ニュースレターNo.85/2023年11月発行

ドメイン名を巡るトラブルを回避するために ～ドメイン名のライフサイクルマネジメント～

01 はじめに

JPNICは、 2002年4月に株式会社日本レジストリサービス(JPRS)にJPドメイン名の登録管理業務を移管し、 現在は紛争処理に関するポリシー策定をはじめとしたJPドメイン名の公共性を担保するための業務のほか、 JPドメイン名に限らないドメイン名全般に関する一般的な各種情報提供や問い合わせ対応などを行っています。

いただくお問い合わせの中で比較的数が多いのは、 ドメイン名の登録期限切れと、 自身が手放したドメイン名の第三者による再登録(ドロップキャッチ)についてです。 ドメイン名の登録は誰でも気軽にでき、 数千円ほどの登録料で30分もあれば完了するものですが、 インターネット上での住所となるものだけに、 組織にとっては知的財産の一部であるという認識の下で商標といったものに準じたマネジメントをしていかなければ、 予期せぬトラブルでその住所を失う事態に容易に陥ってしまい、 組織のレピュテーションにも多大な影響を与えます。 そうならないためには、 そもそも新規のドメイン名登録が必要かどうかの検討を慎重に行った上で、 登録したドメイン名を適切にメンテナンスすること、 廃止に至るまでをよく考えることが必要です。

かくいうJPNICでも、 イベント実施に関連したドメイン名登録で、 不適切と思われる取り扱いを行い、 経緯を公表するに至りました^※1。

本稿では、ドメイン名を巡るトラブルを回避するために、 そのマネジメントについて解説していきます。 ドメイン名の登録や管理に関わってる方だけではなく、 ドメイン名を利用している企業の経営者や商標、 経理などを担当している部署の方にも目を通していただき、 適切なライフサイクルマネジメントの重要性を理解し、 社内で連携していただければ幸いです。

02 ドメイン名とは ～登録と失効、維持には更新が必要～

郵便で手紙を送る時に住所が必要であるのと同様に、 インターネットで電子メールを送ったりWebサイトを見たりするためには、 相手がインターネット上のどこにいるのかを特定する必要があります。 ドメイン名は、言ってみれば「インターネット上の住所」にあたるものです。 ドメイン名の仕組みおよび種類についての詳細はここでは割愛しますが、 次のWebページで解説しています。

ドメイン名を使用するためには、 ドメイン名登録機関に対し「登録申請」をする必要があります。 「登録」を専門的に言うと、 トップレベルドメイン(TLD)ごとに存在する登録管理組織(レジストリ)から、 登録が認められている期間に限り、 登録しようとするドメイン名の管理権限の委任を受けることです。 より一般的な言葉で表現すると、 登録料などを払い続けている期間、 レジストリが定めた登録規則の範囲内で、 そのドメイン名を自由に利用できる、 という意味になります。 その意味で、 ドメイン名は言わば「延長は可能なものの、 期限を限ったリース」であり、 ドメイン名そのものが登録者の所有物になったりするわけではありません。

そのため、登録を維持するためには、 多くのドメイン名で費用の支払いを伴う更新手続きが必要になります。 ドメイン名は1年もしくは複数年単位で登録を行いますが、 支払いがなされない場合には登録が取り消され(失効し)ます。 また、一度登録が取り消されたドメイン名については、 一定期間を経た後に再び誰でもが早い者勝ちで登録できる状態に戻ります。 廃止後に他の誰かが使えないようにした方が良いという主張を行う人もいますが、 大勢を占めるには至っていません。 利用者は、 ドメイン名は再利用される可能性があるものだという認識を持つことが重要です。

また、 ドメイン名登録にあたり他者の権利を侵害するような文字列の登録は多くのトップレベルドメイン(TLD)で禁止されていますが、 商標などと異なり事前に審査などはないことが一般的です。 これは、 問題のある登録に関しては、 ドメイン名紛争処理方針(DRP; Domain Name Dispute Resolution Policy)^※2に基づく審理などで事後的に解決するという、 ミニマル・アプローチと呼ばれる概念が導入されているということが背景にあります。 このような仕組みとなっているのは、 ドメイン名の空間を有効に利用して必要に応じて再登録も可能とし、 登録にかかる手間と時間を減らすことで、 ユーザーが簡単に廉価な費用でドメイン名を登録できるようにするためです。

