0
いいね!でマイページに保存して見返すことができます。
Webサイトを運営している企業にとって、自社名や商品、サービスなどの名称をドメイン名として取得する行為は欠かせない。そんなドメイン名は、転売、営業妨害、フィッシングサイトなどを目的として、第三者によって不正に申請、取得されることでビジネス上のさまざま問題が起こり得る。こうした際に、企業はどのような対策がとれるのだろうか。JPCERT/CCではまさにこの問題を経験し、解決するまでの措置の詳細を公開している。類似ドメイン名を不正取得された場合の対処方法のひとつとして紹介しよう。
法人(企業)にとって重要なドメイン名の価値
ドメイン名は、世界中に開放され個人、企業を問わずほぼ自由に取得することができる。取得や維持管理にはそれほどのコストがかからず、個人でもブログ向けに取得している人も少なくない。
企業のビジネスを成長させる上で、ドメイン名は重要だ。ドメイン名はインターネット上の企業名として認知され、商品やサービスを代表する名前としてもブランド化が進んでいる。直接的なコスト以外に無形の価値が高いのもドメインの特徴だ。
そのため、悪意のある第三者にドメイン名を狙われることもある。転売をはじめとする不正な目的であらかじめ大企業の名前や商品に類似したドメイン名を大量に取得するという個人や企業も存在する。
企業が自社の商品やサービスの名前で自社ドメインを取得しようとして調べたらすでに取得済みで、登録者にコンタクトすると買い取りを打診されたり、ある日突然「『〇〇.jp』(〇〇はその企業名やサービス名)というドメイン名を持っているが買わないか?」といった連絡をもらったりすることもあるのだ。
ドメイン名の不正取得への対応策は
セキュリティ面では、正規サイトのドメイン名と類似したドメイン名を取得した第三者が「悪意のある攻撃者」であるリスクを認識しなければならない。
事実、フィッシングサイトや攻撃サイトに悪用するというケースも多く、たとえば正規サイトのドメイン名のタイプミスや類似した名前、orgやnet、国別ドメインといった上位レベルのドメインを変えたものは、フィッシングサイトで使われやすい。
第三者にドメイン名を不正取得されていた場合には、いくつかの対応策がある。
1つめは、企業がドメイン名取得する前の段階で、偽ドメイン名や類似ドメイン名への対策として、類似するドメイン名もいっしょに申請するという対応だ。
たとえば、「〇〇.jp」を取得するなら、すぐに利用予定がなくても.co.jp、.com、.net、.orgなど主だったものを予防的に申請、取得しておくのである。
2つめは、取得されただけの類似ドメイン名に関しては静観しておくという対応だ。とくに取得者の目的が転売の場合、その交渉に応じたり騒いだりするのはむしろ逆効果になる場合もある。
転売目的でドメイン名を取得したなら、彼らにサイトを運営する意思も予算もないはずだ。また、買い取りが拒否されたら投資(仕入れ)がムダになるわけで、むしろ彼らの方が困ることになる。
しかし、こうした対応には限界もある。ドメインには.comや.orgといったジェネリックトップレベルドメイン(gTLD)をはじめ、国別ドメイン、汎用ドメインなどは無数にあるため、すべての組み合わせを申請するというのは現実的ではない。予防的な取得は相手の選択肢を狭めるだけで根本的な対策にはならないのだ。
JPCERT/CCが実施した「ドメイン名紛争処理」とは
ドメイン名を不正取得されてしまった場合の対策事例として、JPCERTコーディネーションセンター(JPCERT/CC)のケースを紹介したい。
事の発端は2017年2月、JPCERT/CCが外部から「『jpcert.org』というドメイン名が第三者に取得されている」という通報を受けたことから始まる。
JPCERT/CCの正式ドメイン名は「jpcert.or.jp」であり、これは1996年から使われているものだ。
JPCERT/CCでは、以前から類似ドメイン名のリスクは把握しており、内部では「jpcert.com」や「jpcert.net」のようなドメインを予防的に取得するかどうか議論されたこともあった。.orgはその対象のひとつだったという。
JPCERT/CCが真っ先にとった行動は、「類似ドメイン名が取得されたがこのドメイン名は当組織と無関係である」というアナウンス、周知活動だった。
その後、「類似ドメイン名をすべて申請するのはきりがない。過度な保護はドメイン名の自由度を阻害する」として取得を見送ると決定していた。
この判断は現実的ともいえる。前述の通り、第三者側は企業が取得していない類似ドメイン名はいくらでも取得できるため、完全な予防は難しいためだ。
しかし実際に同社がドメイン登録者情報のパターンを分析したところ、jpcert.orgを取得した会社はダミーであり、本当の主体はChChesというハッカー集団である可能性が高いと判断したのだ。そこで同社は、この判断の後に「ドメイン名紛争処理」を行ったのである。
【次ページ】ドメイン名紛争処理というスキーム
関連タグ