の所在を示すため、またネットワーク管理者への連絡のために住所や電話番号までの登録が義務付けられていました。


現在もWHOISの登録義務は変わらず、怪しいサイトの黒幕を辿る際などにも有用です。しかし個人がメールアドレスと同じくらい手軽にドメイン取得して活用するようになった時代に、本物の氏名住所電話番号をネット公開することはプライバシー上のリスクが高く、スパムやら標的型攻撃やらなりすましなどの危険もあります。

このためドメイン登録業者によっては顧客のかわりに業者の連絡先を登録し、問い合わせがあった際には元のユーザーに転送するプライバシー保護サービスを提供していることがあります。


今回Google が漏洩を認めたのは、Google Apps for Work と提携する業者 eNom を通じて2012年にドメインを登録したユーザーのうち、このプライバシー保護サービスを特に希望し年6ドルの追加料金を支払った28万3000件あまり。

Google の説明によれば、ドメイン登録の更新管理プログラムに欠陥があり、登録は更新できたもののこの匿名化サービスは自動更新しなかったため、望まぬ形で公開されてしまったユーザーが発生したとされています。

今年2月にこの問題を発見した Ciscoのセキュリティ研究チームによると、有料で保護を希望したはずのWHOIS情報が公知状態になったのは2013年の半ばから。


Google は影響を受けたユーザーにはすでに個別に連絡しており、すでにWHOIS情報は隠された状態に直っているとしています。しかし一度データベースとして広くネットに公表された以上、氏名や住所を簡単に切り替えるわけにもいかず、影響を受けたユーザーへの潜在的なダメージはすでになされてしまったともいえます。


WHOISは形式的には正確な情報を登録しなければならないはずですが、実際に厳密に住所などを確認する手続きがあるわけでもなく、もとからメールアドレス以外は適当に入力している場合もよく見かけます。また企業の場合であれば、もとから公開しているはずの連絡先を登録すればよく、本来はダメージにならないはずです。

しかし今回の被害者はオプションのプライバシー保護を希望していたため、個人であったりネットで非公開の住所や電話番号を正直に登録した場合も多いと考えられます。(デタラメを登録したうえで隠そうとする周到なユーザーもいたかもしれませんが)。わざわざ有料で明示的にプライバシー保護サービスを希望したうえに漏らされてしまうのは実に皮肉な話です。