03 よくあるトラブルその1 ： ドメイン名のうっかり失効

前述のような仕組みのため、 よくあるトラブルの一つが「うっかり失効」です。 一番多いのは単純なクレジットカードの登録期限切れなどに起因する支払い忘れですが、 それ以外で見落としがちなのが次のようなケースです。

登録情報が正しくない

ドメイン名を登録した際に入力情報が古いままアップデートしていない場合、 更新に関する連絡が届かないことがあります。 「携帯電話のキャリアやISPを変えてメールアドレスが変わった」「担当者が退職したが引き継ぎ時に情報を変更していない」「宛先をメーリングリストにしていたがシステムや体制の変更により誰も受け取れなくなっていた」などのケースのほか、 WHOISでの公開を嫌っていい加減な情報を登録していたために、 必要な連絡が届かなかったというケースなどもあります。

更新時期を把握できていなかった

比較的多いのが、複数のドメイン名を異なる時期に登録し、 かつそれぞれを別々のレジストラ(登録事業者)などで利用していたことから、 更新時期も業者もバラバラになっていたため、 更新し損ねてしまったというケースです。 企業利用で各部署が独自にドメイン名登録をしている場合などは、 より危険性が高まります。 また、更新忘れを防ぐために、 複数年度分の登録費用を先払いできるTLDでそのようなサービスを利用していたところ、 更新作業が5年や10年に1度になり、 かえって更新を忘れてしまうケースなどもあります。

単純な更新忘れに対しては、 法人であれば連絡を受けるメールアドレスなどを個人宛ではなくてグループ宛にすることや、 請求書払いにすることなどで、 その危険性を下げることができます。

また、ドメイン名のうっかり失効については、 TLDによっては救済サービスを用意しているところもあります。 先願制による再登録が可能になるのを待って登録を試みるという方法もありますが、 実効性を考えるとあまりおすすめできません。 別途費用はかかりますが、 このようなサービスの利用を検討しても良いかと思います^※3。

04 よくあるトラブルその2 ： 廃止されたドメイン名の第三者による再登録(ドロップキャッチ)

ドメイン名登録が更新されなかった場合は、 廃止されたのち一定期間を経てそのドメイン名は再び登録が可能となりますが、 そのドメイン名を再登録する行為を「ドロップキャッチ」と呼びます^※4。 それ自体は登録管理のルール上特段問題のある行為ではありません。

使っていたドメイン名を更新し忘れたユーザーが、 自分で再登録を試みる場合もあります。 しかし話題になっているのは、 他者が登録していたドメイン名を自分が登録する手段として、 現在の登録者がドメイン名の更新をし忘れたタイミングを狙い、 元の登録者よりも早く登録するという行為です。

既に登録されているドメイン名は、ある程度のアクセスが見込め、 そこに設置した広告などから利益を得られる可能性があるなど、 何がしかの価値があると見なされて対象となるようです。 フィッシングやマルウェア配布を試みる人間にとっても、 そのようなドメイン名は魅力的です。 現在では、業者や個人によるドロップキャッチは、 専用の高速回線を用意する、 自動的に登録を試みるといった手法が用いられています。 また、規約の範囲内で、 ドメイン名の登録に利用していたレジストラなどが自らドロップキャッチを行うこともあります。

そうやってドロップキャッチされたドメイン名は、 オークションに掛けられることもあります。 先日、有名企業が以前行っていたサービスで利用していたドメイン名がオークションにかけられ、 高額な落札価格となったことが報道されましたので、 目にした方も多いと思います。

ドロップキャッチによる弊害

以前報道された通り、 企業や官公庁が利用していたドメイン名が失効、 もしくは廃止した後にドロップキャッチされてアダルトサイトになったりした例は枚挙にいとまがありません。 以下に例をいくつか示します。

また、 当該ドメイン名を用いて第三者がWebサイトを作るというケースだけではなく、 もう少しわかりにくい形で影響が出るケースもあります。 例えば、プログラムやスクリプトなどを置いて、 データの読み出し先や保存先として外部のサイトを参照している場合などです。 その参照先となっているドメイン名の登録者が変わると、 本来意図としていないサイトにデータを渡してしまったり、 読み出したりしてしまう事態が発生していまいます。

