要約

  • AFRINIC の後年の監査は、中心的なガバナンス問題が、有効なリクエスト、ポリシー評価、承認、在庫移動、公的 WHOIS 記録の間の連鎖の破綻にあることを示した。腐敗リスクは、単一の役割が独立したチェックなしに複数のリンクを変更できる場合に増大した。
  • WHOIS は管理権の公的表明であり、合法的な割り当ての自己証明証拠ではなかった。変更された記録は、基盤となるチケット、承認、在庫の正当性が欠如または争われている場合でも、権威的に見える可能性があった。
  • AFRINIC の利用可能プールから取得されたアドレスと、レガシー記録の変更との区別は重要である。前者は見せかけの権利の創出に関わり、後者は歴史的に脆弱な記録における身元と管理権の置き換えに関わる。
  • スキャンダル後に AFRINIC が説明した統制—上級者による最終審査、変更のトレーサビリティ、日次調整、限定された特権、恒久的な監査メカニズム—は、2019年以前により強力な保護が必要だった統制面の地図として読まれるべきであり、以前にすべての保護が欠如していた証拠としてではない。
  • 理事会の説明責任は、理事が疑わしいブロックに付随する名前を個人的に知っていたかどうかではなく、レジストリのコアアセットに対する運用監査、例外報告、閉鎖証拠を要求したかどうかで測定されるべきである。

ファイルこそが機関であるべきだった

インターネット番号レジストリはアドレス空間を製造するわけではない。有限の在庫を管理し、その定義された部分を使用する権利がある者を記録する。その控えめな説明には、異常な権力の集中が隠されている。ホストマスターはニーズを評価でき、運用チームはブロックを利用可能から委任済みに移動でき、公的記録はその結果をネットワーク、ブローカー、セキュリティ研究者、想定保有者に確定したように見せることができる。これらの行為が適切に分離され文書化されている場合、割り当てファイルは機関そのものであり、エントリを正当化する理由、承認、履歴を保存する。そうでない場合、公的記録は魅力的な虚構になり得る。

2019年に AFRINIC をめぐって浮上したスキャンダルは、しばしば悪人物語に圧縮される。それは感情的にすっきりし、制度的には役に立たない。名前のある従業員は解雇できる。刑事告発もできる。どちらの行動も、なぜ不正な変更が可能だったのか、なぜ異常が持続したのか、なぜ内部証拠が決定的な審査を引き起こさなかったのか、なぜ部外者が custodian 自身が公に作成していなかった画像をまとめるのを助けたのかを説明しない。スキャンダルを加害者の伝記として扱うレジストリは、有効化システムをほとんど検討しないままにする。

より要求の厳しい問いは、2013年から2019年の間に割り当てファイルが何を証明する必要があったかである。それは、識別可能な申請者が適格であること、資源リクエストが存在すること、スタッフが当時のポリシーに照らしてリクエストを評価したこと、承認された数量が実証されたニーズと一致すること、該当する場合に契約および支払条件が満たされたこと、在庫が承認された者によって変更されたこと、公的 WHOIS エントリが承認された結果を再現し、捏造していないことを示す必要があった。すべての後の修正には、独自の権限、行為者、タイムスタンプ、証拠、承認が必要だった。レビューアはその連鎖を前後に移動できるべきだった。

AFRINIC の2021年 WHOIS データベース正確性報告書は、後の調査が何を見つけたかについて最も強力な公的制度的説明を提供する。それによると、監査は2005年から2019年までに資源メンバーに委任された2,824の IPv4 プレフィックスの記録をチェックした。9つにはチケット番号がなく、2012-13年に行われた Fiber Grid の割り当てに関連していた。チケット参照のある2,815の記録のうち、2,800には評価された資源リクエストが含まれていたが、15の不整合は以前の登録移転プロジェクトを通じて他のレジストリからインポートされたプレフィックスに関するものだった。これらの数字は、割り当て全体が混沌としていたことを示しているわけではない。彼らはより正確なものを示している:ほとんどが埋められたアーカイブには、その結果が非常に大きかった少数の例外的なファイルのセットが含まれており、機関は外部の危機が発生する前に例外を検出する方法を必要としていた。

