偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~

JPCERT/CCでは2017年2月10日に類似ドメイン名(jpcert.org)を第三者に登録されたことを契機にドメイン名紛争を行い、結果的にこのドメイン名を取り戻しました。不幸にして同様の状況に陥った日本企業においても、所定の手続きを踏むことでドメイン名を取り戻すことができる可能性があることから、対応の一助となることを期待してJPCERT/CCでの事例をご紹介します。

対象読者: 自社・自組織の類似ドメイン名を第三者に登録されてお困りの方

経緯

JPCERT/CCは1996年に正式発足し、それから20年の間jpcert.or.jpというドメイン名を使用してきた。 *iこのドメイン名に似た、jpcert.org(以下「偽JPCERTドメイン名」)というドメイン名が何者かによって登録された。

発端

2017年2月10日に何者かが偽JPCERTドメイン名をPublicDomainRegistry社というレジストラを通じて登録した。JPCERT/CCでは2017年2月13日に、この事実に気づいた。海外研究者からの連絡がきっかけであった。

誰が偽JPCERTドメイン名を登録したか

WHOISデータベースからドメイン登録者の名前やメールアドレスなどの情報が取得できる。それによれば偽JPCERTドメイン名を登録したのは米国ペンシルバニア州にあるPantry Food Serviceという会社であった。JPCERT/CCではドメイン登録者情報のパターンから、この情報がダミーであり、実際には我々がChChesと呼ぶマルウエアを使って高度なサイバー攻撃を行っているグループによって登録された可能性が高いと判断した。
JPCERT/CCが確認する限りにおいて、ドメイン名は登録されているが、ゾーン情報は設定されておらず、名前解決ができない状態であった。つまりその時点では、マルウエア配布や偽の情報発信などに悪用されているわけではないということがわかった。

見過ごされたリスク

遡ると、2010年8月に社内で類似ドメイン名を登録されることのリスクを検討したことがあった。今回の偽JPCERTドメイン名(jpcert.org)は第三者に登録されるリスクを回避するために登録すべきかを検討したドメイン名のうちの1つであった。その際にはリスクは比較的高くないという判断から、登録を見送った。
背景にはインターネットの発展を願うコミュニティの一員としてドメインを取られることには寛容に対処し、不正に名前を使用されてはじめて厳格に対処すべきという、考え方があった。そのため、jpcert.orgはこれまで誰でも登録できる状況下にあった。

初動

前述のとおり2017年2月13日に問題が社内で認知された。まず、偽JPCERTドメイン名はJPCERT/CCとは何ら関係の無い第三者によって登録されたため、該当ドメイン名にはアクセスしないよう広く周知すべきであると判断し、同日に以下のとおりJPCERT/CCのWebサイト上に注意を呼びかける文書を掲載した。

JPCERT コーディネーションセンター jpcert.or.jp に類似するドメインに関するお知らせ
https://www.jpcert.or.jp/notice/NC20170213.html

ドメイン名紛争処理を行うか?

仮にもセキュリティ対応を専門に行う組織であるので、ドメイン名紛争処理という仕組みがあることはある程度認知されていた。一方で、その具体的な手続きに詳しいものはおらず、実際の紛争処理の経験もなかった。1日ほどかけて手続きの概要と過去の類似事例を簡単に調べた。その結果、申し立てをすることによってドメイン名を取消(つまり停止する)またはJPCERT/CCに取り戻すことができるという見通しを得た。
2017年2月14日に正式にJPCERT/CCとして偽JPCERTドメイン名に関してドメイン名紛争処理を行うことを決定した。その時点でマルウエア配布や偽の情報発信などに悪用されていないとはいえ、将来悪用されるリスクをこのまま放置するのは好ましくないという経営層の判断であった。

ドメイン名紛争処理とは

そもそもドメイン名紛争処理とは何か?

