「ラブライブ！」の公式サイト乗っ取りから考える、適切なドメインの管理方法 ドメイン移管の基本と企業が取るべき対応策

4月5日、サンライズが運営する人気アニメ「ラブライブ！」シリーズの公式サイトが正常に表示されないという事態が発生した。

4月11日、サンライズから「『ラブライブ！』シリーズ公式サイトにおきまして、ドメインが悪意のある第三者に一時的に管理が移転しておりましたが、現在はサンライズの管理下にあり、正常な状態に戻っております」と公表されるなど騒動となった。

「.jp」ドメイン名をめぐっては、旧山梨医科大学（現在は山梨大学に統合）がかつて利用していたドメイン名が、成人向けウェブサイト開設のために利用されていたことも判明。総務省が「.jp」ドメイン名を管理・運用する日本レジストリサービス（以下、JPRS）に対して「.jp」ドメイン名の信頼性確保のための一層の取組を要請するなど、注目が集まっている。

本稿では、「ラブライブ！」シリーズ公式サイトの事案が発生した要因として可能性が指摘される「ドメイン移管」の概要と、本件で生じたと考えられる事象およびその対策について、アンダーソン・毛利・友常法律事務所の中崎 尚弁護士に聞いた。

汎用JPのドメイン移管の確認には10日以内の回答が必要

ドメイン移管は通常どういった際に利用される手続でしょうか。

ドメイン移管は、ドメインのレジストラ（ドメイン登録の代理店）を変更する手続であり、ドメインの登録者を変更する手続とは異なるものです。ドメイン移管の手続が利用されるのは、下記のようなケースがあります。

• ウェブサイトの売買などに伴いドメインの登録者が交替する際に、あわせてドメインのレジストラも変更したい（このケースが多い）
• 登録者が変わらなくとも、大量にドメインを保有している登録者が、ドメイン管理を1つのレジストラでまとめるためにレジストラを変更したい

そもそもドメインを登録するにはどういった手続が必要なのですか。

ドメインはドメインごとに、大元の管理者である、ドメインのレジストリ（汎用JPドメインではJPRS）、卸売の事業者であるドメインのレジストラ、その下の2次代理店、3次代理店が存在します。一般のユーザーがドメインを登録する場合、レジストラ（あるいは、2次、3次の代理店）を経由して、ドメイン登録手続を行います。1つのドメインについて、複数のレジストラが存在しており、ドメインの年間利用料金など利用条件が異なります。

ドメイン移管の手続の流れを教えてください。

汎用JPドメインでは、指定事業者という制度が設けられています。指定事業者はレジストリであるJPRSから指定を受けた事業者であり、レジストラに類似した役割を果たしています。ユーザーが汎用JPドメインを複数保有している場合に、指定事業者を変更する方法は下記の2つが用意されています。

• すべての汎用JPドメインの指定事業者を変更する場合→指定事業者の変更
• 特定の汎用JPドメインの指定事業者を変更する場合→ドメインの移転

以下では後者の、特定の汎用JPドメインについて指定事業者を変更する手続を紹介します。具体的には次のような流れで変更が進められます。

1. 指定事業者変更の申請が、変更先の指定事業者を経由してレジストリであるJPRSに対してなされる。
2. JPRSは、現時点でのドメイン登録者に対して、現時点での指定事業者経由で、指定事業者変更の手続を進めてよいか確認を行う。
3. JPRSは、指定事業者変更について進めてよいことの確認が取れた場合は、指定事業者の変更を行う。

この②の確認の手続について定めているのが、「汎用JPドメイン名登録申請等の取次に関する規則」11条（取次にかかる登録申請等に対する決定の伝達業務）です。同条2項では、「当社（JPRS）が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。」と定めています。このため、指定事業者に意思確認を依頼してから、10日以内に何も回答がなければ、拒絶の意思表示の回答がなかったことになりますので、自動的に、指定事業者変更について意思が確認できたものとして取り扱われ、指定事業者変更が進められることになります。