例外率はパーセンテージで表現すると安心に聞こえることがある。レジストリにとってはそれが間違った分母である。1つの裏付けのない/14は262,144アドレスを表す。1つの裏付けのない/16は65,536を表す。管理リスクは、欠陥のあるチケットの単なる数ではなく、影響を受ける資源の量、ステータス、可逆性に従う。99%の文書化完全性を報告する監査は、欠落した1%に大規模なブロック、特権的な変更、または収益化可能な記録が含まれている場合、依然として重大な失敗を隠すことができる。希少性は、少数の例外的なファイルをバランスシートサイズの誘惑に変えたが、アドレスを私的財産にはしなかった。

決して一つに崩れてはならない4つの行為

割り当ての完全性は、評価、承認、実行、公表の4つの行為を分離することに依存する。評価は、申請者とリクエストがポリシーを満たすかどうかを尋ねる。承認はその評価を制度的決定に変換する。実行は在庫と関連する内部記録を変更する。公表は外部が WHOIS および関連サービスで見るものを変更する。小さな組織では、1人の従業員が複数の段階に貢献することがあるが、重要な割り当てはその従業員の裏付けのない行動だけで完了すべきではない。

最初の分離は、ケースを開発するアナリストとそれを承認する人物の間である。ホストマスターは必然的に判断を行使する。ポリシーはすべてのネットワーク計画、利用パターン、企業形態を予見することはできない。その裁量こそが、二度目の審査が重要である理由である。レビューアは単にボックスが埋められたことを確認するだけではなく、アイデンティティ、適格性、数量、関連組織、以前の割り当て、異常な速度、地域外の指標、利益相反に挑戦するべきである。大規模または例外的なリクエストは、より高い承認階層に移動すべきである。承認者のアイデンティティと根拠は、資源がプールを離れる前に固定されるべきである。

2番目の分離は、承認と技術的実行の間である。運用インターフェースは、承認されたプレフィックスと組織が提案された変更と一致する不変の承認参照のみを受け入れるべきである。スタッフが直接宛先組織を作成し、ブロックを分類し、在庫を変更し、WHOIS エントリを公開できる場合、機関は権限の連鎖を強力なアカウントに置き換えたことになる。そのようなアカウントをログに記録するだけでは不十分である。疑惑が生じた後にのみ監視されるログは、予防的管理ではなく、法医学的残渣である。

3番目の分離は、実行と調整の間である。日次委任統計ファイル、内部資源在庫、会員システム、WHOIS は、同じ制度的行為の異なる表現である。システムが異なる時間に更新するため、時折違いが生じることが予想される。また、それらは可視的であり、経過時間が測定され、解消されるべきである。資源ステータス、組織ハンドル、プレフィックスサイズに関わる説明のつかない違いは、変更を行ったチーム以外の誰かが所有する例外を作成するべきである。例外は、支持する権限が添付されるか、記録が取り消されるまで開いたままにすべきである。

4番目の分離は、管理と保証の間である。割り当てを担当するチームだけが、その統制が適切であると決定するチームであってはならない。内部監査は完全なシーケンスへの読み取りアクセス、登録サービスと技術をカバーする権限、および経営陣に行動を要求できる委員会への報告ラインを必要とする。外部財務監査は、番号資源の変更を再構築せずに収益、負債、勘定をテストすることがある。クリーンな財務意見を受け取ったレジストリ理事会は、それによってコアレジストリが正確であるという保証を受け取ったわけではない。

これらの分離は官僚的な飾りではない。それらは、不一致が最も安価な瞬間に不一致を生み出す。レビューアは公表前に裏付けのないリクエストを止めることができる。調整者はアドレスがルーティング、リース、販売される前に不一致を特定できる。監査人は、カウンターパーティが依拠利益を蓄積する前にパターンを検出できる。年数が経過すると、すべての修正は、歴史的保有者、現在のユーザー、購入者、ネットワーク、レジストリ自体の間の競争になる。

WHOIS は獲得していない信頼を公表できた

2013年に公開された RFC 7020は、登録の正確性をインターネット番号レジストリシステムの中核要件として説明している。レジストリは一意性を確保し、割り当てに関する正確な情報を提供しなければならない。要件は運用上のものであり、装飾的なものではない。ネットワーク、インシデント対応者、資源保有者は、登録データを使用して誰がブロックの責任を持つかを理解する。しかし、WHOIS エントリは最終的な主張にすぎない。それを生み出した権限を証明することはできない。

