イベントレポート
DNS Summer Day 2025
ワクチン予約サイトのその後:「使い終わったドメイン名」が第三者に取得され、怪しいサイトになってしまったら……
責任の所在はどこにある? いったい何年間キープしておけばいい?
2025年8月28日 06:55
多くの読者の方がご存知のように、廃止されたドメイン名を悪意のある第三者が登録し、ギャンブルサイトやアダルトサイトなどに使われる事例があとを絶たない。しかも、これだけ問題視されているのに、何度も何度も似たような事例が繰り返されている。そのようなことが起こってしまうと、そのドメイン名を使っていた組織やサービスに対して悪い印象がついてしまうのにもかかわらず、である。
こうした状況を少しでも改善するためには、より多くの関係者にドメイン名全般に対する関心を持ってもらう必要がある。そこで今回は、6月に開催された「DNS Summer Day 2025」での発表の中から、東海大学准教授の柿崎淑郎氏による「行政サービス終了時におけるドメイン名管理の課題:ワクチン予約サイトの事例から」の後半部で扱われた「ドメイン名使用終了後の保持期間」と「問題が起きたときの責任の所在」の話題を取り上げる。
多くの国民が使った新型コロナワクチン予約サイト、ドロップキャッチが懸念されるドメイン名も
柿崎氏による発表は、新型コロナのワクチン接種で使われた予約サイトのドメイン名を題材に、“ドロップキャッチ”が懸念されるドメイン名のその後を追跡調査し、ドメイン名の“ライフサイクル”も踏まえたドメイン名の選択や管理といった面に焦点を当てた研究結果を報告したものである(図1、図2)。
新型コロナのワクチン接種で使われた予約サイトのドメイン名を題材にした理由については、「ほぼ全国民が使う可能性があった」ことや、「事業の性質上、住所・氏名・生年月日やメールアドレスといった個人情報を本人特定のために入力している」「ドロップキャッチされフィッシングに利用された場合、慣れから来る違和感の無さから大きな被害を生み出す可能性がある」といったことから、その実態を明らかにしておくことが必要であると考えたからと述べている。
ドメイン名の“ライフサイクル”および“ドロップキャッチ”とは
今回の話題で扱われたドメイン名のライフサイクルとは、ドメイン名を登録したあと、使用をやめて廃止されるまでどのような状態を経るのかを示すもので、それを登録者が管理することをドメイン名のライフサイクルマネジメントと呼ぶ。また、ドロップキャッチとは、登録されたドメイン名が再登録可能となった時点で第三者がそのドメイン名を登録しようとする行為のことである。
この仕組みをもう少し説明すると、一般的にドメイン名には「登録なし」「登録」「廃止」「廃止されたドメイン名」という4つの状態がある[*1]。
「登録なし」は、ドメイン名の登録管理データベースに登録情報がなく、誰でも登録できる状態のことで、そのドメイン名を欲しい人が「登録」を行うことで登録情報が管理データベースに載り、登録者が使うことができるようになる。
そのドメイン名を登録している間は管理データベースに登録情報があるため、第三者からの登録リクエストは排除されるが、ドメイン名の使用をやめて廃止手続きをする、もしくは更新手続きをしないと、登録期限が来た時点で「廃止」の状態になる。
「廃止」と「廃止されたドメイン名」の違いは、後者ではそれが登録回復可能期間にあるというだけで、管理データベースから登録情報が削除されるのを待っている状態である。管理データベースから登録情報が削除されると「登録なし」の状態になり、誰でもそのドメイン名を登録できるようになる[*2]。
ときどき「ドメイン名は廃止すれば消滅します」という勘違い話を聞くが、仕組み的にはそのドメイン名を使う権利が消滅するだけで、実際には登録管理データベースに登録情報があるかないかで登録可否が決まるのである。
ドロップキャッチとは、こうしたドメイン名のライフサイクルの中で、登録管理データベースから登録情報が削除されるタイミングを見計らって“そのドメイン名”を登録する行為である。この行為はドメイン名の有効利用を図る意味から正当な行為であり、違法性は全くない。問題なのは、そのドメイン名がそれまでに得た価値を悪用しようとする行為であり、そここそが責められるべき事案ではないだろうか。
発表の冒頭で説明された基礎的な知識や、ワクチン予約サイトに関する前提知識、追跡調査の結果などについては柿崎氏の発表資料[*3]や関連する記事[*4]などを見ていただくことにして、ここからは筆者が取り上げたい話題に入ることにする。1つだけ了解しておいてほしいのは、新型コロナのワクチン接種は国が推し進め、地方公共団体がその実行役を担ったという点から、今回の調査は公的機関および受託事業者が主たる対象になっているという点である。
