2021年にサービス終了となったNTTドコモの「ドコモ口座」のドメイン「docomokouza.jp」が、GMOインターネットのドメインオークションで出品されていたことに関して、ドコモは「社内管理の不手際」との理由を挙げた。また、そのドメインはドコモが再取得し、現在は同社が管理しているとのことを公表した。
ドコモ、一時的なドメイン紛失からの回復とその背景
現在、NTTドコモは各種サービスのドメインを「docomo.ne.jp」に一本化する取り組みを進行中で、使用中のものや過去に使用していたものも同社の特定部門で集中管理されている。しかし、「dokomokouza.jp」のドメインは、一時期、社内の管理ミスによりドコモの所有から外れていた。
「docomokouza.jp」は再取得され、不正利用のリスクは回避されたが、もしドコモのドメインが紛失した場合の対応について、同社は
弊社の商号、商標を含むドメインが第三者に取得されて不正に利用された場合は、JP-DRP(JPドメイン名紛争処理方針)という公的な指針によって必要な措置をすみやかに取る
とコメントしている。
JP-DRPは、ドメイン関連の商標権者とドメイン所有者間の紛争を解決するためのルールを設定しており、ドメインの不正取得や商標権者への妨害、ユーザーの混乱を招くような第三者の商標の不正登録などを防ぐ目的がある。申立てが認可されれば、ドメインの返還や削除が可能となる。
ドコモは
いろいろなケースがあるが、抹消や移転などの弊社側に戻すケースなどがある
と述べている。したがって、ドメインが第三者に移行しても、ドコモが完全に管理できなくなることはない。
オークションへのドコモの参加に関しては「具体的な回答は控える」とされ、402万円でのドメイン落札者がドコモであったかどうかは明らかにされていない。
GMOはなぜドコモのドメインを出品していたのか?
ドコモのドメインが一時的に失効した際、なぜGMOインターネットの「お名前ドットコム」でオークションに上がったのかという疑問に、GMO側は多くの顧客からそのドメインの取得希望があったためと回答した。
GMOは
具体的な情報について申し上げられないが、更新の期限が過ぎたドメインは一般に開放される状態になる。当社にそのドメインを取得したいという注文を受けて弊社が取得し、そのドメインに対し複数のお客様が取得を希望されていたのでオークション形式で出品した
と述べた。
「お名前ドットコム」には、既存のドメインを事前に予約し、期限が切れて取得可能になった際に自動で取得を試みる「事前予約サービス」が存在する。このサービスを利用して「docomokouza.jp」の取得を希望していたユーザーが多かったため、オークションが行われたのだ。
もし、取得希望者が1人だけだった場合、オークションは行われず、そのユーザーが直接取得できるとのこと。
公共性が高いドメインや二次被害のリスクがある場合の出品について、GMOは
前提として、弊社はレジストラーとして取得サービスを提供しているが、場の提供をしているというイメージで、お客様がどういう目的で取得するかなど、踏み込んでお客様を審査することは基本的にない
とも述べた。また
例えば、特定の文字列のドメインがあったとして、弊社として『これは悪質な利用の恐れがある』『この文字列は問題がある』などの価値判断は、どこで線引きするかも非常に困難であり基本的に行っていない
弊社に限らずレジストラー、ドメイン全体のルールとして、その文字列自体が悪用されるかどうかという判断ができないため、取得の段階で『これは話題になっているから取りやめよう』という判断は基本的にできない。あくまでも取得できる場を提供してほしいという方に、空いているドメインを取得いただくもの。我々の方で特定のものを規制する、取りやめるといった類のものではない
と明かしました。
GMOは、ドメインが不正に利用される可能性についても対応策を持っており、
JP-DRPへの案内や、弊社にも相談窓口を設けている。実際に被害の申告があった場合、調査・対応を行う
と明言した。
また、「docomokouza.jp」だけでなく、「covid19-info.jp」というドメインもオークションに出品され、322万円以上で落札されたことが明らかにされた。このドメインに関しても、出品基準は同様であり、落札者の詳細は公開されていない。
専門家の反応は?
ドコモとしては、遅くとも入札終了前に認知していたと考えられるゆえに、入札に参加して競り落とした可能性はあるでしょう。その場合、結局402万円はGMOインターネット参加の「お名前ドットコム」に入ります。しかし、入札の履歴も、whoisサービス(ドメイン所有者等の情報)を見ても、現在の所有者自体も秘匿されています。ドコモが現在、問題のドメインを所有している、管理しているということは事実でしょうが、入札に参加して競り落としたか、競り落とした落札者から買い戻したかは不明です。どちらにしてもドメインの管理が杜撰であったことは事実です。これはドコモだけではなく、現在でも自治体をはじめ、企業や企業で使ったイベントのドメインが事実上、入札を介して売買されています。これが悪用されることで大きな被害を誘発すると考えられることから、そのドメインを一度でも利用した自治体や企業は永遠にしっかりと管理を行うべきです。
ドコモが取り戻したことで、ひとまずは安心といえます。詳細は不明ですが、よくある事例としては連絡のメールが何度も送られているのに、担当者の異動などで届かず、致命的な事態になるまで気付かなかった可能性があります。
ドメインの更新忘れは、私が記憶している限りでも90年代から続いている問題です。管理の不手際が露呈した上に、かつて炎上した「ドコモ口座」の名前が再び報じられることで、ドコモのイメージダウンは避けられないでしょう。
一方、ドコモはドメインを「docomo.ne.jp」のサブドメインに統一していく対策を以前から進めていました。ドメインの取得ポリシーについては政府など公的機関でも問題になっていることから、見直す動きが広がりそうです。
ネットの反応は?
このドメイン管理の問題はもっと大きく取り上げてほしい。移転や合併で変更した後も、元の管理者が保有し続けない限りは悪用される可能性がある。といってもいつまで保有しなければいけないか、その基準も曖昧な上、負担にしかならない。 企業や公的機関が使用したドメインは、移転後は廃止するなど再利用できない取り組みを早く確率してほしい。
ドメインに一定の料金を払ったら永久抹消できる制度が導入されない限り、レジストラに毎年ドメイン代金を払い続けないと企業防衛が出来ないという状態が発生する。 特に通販系や金融系のサイトなどは要注意となる。 ドメインには600種類以上の分類があり、例えばdocomo.workやdocomo.siteはすでに第3者によって抑えられている。悪意を持ったものが取得すると大変なことに繋がり兼ねないので、企業側には「弊社管理ドメイン」という1ページをホームページ内につくり、ユーザーが企業が管理しているドメインなのか、第3者が持っているドメインなのかを明らかにするなどの工夫をして欲しい。
編集後記
docomo管理になったのだったら良かったけど、有名サイトのドメインに関しては何かしらの規定があった方が良いですよね。ドメイン種類が増え続ける中で全てを取得するなんて現実的ではないですからね。
コメント