この区別は AFRINIC 事件の中心にある。公的報道は、歴史的な WHOIS 記録、連絡先アドレス、ドメイン登録、ルーティング観測を通じて疑わしい変更を追跡した。これらの情報源は矛盾を暴露したため有用だった。それらは割り当てファイルの代わりにはならなかった。組織がプレフィックスを保持すると言う公的記録は、その時点でレジストリが何を表明したかを確立する。それは、組織が有効なリクエストを行ったこと、リクエストが承認されたこと、またはエントリを変更した人物がそうする権限を持っていたことを確立しない。

WHOIS の公的な性質は、機関内部でも誤った安心感を生み出す可能性がある。スタッフが一見首尾一貫した組織に登録されたブロックを見て、インターフェースが現在のエントリを開始真実として扱う場合、記録は自己検証を始める。後のサポートリクエストは、以前の不正な変更が挿入した連絡先から来たために受け入れられるかもしれない。メンテナー資格情報は、その後さらなる修正を可能にするかもしれない。取引ごとに、偽造された前提はより長い管理履歴を獲得する。

解毒剤は、単に現在の連絡先に対するより強力な認証ではない。妥協された主張は完全に認証され得る。レジストリは権限の根源を保存しなければならない:元のリクエスト、検証された法的アイデンティティ、ポリシー評価、承認、必要な場合の契約、支払い、プレフィックス決定、およびその後のすべての移転または更新。連絡先またはメンテナーへの変更は、次回の変更を誰が承認できるかを変えるため、特に精査に値する。組織のアイデンティティとそのアクセス資格情報の両方を置き換えるリクエストは、日常的なメンテナンスではなく、潜在的な支配権の変更である。

AFRINIC の後の報告書は、2017年8月以降、すべての WHOIS オブジェクトがメンテナーによって保護されていたと述べ、スタッフの変更とパワーメンテナーに対する PGP 認証を説明している。これらは認証されていない編集に対する有用な保護手段である。それらは、認証されたスタッフメンバーが特定の変更を行う実質的な権限を持っていたかどうかには答えない。アクセス制御はどの資格情報が行動したかを証明する。ガバナンスはなぜその行為が許可されたかを証明しなければならない。

その違いは、監視をアカウントセキュリティに還元できない理由を説明する。関連するアラートは技術的であると同時に意味的でもある。リンクされた承認リクエストなしに大規模なブロックが利用可能から委任済みに変更された、資源がレガシーとして再分類された、休眠中の歴史的組織に新しく登録されたメールドメインが与えられた、無関係な複数の保有者に共通の連絡先詳細が割り当てられた、移転の直前に組織ハンドルが変更された、または WHOIS には表示されるが会員システムには表示されないプレフィックスは、すべてのログインが成功したとしても調査を必要とする。

フリープールとレガシーエステートは異なる管理問題だった

後の監査は、影響を受けた資源を2つの大きなクラスに分けた。最初のクラスは、AFRINIC が利用可能プールから不正に取得され、正当性なしに組織に帰属されたと述べたアドレスである。報告書はこれらを2,371,584の IPv4 アドレスと定量化した。2番目のクラスはレガシー資源である:成熟した地域レジストリシステムの前に行われた割り当てで、AFRINIC の管理下に移行し、しばしば現在の契約がなく、時には名称変更、合併、解散、または知識のある連絡先を失った組織に付随していた。

この区別は、管理テストが異なるため重要である。利用可能プールからブロックを移動するには、同時期のリクエストと決定が必要である。在庫は、未割り当て空間の管理者として AFRINIC から始まる。したがって、裏付けのない委任は、有効な割り当てイベントの欠如を通じて可視化される。監査は尋ねることができる:リクエストはどこにあるのか、誰が評価したのか、誰が承認したのか、どのポリシーが正当化したのか、内部資源ファイルはどのように変化したのか?

レガシー変更はより難しいタイトル問題を提示する。ブロックにはすでに歴史的保有者がいる。レジストリは名前、連絡先、企業承継者、メンテナーの更新を求められることがある。機能しないメールアドレスは、資源が放棄されたことの証明ではない。新たに活動する請求者は、承継の証明ではない。決定的なファイルには、古い登録データ、企業記録、合併文書、対応、別のレジストリからの証拠が含まれる場合がある。独立した検証なしに古い連絡先詳細を置き換えることができる従業員は、欠席した保有者の代わりに話す人物を事実上選ぶことができる。

AFRINIC の報告書は、レガシーエステートを脆弱にした特徴を説明した:一部の保有者はレジストリとの契約上の合意がなかった;連絡先は退職または離脱していた;組織は解散または再編されている可能性があった;一部の疑わしい取引にはメンテナーパスワードの移転が含まれていた。報告書はまた、2012年から2015年の間の歴史的連絡先が、名前付き保有者と一致するように見えるが、組織の想定される歴史に適合するには登録が新しすぎるメールドメインに更新されることがあったと記録している。これはまさにレジストリが自動的にテストできる種類の異常である。