以降、最初にドメイン名の保持期間に関する話題を扱う。「ドメイン名を使い終えたあと、それをどれくらいの期間保持すればよいのか?」という悩みを持つ関係者は多いはずだ。しかしながら、そこには同時に「何もせずに放置する」という前提もあるように見受けられる。実際にはリスク管理の問題なはずなのだが、そのことをこの機会にあらためて考えてみていただきたい。
次に、問題が起こった場合の責任の所在についての話題を扱う。事業全体を委託するのだから、責任は全て受託者側にあるという説明をときおり耳にするが、本当にそうなのだろうか? 「委託者側が丸投げした結果、発生する問題への責任を全て押しつけたいという願望でそのようなことを言っているのでは?」と感じるのは、筆者だけではないはずだ。そこにも考えを巡らせてみたい。
[*1]…… 実際には仮登録とか変更申請とかもあるためライフサイクルの状態はもう少し複雑だが、基本的には説明で記述した4つの状態を正しく理解していただければ良いと考える。
[*2]…… 株式会社日本レジストリサービス(JPRS)のサイトにある以下の図が、こうしたドメイン名の状態遷移を丁寧に説明しているので参照していただきたい。
レジストリ・レジストラモデルにおけるドメイン名登録と登録原簿の関係
https://jprs.jp/registration/suspended/imgs/img3.png
[*3]…… 「行政サービス終了時におけるドメイン名管理の課題:ワクチン予約サイトの事例から」(東海大学 准教授 柿崎淑郎)
https://www.dnsops.jp/event/20250627/20250627_kakizaki.pdf
[*4]…… 関連記事
- DNSにおける委任の構造が大きく変わる!? IETFの「deleg WG」が最近熱いらしい。再設計を目指し、慎重な議論
ドメイン名は「取得」するものに非ず? 認識の違いが不幸を招く
https://internet.watch.impress.co.jp/docs/event/1650123.html#03 - 本当にあった「SaaSタグ×ドロップキャッチ」の怖い話……組織におけるドメイン名管理に必要な要件とは
https://internet.watch.impress.co.jp/docs/event/1466993.html - ドメイン名をドロップキャッチされた! そのとき当事者は――長崎県立大学学生自治会が経緯と実情を語る
https://internet.watch.impress.co.jp/docs/event/1431062.html - 使い終わったドメイン名が狙われている――DNSの設定ミスに付け込む攻撃「DNSテイクオーバー」とは
https://internet.watch.impress.co.jp/docs/event/1297384.html - もし、ドメイン名が他人にハイジャックされたら? 平成の記憶から学ぶ、その手口と対策
https://internet.watch.impress.co.jp/docs/event/1157248-2.html
ドメイン名の保持期間はリスクを減らすためのものである
まず、ドメイン名使用終了後の保持期間についてだが、この点については使用終了後に登録期限が来て自動的に廃止になるまで放置するという事例は減ってきているように見える。とはいえ、減っているだけで、無くなったわけではないし、1年程度延長して終わりという話もよく聞く。
今回の柿崎氏の調査でも、ドロップキャッチが懸念される34ドメイン名(図3)[*5]のうち回答を得られた範囲で、運用停止からドメイン名廃止まで1年以上が7件、1年未満が5件とある(図4)。このようになる背景として、「役所の場合は、単年度主義の影響か、1年程度がコンセンサスとしてあるのかもしれない」と考えているとのことであった。
では、ドメイン名使用終了後の保持期間について公式な見解はどのようになっているのか。
その点については、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」[*6]、およびデジタル庁のDS-900「Webサイト等の整備及び廃止に係るドメイン管理ガイドライン」[*7]に「一定期間保持する」とだけ書かれている(総務省のガイドラインでは、デジタル庁のガイドラインを参照するように記されている)。ここで「一定期間」となるのは「具体的に何年と書けないからであろう」ということである(図4、図5)。