ドメイン名紛争処理とは『権利者からの申立に基づいて速やかにそのドメイン名の取消または移転を行えるようにするしくみ*ii』である。一定の条件を満たした場合、裁判によらずに比較的短期間(およそ2ヶ月)でドメイン名の取消または移転が行われるという商標所有者への救済措置とご理解いただきたい。
一定の条件とは以下のとおりである。(引用:一般社団法人日本ネットワークインフォメーションセンター「UDRPとは」 https://www.nic.ad.jp/ja/drp/udrp.html

(i)申立の対象となっているドメイン名が、申立人の有する商標と同一または混同を引き起こすほど類似していること
(ii)登録者が、そのドメイン名登録について権利または正当な理由がないこと
(iii)登録者のドメイン名が悪意で登録かつ使用されていること

ドメイン名紛争処理とは、悪い人を懲らしめる制度ではないということは強調しておきたい。たとえば、あるドメイン名を使ってディスクを消去するマルウエアを配布していても、DDOS攻撃に加担して大量のデータを送っていたとしても、その事実だけではドメイン名の取消や移転には結びつかない。ドメイン名が申立者の商標権を侵しているか否かについて、申立者と相手方(jpcert.orgドメインを登録したPantry Food Serviceという会社)の言い分からパネリストとよばれる紛争処理機関の専門家によって裁定される。それがドメイン名紛争処理である。
パネリストが下す裁定は取消、移転、申立棄却の3種類である。申立側の言い分に理があった場合に、申立側の希望に沿って取消か移転かが行われる。取消は、あるドメイン名を使えなくすること。移転とは第三者が登録したあるドメイン名を申立者の所有するものとすることである。逆に相手方の言い分に理があるとみなされた場合、申立棄却となり、ドメイン名は相手方が所有を続けることとなる。*iii
ドメイン名登録事業者はドメイン名紛争処理方針に基づいたパネルの裁定に従う義務がある。

トップレベル・ドメインによって異なる紛争処理方針

ドメイン名紛争処理は問題のドメイン名のトップレベル・ドメインによって手続きが異なる点に注意が必要である。

  • トップレベル・ドメインがgTLDである場合(.com,.net,.org,.biz,.info,.nameなどで終わるドメイン名)
    自社の主要なサービス・製品について商標を登録していなければ、類似のドメイン名をドメイン名紛争処理によって取り戻すことは難しい。ドメイン名が何者かに登録されてから、商標登録しても手遅れである。重要なサービス・製品名について早めの商標登録をすすめたい。
    なおドメイン名紛争処理の観点からは、どこか一つの国(例えば日本)で商標登録されていれば、相手方が所在する国において未登録であっても考慮される。どこか一つの国で商標登録を早めに行っておくことが大切である。

  • トップレベル・ドメインが国別TLDである場合(.jp,.uk,.kr,.frなどで終わるドメイン名
    多くの国別トップレベル・ドメインでは独自の紛争処理手続きを定めている。第三者によって登録されたドメインがたとえば日本の国別ドメイン名である場合、JPドメイン名紛争処理方針*ivに従うことになる。

本記事においてはUDRPの手続きについて紹介していくが、少なくともJPドメイン名紛争処理方針についてはUDRPと似ているため、読者の応用に期待したい。

統一ドメイン名紛争処理方針に則った手続き

UDRPに則った手続きの概要を説明したい。紛争処理機関(今回はWIPO仲裁調停センターを利用したので同センター)のページから引用する。なお、紛争処理機関は複数あり、他の紛争処理機関での手続きについては各紛争処理機関のページを参照されたい。*v

(1)ICANNが認定した紛争処理機関(WIPOセンター等)の中で申立人が選択した機関に対して、申立書を提出
(2)WIPOが申し立て内容を確認し、問題なければ受理。その後2日以内に:
(3)申立の対象となった個人または団体による、答弁書の提出;
  申立をWIPOが通知してから20日以内に答弁書を提出。
(4)申立人が選択した紛争処理機関による、紛争処理パネルの指名。紛争処理パネルは、1名または3名から構成され、紛争の裁定を下す。
(5)紛争処理パネルによる裁定の言渡しおよび関係当事者全員への通知
(6)問題となるドメイン名の取消または移転という裁定を紛争処理パネルが下した場合、関連する登録機関による裁定の実施