2つの問題は収束する可能性がある。監査は、AFRINIC のプールに留まるべきだった一部の資源が、販売取引の対象となる前に、想定されるレガシー空間としてタグ付けされていたと述べた。正確であれば、そのシーケンスは、ステータスフィールドがなぜ管理変数であって説明ではないかを示している。ブロックを再分類することで、新しい割り当て決定を必要とするプロセスから、古い権利のメンテナンスとして framing されたより曖昧なプロセスに移すことができる。割り当てを保護するが、軽く審査された再分類を許可するシステムは、最も強いゲートの周りにサイドドアを残す。

したがって、堅牢な設計は、ステータス変更を特権的な取引として扱うべきである。単一のアナリストがプールブロックをレガシーと宣言できるべきではない。変更には、歴史的な委任記録からの証拠、少なくとも2つの承認、レジストリの受領プール履歴との自動比較、および保証機能への通知が必要である。以前のステータスは不変のままであるべきである。後のレビューアが古い分類と新しい分類の両方、および移行の権限を見ることができない場合、レジストリは履歴を保存したのではなく、上書きしたことになる。

希少性は脅威を変えたが、使命は変えなかった

2013年から2019年の間に、IPv4 の希少性は管理上の弱点をますます価値あるものにした。AFRINIC は2017年に最終/8ポリシーの最初のフェーズに入った。公的市場と私的取引はアドレスに重要な価格を付けたが、多くの古い割り当ては十分に活用されず、文書化が不十分で、休眠組織に関連したままだった。管理的取り扱いと商業的価値の間のギャップは、明らかな腐敗の危険を生み出した。

しかし、市場価格は制度的な過ちを定義すべきではない。IPv4 アドレスは金庫の中の金属の棒ではない。レジストリはコミュニティポリシーの下で一意の識別子を管理する。裏付けのない割り当てからの即時の害は、機関が管理権について矛盾したまたは虚偽の主張をし、適格な申請者から希少なプール空間を奪い、ネットワークを後の撤回にさらすことである。二次市場はインセンティブを増幅し、依拠を増やすが、失敗は権限記録から始まる。

このことは、壮観な価値推定が救済策を歪める可能性があるため重要である。見出しはアドレス数に観測された価格を掛け、数千万ドルの損失を発表するかもしれない。そのような推定は規模を表現できるが、法的所有権、実現利益、または回収可能な損害を確立するものではない。また、どの管理が失敗したかを理事会に伝えるものでもない。ガバナンスにとって関連する単位は、不正な決定である:ブロックがどのようにステータスを変更したか、どの証拠が欠落していたか、どのアカウントが行動したか、どの審査がそれを止めるべきだったか、例外がどのくらい可視的であったか。

希少性は、スキャンダルの前に AFRINIC が精査を強化する原因となるべきだった。大規模な割り当て、レガシー更新、休眠記録への変更は、経済的に敏感な取引になった。機関はすべての従業員が腐敗していると想定する必要はない。貴重な特権は、最終的にエラー、圧力、共謀、または乱用を引き寄せると想定すべきである。メーカーチェッカー承認、強制休暇、高リスクキューでのローテーション、利益相反宣言、独立した例外サンプリング、自動異常検出は、その想定に対する通常の対応である。

脅威は最初の行為を超えて拡大した。疑わしい登録を持つブロックは、無関係なネットワークを通じてルーティングされ、顧客にリースされ、商業的取り決めの担保として使用され、公的記録を信じた購入者に販売される可能性があった。追加の当事者ごとに修正コストが上昇する。つまり、適時性は管理有効性の一部である。3年後に調査されたアラートは、過去を説明するのに役立つかもしれないが、法的および運用上の絡まりを防ぐのにはほとんど役立たない。

回顧的監査が実際に証明すること

AFRINIC の2021年報告書は不可欠であり、限定的である。それが機関自身のカテゴリー、方法、カウント、是正管理を特定するため不可欠である。後の調査が内部資源ファイル、WHOIS ログと履歴、委任統計、チケット記録、会員と資源リクエスト、逆 DNS、インターネットルーティングレジストリ、外部歴史記録、公的報告、内部通報者情報を使用したと述べている。これは、効果的な継続的管理システムが調整すべき証拠セットに近い。