「ラブライブ！」公式サイト事案から考える、ドメイン移管実行の3つのシナリオ

今回、サンライズが運営する「ラブライブ！」シリーズ公式サイトにおいて起こった問題について、ドメイン移管が原因であったとした場合、移管が実行された理由は何だと考えられますか。

先に説明した意思確認の流れを前提とした場合、今回、ドメイン登録者であるサンライズの意向に反してドメイン移管が実行された理由としては、理論的には、次の3つのシナリオが想定されます。

1つ目は、サンライズの担当者はドメイン移管を拒絶する意思を指定事業者に回答したのにもかかわらず、何らかの手違いで、指定事業者がJPRSに対して承諾の回答をおこなった、あるいは、10日以内にその意向をJPRSに伝達し損ねてしまったというものです。ただし、これはあまり現実的ではないように思われます。

2つ目は、サンライズの担当者が、誤ってドメイン移管の意思確認に対して承諾の回答をしてしまった、というパターンです。担当者がドメインの管理業務に不慣れで、意思確認の連絡の趣旨を勘違いしたまま回答してしまったというシナリオです。

3つ目は、サンライズの担当者が他の業務に忙殺されて、期限内に指定事業者に回答ができず、意思確認ができなかった指定事業者も、JPRSに対して10日以内に回答ができなかったというパターンです。ドメインの管理業務に不慣れな担当者の場合、期限内に指定事業者に回答ができなかった場合にどのような結果が発生するか把握できていないことから、ついつい回答し損ねてしまったというのはあり得る話です。

3つのシナリオをあげていただきましたが、登録者の意向に反するドメイン移管を防ぐには、指定事業者はどのような運用方法をすればよいのですか。

このようなシナリオを経て、ドメイン登録者の意向に反してドメイン移管が完了してしまうという最悪の帰結にいたる事態は、指定事業者の運用次第で防ぐことがある程度は可能です。

シナリオ1は、そもそも発生してしまうこと自体、あまり現実的ではありませんが、指定事業者がミスをしないよう担当者の複数配置やダブルチェックの徹底で防げるでしょう。

シナリオ2は、登録者からドメイン移管の承諾の回答を受け取った際、指定事業者から登録者に対しドメイン移管が進んだ場合に想定される結果を説明したうえで、改めて登録者の意思確認を行うことを徹底すれば、相当程度防げるでしょう。

シナリオ3については、指定事業者から登録者に対し、回答を行わないことによって発生する結果の重大性を説明して、回答を求めることが重要ですが、より現実的な対応としては、回答が期限内に得られなかった場合には、登録者の合理的意思を推察して、登録者に代わって指定事業者が、拒絶の回答をJPRSに対して行う、という運用をとることが考えられます。このような運用をとれば、登録者の意思確認ができなかったことによる、登録者の意向に反するドメイン移管を防止することができます。現実にそのような運用をしている指定事業者もあるようです。

登録者側からはどういった対策が考えられますか。

登録者である企業側の対策としては、平時から、担当者がドメインについて正確な知識と問題意識を持てるよう、企業側が環境を整えること、指定事業者からの意思確認の連絡を見落とすことのないよう注意することが必要です。まず、ドメイン登録・維持の仕組みを把握しておく必要があります。とりわけ、日本国内の多くの事業者が利用しているであろう.jpドメインは、.comドメインをはじめとする一般的なドメイン名とはルールが異なる部分もあるため、注意が必要です。ドメインに関する知識を学習したら、それを整理し、常に参照できる状態にしておくことが賢明です。

また、最近はドメインそのものも多様化し、登録手続きも簡便化してきていることから、社内のどの部門・チームがどのようなドメインを保有しているのかを把握するだけでも大変だったりしますので、一元管理できるような人的体制を整えておくべきです。このような人的体制を整えると、どうしても特定の管理担当者に知識・経験が蓄積されてしまいがちですが、先ほどのように参照できる体制にしておくことで、知識・経験の共有化が可能になります。