手続きはメール、Fax、電話などの手段でやりとりされ、紛争処理機関まで出向く必要はない。

検討事項

実際にドメイン名紛争処理に挑むに当たってはいくつかの懸案があった。同様の状況にある方の参考になることを期待して、「悩んだ点」について説明したい。

ア.言語
紛争処理に関わる手続きがどの言語で行われるのかは重要である。日本語であれば楽である。英語であれば、時間をかければ対応できるかもしれない。フランス語やドイツ語であれば、外部の専門家の力が必要となることも考えられる。
申立人は手続きする言語として日本語を希望することもできる。相手方がそれに合意すれば申立書を日本語で書いて提出し、指名された日本語を理解するパネリストによって裁定がなされる。
双方が言語について合意できない場合、ドメイン名紛争処理は原則としてその合意書の言語で行われる。自分でドメイン名を登録されたことのある方は登録の際にやたらと長い合意書というものを読んだはずである。私自身はいつも読み飛ばしている合意書の中には「ドメイン名紛争処理ポリシーに従ってドメイン名の取消/移転が決定された場合、それに従うことに同意します。」という趣旨の文章が含まれている。ドメイン名登録事業者(レジストラ)と"Service Agreement"“サービスアグリーメント”などのキーワードで検索して見てほしい。
我々のケースではレジストラの住所は公にされていないが、合意書は英語で書かれていたため紛争処理の手続きは英語で行うこととなった。

イ.費用
ドメイン名紛争処理には費用がかかる。基本費用は1ケースにつき1500ドルであり、申立者が紛争処理機関に支払う。*vi申立者、相手方の双方がパネリストの数を3人にすることを希望することもできる。その場合には費用が2500ドルになる。*viiパネリストの人数によって裁定の基準が変わるわけではないことに加え、過去のケースではその多くがパネリスト1名で処理されていることから、JPCERT/CCではパネリスト1名を希望することとした。

ウ.申立の代行を依頼するか否か
対価を払ってドメイン名紛争処理の手続きを弁護士、弁理士などの専門家に依頼することも可能である。言語、手続きなどに関する理解は決して簡単なものではないため、企業においては専門家に任せるのは1つの有効な選択肢である。
JPCERT/CCにおいては 1)今後の類似した偽ドメイン事案への対応のノウハウ蓄積 2)実際の手続き経験を広く共有することによる啓発効果 3)懐事情から自力で手続きを行うこととなった。

エ.ドメイン名を取消するか? 移転するか?
申立では紛争対象のドメイン名を「取消する」、「移転する」の2つの選択肢から希望するものを選ぶ。今後、JPCERT/CCの活動がより国際化していくことを想定し、jpcert.orgを移転することを希望することとした。

オ.マルウエアChChesとドメイン名の関係性
当初からJPCERT/CCではWHOISデータベースに登録されている名前、住所、Eメールアドレスなどの類似度などから「JPCERT/CCがChChesと呼んでいるマルウエア*viiiを使って、日本企業から情報を盗み出している集団が偽JPCERTドメイン名を登録した可能性が高い」と判断していた。
以下の図に示すように、JPCERT/CCがChChesに関して情報を公開した時期と、ドメイン名登録時期は符合しており、上記の判断を補強している。