それが限定的である理由は、AFRINIC が危機の後、法的紛争と警察の調査が進行中にそれを執筆したからである。それは、影響を受けた当事者によって争われた可能性のある不正流用と正当な管理権についての結論を述べている。読者は、レジストリの行政的発見と最終的な司法判断を区別すべきである。報告書は、AFRINIC が何を見つけ、どのような行動を取ったと述べているかを確立できる。単独で、すべての争われたブロックを解決したり、個人の刑事責任を確立したりすることはできない。

報告書の数字は修復の複雑さを明らかにする。2020年11月時点で、プールから回収され隔離された1,060,864アドレス、まだ審査中の1,310,720プールアドレス、実証されていない変更が取り消された467,968レガシーアドレス、 holding companies の要請で統合された394,496レガシーアドレス、管理権の決定を待って係争中の936,704レガシーアドレスをリストしていた。これらのカテゴリーは、修正が単純な削除操作ではなかったことを示している。一部の記録は復元でき、一部は企業統合を必要とし、多くは競合する主張を含んでいた。

AFRINIC は取り消しが遅いことを認めた。複数の組織が管理権を主張した場合、合意または適切な決定が得られるまで、さらなる WHOIS 変更に対してアドレスをロックした。保有者が更新リクエストに応答せず、異議もなかった場合、疑わしい更新は取り消され、合法的な保有者がデューデリジェンスを完了するまでアドレスはロックされたと述べた。これらの行動は現状を維持するかもしれないが、なぜ予防が重要だったかを示している:変更の前に権限を解決できたはずの割り当てファイルは、その後もきれいに解決するのに十分ではなかった。

報告書はまた、発見後に採用または強化された管理について説明している。自動化、追加チェックとトレーサビリティのための計画された変更管理ポリシー、資源と会員リクエストの最終上級審査、2019年6月に採用された詐欺・腐敗防止ポリシー、2020年に開始された独立した内部通報プラットフォーム、レガシー更新のための強化された検証、MyAFRINIC と WHOIS 間の日次不一致レポート、委任統計との比較、PGP 認証、役割による限定された資格、通常のスタッフ特権を超える変更のエスカレーションについて言及している。

これらの措置は、以前に何も存在しなかったという承認として読まれるべきではない。機関は、正確な前後の管理マトリックスを公開せずに改善を説明することがよくある。しかし、リストは分析的に明らかである。各措置は認識可能な失敗モードに対応している:自動化は裁量的な近道を制限する;最終審査は自己承認を中断する;トレーサビリティは誰が何を変更したかを保存する;調整は異なる記録を検出する;限定された特権は過度のアクセスを減らす;独立した報告は管理的抑圧を迂回する。改革リストは、以前の保証が不十分だった面を直接指し示している。

誰も挑戦しないログは単なるアーカイブである

完全な技術的ログが問題を解決しただろうと想像するのは魅力的である。それらは役立っただろうが、ログは、機関が何を検出するか、誰がレビューするか、どのくらい迅速に、そして次に何が起こるかを定義しない限り、管理ではない。承認されたスタッフ資格情報が組織ハンドルを変更したことを示す記録は中立的である。同じ人物がリクエストを評価し、変更を承認し、大規模なブロックを変更したことを示すアラートはガバナンス情報である。

効果的なレジストリログには少なくとも3つの層が必要である。イベント層は認証、行為者、時間、インターフェース、オブジェクト、旧値、新値を記録する。権限層はイベントをチケット、ポリシーバージョン、承認、証拠にリンクする。保証層は、自動チェックが合格したか、レビューアが変更を検査したか、どの例外が発生し、どのように閉じられたかを記録する。権限層がなければ、レビューアは何が起こったかを知るが、それが起こるべきだったかどうかは知らない。保証層がなければ、機関は誰かが見たことを証明できない。

ログはまた、改ざん耐性があり、関連する請求の存続期間中保持されなければならない。IPv4 の管理権は、スタッフ、システム、企業よりも長続きすることがある。短い運用保持期間は、日常的なアプリケーショントレースには賢明かもしれないが、/16の権威ある履歴にとっては壊滅的である。レジストリは、ステータス、組織、連絡先、メンテナー、チケット、承認の署名付き追加専用履歴を保存すべきである。機密性の高い申請者資料は、ハッシュと参照が完全性を維持しながら、別途保護できる。