ドメイン名について関心のある人に「1年で十分か?」と聞いた場合、セキュリティについて勉強をしている人ほど「不十分だ」と答えるだろう。使い終わったドメイン名を保持する本来の目的は、柿崎氏が言うとおり「そのドメイン名を手放すことで発生するリスクが“受容可能になるまで”の時間を稼ぐ(確保する)」ことにあるわけで、その期間じっと待てば良いというものではない。自らリスクを減らす活動(行動)を積極的に行おうと考えた場合、1年という期間がいかに短いか想像できると思う。
ここで重要なのが、「リスクが受容可能になるまで」という部分である。リスクをゼロにすることはできなくても、そのドメイン名が持つ価値を大きく下げれられれば良いと考えればいいわけである。では、ドロップキャッチをしてまで使いたいドメイン名とはどのようなものであろうか。
以下に、その特徴と理由を並べてみる。
| 特徴 | 理由 |
| 知名度が高い | 利用者の思い込みで警戒されない |
| 良いレピュテーションを得ている | 新規に登録するドメイン名よりも検索エンジンで上位に表示されることが期待できる |
| さまざまなサイトからリンクが張られている | そのようなサイトから、リンクによる流入が期待できる |
さすがに知名度だけは利用者の記憶から薄れるぐらいの長期間保持する必要があると考えるが、残りについては以下のようなことをすれば良いのではないだろうか。ポイントは、利用者への確実な告知、リンクの削除、検索結果の削除である。他サイトからのリンクが大きく減ればレピュテーションも下がるはずである。
- そのドメイン名でメールを使っている場合は、そのメールアドレスを使用してサービスの終了とドメイン名を手放す旨を利用者に通知する
- 自組織に存在するリンクを全て削除し、リンクを依頼した組織に終了の旨を告げ削除依頼を行う(メディアに掲載されたなら、そのメディアに対してリンクの削除を依頼する)
- 検索サービスに残っている検索結果を削除すべく、その旨とともに削除依頼を行う
ここでもう一度見ていただきたいが、図4の資料に書かれている「何年保持しようが、リスクが減らなければ意味がない」はその通りであるし、「さすがに10年もたてば、十分に廃れるとは思いますが」というのは、リスクを減らす活動を十分に行わないのであれば、せめてそれぐらいの期間、当該ドメイン名を保持するべきであろうというメッセージであると取れる[*8]。もし、使っていたドメイン名を手放すのであれば、このようなリスクを減らす活動をセットとして考えていただきたい。
[*5]…… 詳細については、前述した柿崎氏の発表資料を参照していただきたい。
[*6]…… 「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和7年3月版)」(総務省)
https://www.soumu.go.jp/main_content/001001336.pdf
[*7]…… デジタル社会推進標準ガイドライン DS-900「Webサイト等の整備及び廃止に係るドメイン管理ガイドライン」(2025年5月27日)
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/addca50c/20250619_resources_standard_guidelines_guideline_09.pdf
[*8]…… 参考:フィッシング対策協議会の「フィッシング対策ガイドライン 2025年度版」では「最低10年程度」と記載されている(17ページ目の最後の段落)
https://www.antiphishing.jp/report/antiphishing_guideline_2025.pdf
受託者の善管注意義務があったとしても、委託元の責任は免れない
次に責任の所在についてだが、前述した委託者側の「事業全体を委託するのだから、(ドメイン名の選択や運用についても)責任は全て受託者側にある」という主張に対しては、実際のところは「まぁ、そうだよね」と感じざるをえない。なぜなら、受託者の善管注意義務というものに当たる可能性が十分にあって、それは受託者側で対応しなければならないであろう事案だからだ。現在の法律を見る限り、委託者と受託者との関係は委託者側に有利なかたちになっているということもある。
この件に関して柿崎氏は、「そうした主張は理解できるが、適切なドメイン名を使用させたり、総務省ガイドラインに示される運用を行わせたりするのは委託者である組織側の責任ではないだろうか」と述べている。加えて、「今回の事例では、利用者から見た場合、ワクチン接種の実施は自治体が行っていると認識されるはずで、その意味から個人情報取扱事業者としての責任は免れないと考えられる」とも述べている(図6、図7)。重要だと思われるので当該部分を抜粋すると、発表資料には以下のように書かれている。
- 「事業全体を委託しているので受託者の責任である」のか?
受託者の善管注意義務(民法644条)にあたる可能性は高い - 委託元の責任は?