このような背景から、攻撃グループが我々の活動を妨害する、あるいは日本企業から情報を盗み出す際に発覚を遅らせるために偽JPCERTドメイン名を登録したと考えられた。
一方で、前述のとおり、ドメイン名紛争処理は商標権の侵害から被害者を救済する制度である。
セキュリティ技術者にはおおよそ認識されているWHOISデータベースに登録されている名前、住所、Eメールアドレスなどの類似度による攻撃グループとドメイン名の関連付けを、裁定を行うパネリスト(多くが知財法を専門とする弁護士)に正しく理解いただくことも難しいと考えた。
したがって、申立書にはマルウエアChChesと偽JPCERTドメイン名の関係について一切記述しないこととした。

カ.ドメイン名が悪意で、登録かつ使用されていることの証明
紛争処理の申立書において申立人が説明する3点のうち「あなたのドメイン名が悪意で、登録かつ使用されていること。」を主張するのは極めて困難であった。
過去の裁定を遡れば、登録者が複数の商標ドメイン名を登録している事実、登録者が長期間ドメイン名を使用してない事実などが悪意で登録の根拠として主張されていた。我々のケースではどちらもあてはまらなかった。また、前項のとおりマルウエアChChesと偽JPCERTドメイン名の関係について言及することはドメイン名紛争処理において効果的とは考えられなかった。さらに、偽JPCERTドメイン名は登録されたもののゾーン情報は設定されておらず、「悪意で使用されている」とは言いにくい状態であった。
突破口は過去の裁定を読み込む中で発見した、受動的ドメイン名保有(Passive Holding)という概念である。ポリシーには明確にドメイン名が悪意で使用されていることがドメイン名取消・移転の条件と書かれているが、現実にはドメイン名が使用されていないケースでも特定の条件を満たせば、ドメイン名を取り戻すことが可能である。その条件とは①申立人の商標が広く世間に認知されていること②相手方がそのドメイン名を使用する理由を説明できないこと③相手方が自らの素性を隠そうとしていると認められること④相手方が偽の連絡先情報を使用していることである。*ix以上の4条件を満たす場合、相手方が実際にドメイン名を正当に使用できるはずがなく、そのような相手方がドメイン名を保有していることが既に「悪意で使用されている」と判断できるという論法である。 この裁定*xは2000年にオーストラリアの通信事業者の申立に対して下された。以後、実際に使用されていないドメイン名を取り戻すための紛争で申立人の多くがこの事例を引用し、その主張が認められてきた。 偽JPCERTドメイン名のケースについても同じ論法を使うこととした。

申立書の作成

前述の検討を経て、申立書の作成を行った。申立書はWIPOのWebサイト上に丁寧な指示付きの雛形*xiが用意されており、基本的には指示をよく読んで必要な内容を埋めていくだけである。前述の3要件については、いかなる主張をしたのかを日本語でまとめると以下のとおりである。

  1. 申立の対象となっているドメイン名が、申立人の有する商標と同一または混同を引き起こすほど類似していること
    JPCERT/CCは1996年に設立され、jpcert.or.jpのドメイン名を主に使用しており、かつJPCERT/CCの商標登録を日本で2006年に行っていることを主張した。商標登録がJPCERT/CCであり、類似ドメインがjpcert.orgであることから、完全に同一という主張が難しいことからTwitterやその他で”/CC”抜きのJPCERTを名乗っていることを例示した。
  2. 登録者が、そのドメイン名登録について権利または正当な理由がないこと
    我々にとっては言うまでもないことであるが、改めてJPCERT/CCは相手方に対してJPCERTの名を使用することを許可していないことを主張した。加えてJPCERTは” JaPan Computer Emergency Response Team”の略であり、我々が発明した名称であるとした。さらに過去20年間の活動の中で、JPCERTという名の組織、サービス、プロジェクトなどを聞いたことがなく、相手方がJPCERTという名について正当な権利を有しているはずがないことを主張した。
  3. 登録者のドメイン名が悪意で登録かつ使用されていること
    前述の通り、既に多くの裁定にみられる受動的ドメイン名保有(Passive Holding)にあたると主張した。