政府におけるドメイン名の取り扱い基準

こうした事態を防ぐために、 日本政府では、以下のガイドラインが制定されています。 これは「政府機関等の情報セキュリティ対策のための統一基準群」平成30年度版案に関する意見募集が行われた際に、 JPNICも意見を提出し、その結果、 政府が登録するドメイン名に関する以下のガイドラインが掲載されました。 これにより、 新規にgo.jp以外のドメイン名を登録して使うことは原則できなくなってはいます。 このガイドラインは、 今後デジタル庁で検討・更新されることになるようです^※5。

05 よくあるトラブルその3 ： 年号などを入れたドメイン名の登録で起こる問題

イベント実施などで、 年号などを入れたドメイン名を登録する際にも注意が必要です。 先回りしてドメイン名を登録されて以降の年に使えなかったり、 マルウェアを配布するような模倣サイトなどが作られたりすることがあります。

06 ドメイン名のライフサイクルとそのマネジメントの必要性

こうした事態を防ぐためには、 自社によるドメイン名登録を維持し続けたい場合は更新を忘れないように十分に注意すること、 意図してドメイン名の廃止をする場合であっても、 第三者によるドメイン名登録が起こる可能性があることをあらかじめ認識しておく必要があります。 ドメイン名を登録する際には登録のことだけではなく、 どのように利用し、 使わなくなった場合にはどのように廃止するのかを考えておくことが重要だということです。 つまり、ドメイン名のライフサイクルを把握し、 マネジメントしていく必要があります。

ドメイン名は、登録が行われた後は、 更新し続けられている間は登録中の状態が維持されますが、 登録者が意図して廃止を行ったり、 意図せず期限切れを迎えて失効させてしまった場合は、 ステータスが削除待ちの状態に変更され、 一定期間その状態に置かれます。 gTLDやJPドメイン名など一部のTLDでは、 この状態になったドメイン名に対して登録を回復するための猶予期間が設けられ、 その期間であれば手数料を払うことで元の状態に戻すことができる場合もあります。 そういった削除準備のための期間が過ぎると実際にドメイン名の削除が行われ、 一定期間が経過した後に再びそのドメイン名を誰もが先願で登録できる状態に戻ります。

gTLDとJPドメイン名のライフサイクルについては、 それぞれWebサイトで公開されていますので、 詳細についてはそちらをご覧ください。

ドメイン名ライフサイクルのマネジメント

まとめると、ドメイン名登録に関しては、 次のような場合にリスクが発生することを認識しておく必要があります。

• 使い捨て目的でドメイン名を登録
• 時限的なイベントのためにドメイン名を登録
• 合併やサービスの統廃合、組織のポリシー変更などに伴い、 現在利用中のドメイン名を廃止し別のドメイン名に乗り換え
• ドメイン名の利用を中止し、数年間ドメイン名の登録のみ維持

これらは、 当該ドメイン名を廃止した場合はすべてドロップキャッチされるリスク、 または文字列が著名なもので利用価値があると判断されればオークションにかけられる可能性もあります。 また、廃止前であっても、 (期限切れ案内などを装った)フィッシングメールなどを送り付けて不正に乗っ取られる、 などのリスクもあります。

ドロップキャッチされたドメイン名が、 自社の持つ商標などを含んだ文字列等であり、 その登録が不正な目的によるものであると立証できる場合は、 ドメイン名紛争処理(DRP)で取り返せる場合もありますが、 裁判ほどではないにしても時間も費用もかかりますし、 必ず取り返せるわけではありません。 また、ドメイン名の文字列が一般的なものである場合などは、 DRPの対象にならない場合もあり得ます。

ドロップキャッチを防ぐための一番有効な対策は登録を維持し続けることですが、 それには費用がかかります。 ドメイン名を使わなくなった後Webサイトなどは廃止した上で、 しばらくはドメイン名のみ登録を維持し、 その間に当該ドメイン名へのアクセス数を観測して減少を見届けるなど、 ドメイン名の価値を下げてから廃止を試みるのも一つの方策かもしれませんが、 どこまで下げればいいのかの見極めは難しく、リスクは残ります。