個人情報取扱事業者としての責任は免れない
安全管理措置(個人情報保護法23条),委託先の監督(個人情報保護法25条)
確かに、委託者(自治体)が受託側に丸投げしてしまうだけになってしまうと、例えば「lg.jp」ドメイン名を使うことができるのかという疑問が出てくる。自治体側の協力がないと、そもそも申請すらできないとすると、自治体側の責任というのがクローズアップされることになるのではないだろうか。
少し余談めくが、EUで定められるGDPR(General Data Protection Regulation:一般データ保護規則)というものがある[*9]。これはEU域内の個人データ保護を規定する法であるが、GDPRの方がより厳格なだけで、日本の個人情報保護法も個人データの保護に関する基本的な考え方は共通している。厳格な分、分かりやすいのでGDPRを参照するが、そこでは個人データの取り扱いに関して「管理者(controller)」と「処理者(processor)」という役割を明確に分けている。
誤解を恐れず簡単に説明すると、処理の目的と手段を決めるのが「管理者」で、管理者から与えられた指示を忠実に実行するのが「処理者」である。何を言いたいかというと、自治体が事業全体を受託者に委託したとして、それは好き勝手にしていいわけではなく、目的に沿って住民の個人情報をどこまで得るか、目的外使用の禁止を含めてそれはどのように使われるべきかを決定するのは自治体でなければいけないということである。
当然であろう。住民は、自治体が行う事業であるから個人情報の提供を承認するわけで、自分たちが知らない事業者が勝手に個人情報を収集していると考えたら怖くてたまらないはずだ。だからこそ、自治体は収集して使用する個人情報に対して“管理者として”責任を持たなければいけないのである。先の柿崎氏が述べた、個人情報取扱事業者としての自治体の責任というのは、このことである。
[*9]…… 個人情報保護委員会
EU(外国制度)GDPR(General Data Protection Regulation:一般データ保護規則)
https://www.ppc.go.jp/enforcement/infoprovision/EU/
委託者と受託者双方で問題意識を共有すべきではないだろうか
とはいえ、これは根が深い問題のようでもある。筆者は今回の発表で初めて知ったが、役所には「原課調達主義」という考え方があり、各原課(=業務を担当する課)が業務で使用する情報システムを個別に申請・調達・運用するということが行われているというのである。原課は情報システムの専門家ではないことに加え、定期的な異動でさまざまなノウハウが喪失してしまうといったことが起こりえる状況にある。
これでは、担当者個人が情報システムに興味を持って勉強したとしても能力を十分に活かせないだけでなく、業務ノウハウやセキュリティといった重要な部分まで業者に依存してしまうことにならないだろうか? 過去に、ドメイン名関連のさまざまなニュースを見てきたが、自治体が使ったドメイン名で問題が多かったのはそういうことかと妙に納得してしまった。情報システムに精通しているエンジニアが委託者側にいない場合、以下のようなことが発生すると考えられる(実際にはもっと思いつくが、整理のために分かりやすいものだけを記述した)。
- システムの機能や処理能力、セキュリティに対する適正な評価ができない
- 求める機能の取捨選択や優先順位付けができない
- 使い勝手といった抽象的な部分を仕様書に記述できない
- かかる費用(コスト)の正当性が評価できない
- 業者依存が強まり、業者のいいなりになる可能性がある
これらは民間の企業にも当てはまることだが、こうなってしまうと委託元としては難しい話は避けて丸投げしてしまった方が楽だということにもなりかねない。心当たりがある方もいらっしゃるのではないだろうか。
今回、調査対象としたようなワクチン予約サイトでは、多くの住民の「個人情報」を扱う事業であるがゆえに特に慎重になるべきであったが、その慎重さは委託者と受託者双方が共有すべき問題であろう。こうしたことに問題意識を持って、より良い結果を生み出せるようになってほしい。
専門的だが興味深かった発表が多かった「DNS Summer Day 2025」
今回のレポートは、筆者が常々考えていた問題に対して良いアプローチが提供されたことから、話題を限定して報告するかたちとなった。とはいえ、DNS Summer Day 2025の他のプログラムにも興味深い発表がいくつもあったこともあわせて報告したい。
株式会社Jストリームの高見澤信弘氏、KDDI株式会社の今泉充司氏、株式会社JPIXの関正樹氏の3名によって発表された「ECS(RFC 7871)の3社共同検証の結果共有 ~商用利用を前提とした検証結果の共有~」には興味をそそられたし、非公開ではあったが、NTTコミュニケーションズ株式会社の末松慶文氏による「測定結果から読み解く、権威DNSの分散配置と遅延の最新傾向」は着眼点が面白いと感じた。
GMOサイバーセキュリティbyイエラエ株式会社の菅野哲氏による「量子時代の足音――暗号2030年問題とDNSの持続可能性」は、将来的な暗号解読の進展や計算機環境の変化により移行が必要になる暗号はデータサイズが非常に大きくなり、処理も重くなることがDNSに与える影響を解説したもので、いろいろと考えさせられた。
ここで紹介しなかった他のプログラムも面白く、DNS関係者はイベント公式ぺージで公開されている発表資料を見るだけでも楽しめるのではないだろうか。
今回のDNS Summer Day 2025のプログラムは専門的な内容の発表が多かった印象があるが、それだけに参加のしがいがあった。特に、非公開のプログラムなどは生の情報を知ることができたりするので、興味のある方はぜひ現地の会場に来られることをお勧めしたい。