格調高い文章を書くのではなく、過去の事例でくりかえし使用される表現をできるだけ再利用し、簡潔な説明を心がけた。さらに付随文書を3つ添付した。1つ目はjpcert.orgのWHOIS情報、2つ目はドメイン名事業者のサービス合意書のコピー、3つ目は商標登録証のコピーである。いずれもWIPOが用意した申立書テンプレート内で提出が求められている。
作成した申立書の原文は本文末のリンクからダウンロード可能である。

実際の紛争処理の進行状況

実際の紛争処理は以下のように進行した。

タイムライン

2017/2/21 JPCERT/CCより申立をWIPOにメール。紛争費用をWebサイトからクレジットカードで支払う。
2017/2/22 WIPOより申立受付のメール。ケース番号としてD2017-0343が割り当てられる
2017/2/23 WIPOよりドメイン名登録者とレジストラへJPCERT/CCからの申立があったことが通知される。登録者に対して3月15日までの(20日以内の)回答を要求する。
2017/3/17 WIPOよりドメイン名登録者から期限までの反論がなかったこと、手続きをすすめることの連絡
2017/3/24 WIPOからパネリスト決定、裁定が4月7日までに下るとの連絡
2017/4/1 WIPOより裁定の通知があった。偽JPCERTドメイン名をJPCERT/CCに移転する裁定がくだったとの連絡
2017/4/4 レジストラから裁定に基づくドメイン名の移転を4月17日に行うという連絡
2017/4/17 ドメイン名がJPCERT/CCに移転される

裁定結果について

裁定の結果はWIPOのWebサイト上で全文が公開されている。( http://www.wipo.int/amc/en/domains/search/text.jsp?case=D2017-0343)
JPCERT/CCの申立内容が全面的に受け入れられ、ドメイン名をJPCERT/CCに移転するという決定がされた。

裁定後の動き

裁定がドメイン名登録事業者に通知されてから約2週間後に、WHOIS情報が更新され、ドメイン名所有者がJPCERTに変更された。あわせてドメイン名登録事業者からは同社サービスのアカウントが発行され、レジストラの変更手順の案内があった。
JPCERT/CCでは案内に従って、レジストラの変更を2017年5月9日に完了した。

企業ネットワーク・セキュリティ管理者に勧めたいこと

実際にドメイン名が登録されてしまい、ドメイン名紛争処理によって取り戻したという経験に基づいて、国内外の企業のシステム管理者には以下をおすすめしたい。

  • 主要なサービス・製品の商標登録
    自社の主要なサービス・製品について商標を登録していなければ、類似のドメイン名をドメイン名紛争処理によって取り戻すことは難しい。ドメイン名が何者かに登録されてから、商標登録しても手遅れである。重要なサービス・製品名について早めの商標登録をすすめたい。
    なおドメイン名紛争処理の観点からは、どこか一つの国(例えば日本)で商標登録されていれば、相手方が所在する国において未登録であっても考慮される。どこか一つの国で商標登録を早めに行っておくことが大切である。

  • 自社・自組織が使うドメイン名の周知
    顧客、取引先に自社が使うドメイン名を普段から伝えておくことが大切である。名刺やダイレクトメール、その他の手段で自社のドメイン名を周知しておけば、類似ドメインが登録された場合でも、その影響は少ない。

  • 自社・自組織が使うドメイン名の取捨選択
    ドメイン名が増えれば、それだけ類似ドメインの数が増え、ドメイン管理に関わるトラブルにあう確率が増加する。ドメイン名登録を検討する際には、自社が持つ既存のドメイン名のサブドメインを使うなどの、よりリスクの少ない手法を検討いただきたい。

また何者かに類似ドメインを登録されてしまった場合、事後対策として速やかに偽ドメインの存在について周知を行うことが必要である。

一連のプロセスを経験した結果お伝えしたいのは、第一にドメイン名に関するトラブルはどれも千差万別であり、紛争を行ってドメイン名を取り戻せるか否かについて画一的な基準が示し難いということ。第二に、それでもドメイン名紛争処理という手段があることを頭の片隅においていただきたいということである。

