鈴木淳也のPay Attention

第195回

ドコモ口座ドメイン名流出の背景 企業・政府におけるドメイン運用の課題

2020年9月10日に行なわれたドコモ口座の不正利用問題における対策強化の記者会見の模様

ここ数日、以前までNTTドコモが運用していた“ドコモ口座”のドメイン「 docomokouza.jp 」がドメインオークションに出品されていたことが話題になっている。ドコモ口座の不正利用に関する話題については以前のレポートを参照いただきたいが、その後、同社はドコモ口座を含む自社サービスのドメイン整理を2021年から2022年にかけて実行しており、「docomokouza.jp」についてもその整理作業の中で使用されなくなったドメインの1つとなる。

ドメイン整理の背景についてはYahoo!エキスパートの山口健太氏の記事が詳しいが、「docomo.ne.jp」ドメインへの統合によりシングルサインオン(SSO)の利用が容易になるほか、類似ドメインの悪意のある第三者の取得による詐欺行為を防ぐ狙いもあるとされる。

一方で、整理の過程で利用されなくなるドメインは移行期間のリダイレクト処理による対応以降は宙に浮く形となり、その後の運用体制が問題となる。ドコモでは移行後もドメインを保持する意向を示しており問題はないと思われたが、その後の結果が前述の「docomokouza.jp」のドメインオークションへの出品であり、管理体制における不備が明らかになった。

お名前ドットコムのドメインオークション。画像は終了済みのもの

ドメイン名流出の背景は“ケアレスミス”

なぜ保持を表明していたはずのドメインがオークションに流れる結果になったのか? ある情報源によれば、シンプルな“ケアレスミス”にあるという。

前述のドメイン整理の話が出た際、以後も保持を続けるドメインのリストをドコモ内部で作成していたものの、「docomokouza.jp」だけがなぜかリストから漏れており、そのまま失効してしまった。whoisなどの情報を参考にする限り、同ドメインが最初に登録されたのは2012年7月2日で、オークションに流れる前の有効期限は2023年7月31日。その後所有者移転が.jpドメインを管理する「お名前ドットコム」へと行なわれ、9月1日からオークションが開始されている。

[オークションの入札記録]を見る限り、当初はそれほど注目されていなかったものの、話題になり始めた9月23日以降に入札件数や金額が跳ね上がっており、最終的には132件の入札で402万円での落札となった。

「docomokouza.jp」のドメインオークションのページ

前述の情報源によれば、騒ぎが大きくなったことでドコモ内部でも問題を把握。お名前ドットコムを運用するGMOに“上限金額なし”での自動入札代行を依頼したという。実際、入札履歴を確認する限り25日の19時以降はすべて自動落札で即時対応しており、ドメインの買い戻しが最優先事項にあったことがうかがえる。

ドメインオークション終了間際の入札履歴

なお、リダイレクト処理でdocomo.ne.jpドメインへと誘導されるようになった「docomokouza.jp」を含むドメイン群だが、長らくサービスのメインとして使っていたこともあり、各所で当該サイトへのリンクが残っているケースがある。

今回は問題に気付いてドコモが買い戻したことで(400万円の損害を被ったものの)事なきを得たが、悪意ある第三者に譲渡されることにでもなればフィッシング詐欺の場所として機能する可能性もあった。ある情報源によれば、金融庁からの問い合わせがドコモにも入っているとのことで、金融サービスにかかわるドメインの運用について慎重な対応が改めて求められるだろう。

記事公開後にドコモから連絡があり、「現在ドメインの所有権はドコモにあり、今後の悪用の恐れはない。ドコモでは顧客の安心・安全を第一にサービスを提供していく。なおドメイン取得の経緯など詳細な回答は差し控える」(広報部)との回答を得た。また、今後のドメイン管理や取得方針について「ドコモでは(ドメイン整理を発表したタイミング以降に)専門部署を設けて社内のドメインを一括管理するようにしており、各部門が勝手にドメインの取得や運用を行えないようにしている」とも説明している。

一方で、こうした体制にもかかわらず「http://docomokouza.jp」のような“穴”が存在したわけで、現在は一斉点検を行なっており、さらなる“勝手”ドメインの洗い出し作業を進めている状態のようだ。