アラート設計は価値とパターンに従うべきである。大規模なプレフィックス、同じ行為者による繰り返しの変更、通常時間外の更新、かなりの空間を受け取る新しく作成された組織、最近登録された連絡先ドメイン、無関係な保有者間でのアドレスの再利用、レガシー分類を含むステータス変更、権威あるストア間の不一致は、高価値のシグナルである。単一のシグナルが不正を証明するものではない。それらの目的は、証拠が新鮮なうちに第二の目を必要とすることである。

閉鎖は検出と同様に重要である。すべてのアラートは、4つの記録された結果のいずれかで終了すべきである:承認され支持された、エラーとして修正された、調査のためにエスカレーションされた、指名された上級役員による文書化された例外として受け入れられた。繰り返される良性の説明はルールを改善すべきである。同じ行為者、組織、ブローカーを含む繰り返される例外は、レビューを拡大すべきである。所有権なしに成長するアラートキューは、監視の外観を作り出しながら、リスクを熟成させる。

理事会はホストマスターである必要はなかった

理事はすべての割り当てを検査することはできない。試みるべきでもない。彼らの責任は、経営陣にコアレジストリが正確であり、例外が封じ込められていることを実証させることである。番号レジストリでは、その義務は財務諸表だけでは満たされない。希少な在庫と権限記録は、会計上の不一致として最初に現れることなく、腐敗が負債、訴訟、正当性の喪失を生み出す可能性がある運用資産である。

理事会は、すべての会合で簡潔な管理報告書を要求すべきだった。それには、新規割り当ての数とアドレス量、高リスクのレガシー変更、標準インターフェース外で行われた変更、在庫、会員、WHOIS 間の不一致レコード、経過時間別の未解決アラート、オーバーライド、特権アカウント、未解決の利益相反宣言、深刻度別の監査所見が含まれる可能性がある。報告書は申請者の秘密を暴露するものではない。それは理事に管理が機能しているかどうかを伝える。

当時公開された監査委員会の任務は、財務報告、内部財務管理、リスク管理、内部監査、情報システム、技術ガバナンスに言及していた。その範囲は登録サービスについて尋ねるのに十分広かった。しかし、2018年の公的議事録は委員会が内部監査人の採用について議論していることを示し、2019年4月の議事録は企業コンプライアンス、財務・会計、登録サービス、事業継続をカバーする内部監査計画を説明している。計画の存在は、問題が公になる前に関連するテストが完了したことの証拠ではない。

その区別—任務、計画、実行、発見、是正—は適切な説明責任の連鎖である。理事会はしばしば憲章を発表し、保証が続くと想定する。そうではない。委員会はリスクベースの計画を承認し、監査人がアクセスと独立性を持っていることを確保し、所見を受け取り、所有者と日付を割り当て、閉鎖を確認しなければならない。登録サービスが希少性が高まる数年の後、2019年の監査計画にのみ含まれた場合、理事はなぜコアアセットが以前に同等の運用テストの対象になっていなかったのかを尋ねるべきである。テストされていた場合、どのテストが裏付けのないステータスとアイデンティティの変更を検出できなかったかを尋ねるべきである。

個別の知識は依然として関連するが、唯一のテストではない。特定の警告を受け取り、何もしなかった理事は、決して知らされなかった理事とは異なる責任を負う。報告設計が重要な例外を理事会の視界の下に保った場合、機関は理事会が詳細な知識を欠いていたと言って身を守ることはできない。ガバナンスは部分的にその線の構築である。

公的報道は最後の手段の外部管理だった

MyBroadband、KrebsOnSecurity、その他のアウトレットによって公開された報告は、公的および商業的に入手された記録を不穏な説明にまとめた。彼らは歴史的なエントリ、企業、ドメイン、連絡先、ルーティングを追跡した。彼らの仕事は、不一致を機関や影響を受けた保有者がもはや簡単に無視できない形に強制したため、価値があった。それはレジストリの主要な検出メカニズムであるべきではなかった。

調査報道は割り当て決定とは異なる証拠基準を持つ。ジャーナリストは異常を特定し、コメントを求め、支持された推論を公開できる。記録を取り消すレジストリは、ブロックごとに権限を決定し、競合する請求者に適正手続きを提供しなければならない。その違いは報道を却下する理由ではない。それは、レジストリが独自の文書化された調査を実施しながら、信頼できる外部シグナルをリードとして取り入れる理由である。