2017年5月19日
JPCERT/CC 小宮山 功一朗

参考文書
統一ドメイン名の紛争解決ポリシー(通称、The Policyまたはポリシー)
https://www.icann.org/resources/pages/policy-2012-02-25-ja

統一ドメイン名の紛争解決ポリシーの規則 (通称、The Rulesまたは手続規則)
https://www.icann.org/resources/pages/rules-2012-02-25-ja

World Intellectual Property Organization Supplemental Rules for Uniform Domain Name Dispute Resolution Policy(日本語訳無し。通称、Supplemental Rules)
http://www.wipo.int/amc/en/domains/supplemental/eudrp/newrules.html

  1. 幾つかのプロジェクトのために、jpcert.or.jpではないドメイン名を使用することはある。
  2. ドメイン名紛争処理方針の対象となる紛争
    https://www.nic.ad.jp/ja/drp/drp.html
  3. 申立却下といえば有名な匿名掲示板「2ちゃんねる(2ch.net)」について掲示板設立者がドメイン名の移転を求めて申立が却下となったことが話題になった。この判断については、設立者が2chの商標を登録したのが、相手方が2ch.netドメイン名を運用しはじめた後だったことも大きく影響していると考えられる。商標登録がされていなければ(ドメイン名と申立者の関係が広く知られていたとしても)ドメイン名紛争処理でドメイン名が移転・取消される可能性は低くなる。
  4. JP ドメイン名紛争処理の概要
    http://www.ip-adr.gr.jp/business/domain/#687
    JP-DRPの場合、前述の「一定の条件」が若干異なる。要すればJP-DRPの方が申立者にとってのハードルが低くなっている。
    ■UDRP
    (ⅰ)ドメイン名が商標と同一または類似
    (ⅲ)ドメイン名が悪意で登録かつ使用されている
    ■JP-DRP
    (ⅰ)ドメイン名が商標その他表示と同一または類似
    (ⅲ)ドメイン名が悪意で登録または使用されている
    またUDRPについても「ドメイン名が悪意で登録かつ使用」との条件が、実態としては「悪意で登録または使用」という解釈で運用されているという識者の意見もある。
  5. UDRP紛争処理機関一覧
    https://www.nic.ad.jp/ja/drp/udrp-provider.html
  6. 一人の相手方が登録した複数のドメイン名をまとめて紛争対象とする場合はまとめて1ケースとしてカウントされ、費用を抑えることが可能である。
  7. パネリスト3人にするメリットは「ある程度」パネリストを選べるということである。パネリストとなれる個人のリストがWIPOのWebサイトで公開されている。パネリスト3人のケースでは申立者と相手方がそれぞれ3人の希望するパネリストをWIPOに伝え、WIPOが3人の中から1人ずつ選ぶ。残り1人は申立者等の意向とは無関係にWIPOが指名する。
    どうしても日本人弁護士を交えたいという場合などでは3人パネルを希望することができる。デメリットは手続きに追加の日数がかかることと、費用がよりかかることである。
  8. 「Cookieヘッダーを用いてC&CサーバとやりとりするマルウエアChChes(2017-01-26)」
    https://blogs.jpcert.or.jp/ja/2017/01/ChChes.html
  9. Passive Holdingの1つの要件は相手方からの反論がないことであり、つまり相手方から反論がもしあれば裁定の結果は今回のようにドメイン名の移転という裁定がくだされなかった可能性もある。
  10. Telstra Corporation Limited v. Nuclear Marshmallows, WIPO Case No. D2000-0003」
    http://www.wipo.int/amc/en/domains/decisions/html/2000/d2000-0003.html
  11. Word形式の申立書の雛形
    http://www.wipo.int/export/sites/www/amc/en/docs/complaint-lock-eudrp.doc
≪ 前へ
トップに戻る
次へ ≫