一旦ドメイン名を登録すると、 登録を維持する間にコストと手間がかかるだけではなく、 登録を廃止する場合にも多大なコストとリスクが発生します。 そのため、登録をすること自体は非常に簡単ですが、 ドメイン名を登録するその前に、 登録しようとしているドメイン名のライフサイクル全体を見通して検討する必要があります。 政府におけるドメイン名の取り扱い基準などを参考にして、 まずは登録済みのドメイン名の一覧を作成し、 新規にドメイン名を登録する際には、 本当に長く登録する価値があるものなのかを自問することが必要になります。

07 登録者が取れる主な対策

ドメイン名のうっかり失効やドロップキャッチについて採れる対策はいくつかありますが、 まずは基本的な対策を採っておくことが重要です。 登録者は次のようなことを心がけておくことで、 今回取り上げたうっかり失効やドロップキャッチに限らず、 トラブルに巻き込まれるリスクを大幅に小さくすることが可能です。

• まずは自身が登録しているドメイン名の一覧を作成し、 管理する部署を明確にすること。 管理部署を一元化できるとなお良いです。
• ドメイン名登録情報を適切に維持管理して、担当者や住所、 電話番号、 メールアドレスといった情報を常に最新のものにしておくこと。 今すぐWHOISで現在の登録状況を確認しましょう。
• 支払いサイクルや支払い方法、 更新通知の受け取り方などを工夫して、 ドメイン名の登録更新忘れの可能性を最小化すること。 レジストラからの連絡先が個人宛で電子メールのみになっていたりしませんか？ クレジットカードの有効期限は切れていませんか？
• 登録に利用するレジストラやリセラといった業者を選択する際は、 価格やサービス内容に加えて、 トラブル時の対応能力や経験なども考慮に入れて、 自分にとって必要なバランスを持った業者を選択すること。 うっかり失効時の対応については、 事前に調べておくと安心です。 複数の業者を利用している場合には、 ドメイン名を移転して業者を集約することも検討に値するかもしれません。
• ドメイン名の管理を完全には業者任せにせず、 自身が登録に責任を持つ者としての意識を持つこと。 担当者の1人としてでも良いので、 自組織の人がレジストラから連絡を受け取れる状態になっているでしょうか？
• ドメイン名を登録する際には必要性を十分に考えた上で登録し、 登録を廃止する際には廃止後に起こりうる事態を十分に想定しておくこと。 起こりうるケースごとに事前におおまかでもいいので対応方針を決めておくことが重要ですし、 廃止しないというのも有用な選択肢の一つです。
• 登録回復制度や紛争処理の制度など、 自身が登録しようとしている、 もしくは登録しているドメイン名について、 登録の枠組みやルールなどを十分に知っておくこと。 申請などに期日の制限がある制度もあるため、 事後に調べていては間に合わないものもあります。

08 おわりに

今回は誌面の都合でドロップキャッチなどを中心に取り上げましたが、 下図で示すようにドメイン名のライフサイクルにおいてはさまざまなリスクが存在します。

ドメイン名は企業のWebサイトやメールアドレスなどとして使われ、 今では大変重要なものとなり、 使えなくなることは企業活動などに大きな影響を与えます。 事後の対応策などもありますが、 それなりの時間や費用などがかかることもありますので、 まずはそのようなことが起こらないような事前の対策を採っておくことが重要です。

個別のTLDに関する詳細や、 申請など具体的な手続き方法などは各レジストリ(登録管理組織)やレジストラ(登録事業者)などにお問い合わせいただきたいのですが、 一般的な内容であればJPNICでも問い合わせを受け付けています。 また、Webページでも情報提供を行っていますので、 ぜひご活用ください。 また、本稿の監修にご協力いただいた日本DNSオペレーターズグループ(DNSOPS)^※6は本件に関する啓発活動に長く従事しており、 普及啓発の資料もありますので、 それらにもぜひ一度お目通しください^※7。

(JPNIC インターネット推進部 是枝祐、山崎信
監修：日本DNSオペレーターズグループ)