報道には限界もある。価格推定は日付、ブロックの評判、取引条件、市場流動性によって異なる。歴史的な WHOIS サービスは不完全なスナップショットを含むことがある。企業リンクは、特定の資源取引が承認されたことを証明せずに、支配または関連性を示すことができる。ブロックからのルーティングは、それだけで登録を変更した当事者を特定するものではない。したがって、責任ある機関分析は、主張を属性付け、観察と結論を分離し、繰り返しを裏付けとして扱うことを避ける。

AFRINIC の後の所見は、中心的な懸念に対する制度的支持を提供した:その報告書は、内部スタッフが第三者と行動した可能性があること、APNIC の調査が懲戒手続きにつながったこと、元ホストマスターが権利と特権を乱用したことを述べている。また、正当性なしに帰属されたと結論付けたプール資源を定量化した。これらは重大な所見である。それらは依然として管理を検討する必要性を排除しない。逆に、内部関係者に対する所見が強ければ強いほど、内部関係者耐性がレジストリの設計の一部でなければならなかったという証拠が明確になる。

最も有用な公的質問は、従業員がなぜ利益を得ようとしたのかではない。希少な資源は明らかなインセンティブを生み出す。それは、日次在庫、チケット、変更履歴、アカウントデータを保持する機関が、なぜ異常をタイムリーで独立した挑戦に変換しなかったのかである。部外者は断片を見ることができた;レジストリは結合を持っていた。管理システムは、それらの結合を日常的に行うべきだった。

修復には、よりきれいに見える記録ではなく、証明可能な記録が必要である

スキャンダルの後、WHOIS を迅速に正しく見せるプレッシャーがある。そのプレッシャーは、公表を真実として扱うことによって元のエラーを再現する可能性がある。レジストリは、2番目の請求がよりもっともらしく感じられるからといって、裏付けのない保有者を別のものに置き換えるべきではない。証拠を保存し、継続性を保護し、不確実性を可視化する回復基準が必要である。

第一に、元の状態と完全な変更履歴を凍結すべきである。調査員はチケット、メッセージ、承認、身分証明書、ログ、委任統計、ルーティング観測、関連する企業記録のコピーを必要とする。第二に、信頼できる操作リスクに関連するアクセスは、証拠を消去せずに制限されるべきである。第三に、各ブロックは、プール起源、レガシー履歴、現在の登録、現在の使用、請求者の証拠、法的ステータスを分離するケース記録を受け取るべきである。

第四に、救済策は信頼度に一致すべきである。有効なリクエストがなく、明確な不正経路があるプールブロックは、通知と審査を条件に回収される可能性がある。競合する承継者を持つレガシーブロックは、裁判所または合意されたプロセスが管理権を決定する間、ロックが必要になるかもしれない。明らかな善意で購入した現在のユーザーは、正当な保有者に対する優れた請求権を持たないかもしれないが、突然の技術的混乱は依然として顧客に害を及ぼす可能性がある。登録修正、ルーティング現実、商業的救済は関連するが区別された質問である。

第五に、レジストリはケースを予断することなく、集計進捗を公開すべきである。ステータス別、アドレス量別、経過期間別、救済策別のカウントは、メンバーが機関が問題に取り組んでいるかどうかを評価できるようにする。公衆は、未解決の請求者に関する私的証拠や告発的な詳細を必要としない。彼らは範囲、決定ルール、審査経路、修正がより速くなっているかどうかを知る必要がある。

最後に、回復されたファイルはスキャンダル前のファイルよりも強力であるべきである。最終的なポジションを支持する証拠、すべての通知、異議、決定、レビューア、運用上の変更を含むべきである。現在の WHOIS エントリが整然と見えるとき、回復は完了しない。独立した人物がなぜそのエントリが今権威的であるかを説明できるときに完了する。

希少な公的レジストリのための管理アーキテクチャ

実用的な改革はエキゾチックでも懲罰的でもない。アイデンティティ検証はリクエストを主張するアナリストから独立しているべきである。大規模な割り当てとレガシー管理変更には2つの承認が必要である。システムは、承認されたプレフィックス、組織、ステータスを実行コマンドにバインドすべきである。現在と歴史的な記録は、権威層で追加専用であるべきである。特権は役割限定で、四半期ごとにレビューされ、義務が変更されたらすぐに削除されるべきである。誰も自分のアクセスを管理すべきではない。