なお金融庁からは「ドコモ口座ドメインの問題については把握しているが、個別の行政対応についてはコメントできない」との回答を得た。

【更新】ドコモと金融庁のコメントを追加(9月27日2時)

ドコモだけではない、政府や企業の安易なドメイン取得問題

ドコモがやり玉に挙がる機会が多くなっているが、実際のところ、同じような問題を抱えているケースは他の企業や政府にも散見される。特にドメイン名は放置すると最短1年で失効してしまうため、長らくメインテナンスが行なわれていなかったり、ドメインを登録した担当者がサービスから外れてしまった場合などに、今回のように失効後にオークションに流れたり、空いた瞬間を狙って再取得されてしまうケースが想定される。

ドコモ口座。不正利用問題もあり2021年にサービス終了している

今回のドメインオークションで話題になった他のケースでいえば、「covid19-info.jp」の出品が挙げられる。whoisによればドメイン取得は2020年7月17日で、失効したのは2023年7月31日。そのため9月1日から「docomokouza.jp」と同じタイミングでオークションに出品されたとみられる。

このドメインの利用が厚生労働省から告知されたのは2020年9月1日で、Google Cacheの情報によれば、「外国人に対する新型コロナウイルス感染症に関する情報提供強化」を目的としたものという。ドメインが失効していることからも分かるように、すでにサイトとしての運用は終了しており、Web Archiveに記録された2023年5月13日の最後のサイト情報)でも厚生労働省のページへのリンクを残すのみとなっている。厚生労働省によれば、すでに内部のリンクもすべて同サイトから厚生労働省のページのものへと切り替わっているとしているが、地方自治体をはじめとして「covid19-info.jp」へのリンクがインターネット上に多数残されており、ドメインの取得による悪用は可能な状況だ。

「docomokouza.jp」と同じタイミングでは厚生労働省の「covid19-info.jp」の出品も話題に
外国人向け新型コロナウイルス情報提供のためのサイト運用開始をアナウンスする厚生労働省のプレスリリース(Googleのキャッシュから取得)

厚生労働省側では、同ドメインがオークションにかけられていることは把握しているものの、「その後ドメインの扱いがどうなったか」「.jpで情報提供用ドメインを取得した背景」「残されたリンクへの対応」については現在担当部署に確認中だという。このあたりは返答ありしだい追記していく予定だ。

ドメイン取得はプロモーションに最適なほか、サブドメインでは長くなりがちなURLを短縮することが可能で、「.com」や「.jp」ドメインの取得が容易なこともあって、ここ十数年ほどはサービス立ち上げなどに際して企業や自治体が広く利用するケースが見られた。一方でプロモーション期間も終わり、サイトのメインテナンスがされないようになるとドメインそのものも放置され、今回のケースのように失効後にオークションなどを経て第三者の手に渡ることも珍しくない。

金融サービスなどであればフィッシングに悪用され、商品サイトがポルノサイトなどに転用されてかえってイメージ悪化につながったりと、さまざまな弊害が起こりうる。

今回の教訓として、「重要なサービスでの安易なドメイン取得を避ける」「政府や自治体が“.jp”ドメインのような誰でも取得できるドメインを用いないこと」の2つが挙げられる。

ドコモの場合はケアレスミスによるドメインの失効だが、このクラスの大企業であればドメインの半恒久維持もできるかもしれないが、多くの企業にとっては多数のドメインの同時維持は大きな負担にしかならない。また重要なのが政府機関や自治体が、自身しか取得ができない「.go.jp」や「.lg.jp」のようなドメインを使わずに「.com」や「.jp」を用いてサイトを立ち上げることで、これではそもそも「政府のサイトだから比較的安心してアクセスできる」ということにはならない。同じことは企業サイトであることを示す「.co.jp」などでも言えるわけで、ドメイン本来の持つ重みを充分に活かして運用してほしい。

国内SIerでシステムエンジニアとして勤務後、1997年よりアスキー(現KADOKAWA)で雑誌編集、2000年にプロフェッショナル向けIT情報サイト「@IT」の立ち上げに参画。渡米を機に2002年からフリーランスとしてサンフランシスコからシリコンバレーのIT情報発信を行なう。2011年以降は、取材分野を「NFCとモバイル決済」とし、リテール向けソリューションや公共インフラ、Fintechなどをテーマに取材活動を続けている。Twitter(@j17sf)