調整は、資源在庫、会員記録、チケットシステム、委任統計、WHOIS 全体で日次実行されるべきである。高リスクの違いは、解決されるまでさらなる変更をブロックすべきである。内部監査人は、通常のファイルをサンプリングし、手続きが存在することを確認するだけでなく、すべての重要な例外を検査すべきである。監査委員会は所見を直接受け取り、是正を追跡すべきである。独立した報告チャネルは、スタッフ、メンバー、部外者が報復から保護されて懸念を提出できるようにすべきである。

利益相反管理も同様の注意に値する。資源評価に関与する従業員は、外部のビジネス、密接な財務的利益、ブローカーや申請者との関係を開示すべきである。申告は更新され、既知のカウンターパーティに対してテストされ、従業員の管理ライン外の誰かによってレビューされるべきである。申告は儀式的な形式ではなく、相反が現れた場合にケースの割り当てとアクセスを変更すべきである。

メトリクスは露出を隠す平均に抵抗すべきである。理事会は、チケット完了率だけでなく、アドレス加重の例外カウントを必要とする。最大の裏付けのないまたは未解決のブロック、最も古い例外、オーバーライド頻度、行為者別の集中、最初のアラートから封じ込めまでの時間を見るべきである。単一の/12の異常は、何百もの無害な連絡先修正よりも多くの注意に値する。

独立したレビューは、定期的にコールド再構築を試みるべきである。WHOIS からブロックを選択し、受領在庫または歴史的委任に戻るパスを証明する。次に、承認チケットを選択し、正確に公開されたブロックに進むパスを証明する。2つの方向は異なる失敗をキャッチする。フォワードテストは、誤って実行された承認されたアクションを見つける。バックワードテストは、十分な権限が存在しない公的エントリを見つける。

メンバーは、レジストリの負担を負わずに検証の役割を持つべきである。定期的なステートメントは、保有者に資源、連絡先、メンテナーの確認を求めることができる。非応答は、フォローアップと強化されたレビューを引き起こすべきであり、自動没収ではない。保有者は、その資源の変更履歴を取得し、不正な修正に迅速に異議を唱えることができるべきである。これにより、レジストリの自身の行為に対する責任を維持しながら、検出が分散される。

制度的評決

2013年から2019年の間に、AFRINIC は希少性と商業的有用性が急上昇した資源を管理した。その公的記録は、それを維持したオフィスをはるかに超える権威を持っていた。後の証拠は、一部のファイルと変更がレジストリが公表した主張を支えられず、修復には広範な回顧的調査、外部支援、懲戒処分、ロック、取り消し、訴訟に敏感な決定が必要だったことを示している。

その結果を一人の悪人の仕事と呼ぶことは回避である。内部関係者が乱用を開始するかもしれないが、その乱用に耐久性のある権威を与えるのは機関だけである。割り当てファイルは、各リクエストを独立した評価、承認、実行、調整、監査に強制するべきだった。変更履歴は、例外的な行為を迅速に可視化するべきだった。理事会は、すべてのプレフィックスを知る必要なく、管理環境の状態を知るべきだった。

教訓は AFRINIC を超えて広がる。分散型インターネットガバナンスはしばしば信頼、コミュニティ、技術的能力を称賛する。これらの美徳は管理を置き換えるものではない。レジストリの正当性は、その記録に示された人物が公正で文書化され、レビュー可能なプロセスを通じて権限を受け取ったことを証明する能力に依存する。それができない場合、損失は単なるアドレスの量ではない。機関は自らの言葉の管理を失ったのである。

情報源と分析の境界

主要な制度的証拠は、AFRINIC のWHOIS データベース正確性報告書であり、すべての資源紛争における最終判断ではなく、関心を持つ機関による回顧的説明として読まれる。RFC 7020は、レジストリシステムの一意性と登録正確性の要件を提供する。AFRINIC のアーカイブされた統合ポリシーマニュアルバージョン1.0は、スタッフが割り当て責任を行使した公的ポリシー環境を示す。2018年年次報告書と公表された理事会資料は、正式な監査権限と内部監査能力の開発を説明する。MyBroadband の2019年12月の調査は、属性付きの公的記録所見を提供し、裁定として扱われない。

この分析は、刑事責任、実質的所有権、損害、または争われているプレフィックスの正当な管理者を決定するものではない。2019年以降に説明されたすべての管理が以前に完全に欠如していたと想定するものでもない。公的に可視的な権限連鎖と、AFRINIC 自身の後の所見の制度的含意を評価する。証拠が主張、行政的発見、または推論のみを支持する場合、それはそのように扱われる。