特に指定事業者からの連絡は、日常的に受け取るものではないため、ドメイン登録時の担当者の異動・退職で、連絡先メールアドレスが使われなくなっているおそれが現実にあります。このような事態を防ぐためには、連絡先メールアドレスは、担当者個人のアカウントではなく、部門やチームとしてのメールアドレスを設定しておくべきです。またスパムメールのフィルタリングの設定も要注意です。

ドメイン移管が正しく行われていても、「ドメイン乗っ取り」の違法性は認められるか

ドメイン移管について正規の手続が行われていたとしても、ドメインの登録者が損害賠償の請求を行うことは可能でしょうか。またドメインを乗っ取る、もしくは不正に利用する意図などがあった場合、ドメイン移管の申請が法的に罪に問われる可能性はありますか。

正規の手続の運用の難しさを逆手にとってドメインを乗っ取った場合、ドメインの本来の登録者であった企業が、民事上の損害賠償請求を行うことは考えられます。もちろん、損害賠償請求が認められるには、乗っ取り側の行為に違法性が認められることが前提です。この点、正規の手続の間隙を突く手法に違法性が認められるかは難しいところもありますが、自由競争の限度を超えた行為であると認められれば、違法性も認められると考えられます。

刑事的には、偽計業務妨害罪が適用できないかを議論することになるかと思われます。偽計業務妨害は「虚偽の風説を流布し、又は偽計を用いて、その業務を妨害した」場合に認められます（刑法233条）が、正規の手続のルールの間隙を突く手法でのドメインの乗っ取りでは、この手法が「偽計」と言えるかが問題となるでしょう。ドメイン移管の申請が、誰でもできるような制度設計になっているのは、虚偽の申請がないことを前提としていると考えられますが、その前提を裏切るような行為を、どのように評価するかがポイントになるかもしれません。

実際に、どのような行為が「偽計」に該当するかは、時代の背景を反映して、裁判でも様々な行為について議論がされてきました。最近では、インターネット上の虚偽の犯罪予告で、警察や企業に不要な対応をさせるケースが多発していますが、これらは偽計業務妨害罪で摘発されていますので、本件のような手法についても、将来、実務での検討が進むかもしれません。

問題の発生後、サンライズにドメインが戻されました。これはどういったフローを経て戻されたと考えられますか。

サンライズのケースでは詳しい情報が公開されていませんので、どのような手続でドメインが戻されたのか不明ですが、一説には、JPRSが移管が不適切だったことを認め、移管を撤回あるいは再移管したのではないか、と言われています。おそらく、サンライズから指定事業者を経由して、移管の撤回あるいは再移管の申立てが行われ、JPRSがこれに対応したのではないでしょうか。

ドメインの登録者である企業が同様の被害を受けた際に、とるべき対応方法を教えてください。

企業としては、一刻も早くドメインの移管の撤回あるいは再移管を求めるべきです。速やかに対応するためには、IT担当者が自社ドメイン、自社ウェブサイトに異常があれば即時に発見できるよう体制を整え、異常を発見した場合は、法務担当者に即座に連絡が取れ、法務担当者が動き出せるような社内環境を整えておくことが必要です。法務部門とIT部門は、業務内容の関係で没交渉になりがちですが、日ごろから、このようなリスクが現実にあることを共通認識としてもち、連携体制を構築しておくことが重要になります。

上記対応とは別に、企業としては、二次被害の発生阻止に向けた対応が求められます。ドメイン移管がなされた時点で、すでに当該ドメインにアクセスすると、第三者のウェブサイトにジャンプするよう設定が変更されている、つまり、表面上は、ウェブサイトの乗っ取りが行われたように見える状態が発生していると考えられますが、ジャンプ先の第三者のウェブサイトにウィルスが仕込まれていたり、詐欺サイトが置かれていたりすることも想定されます。

そのため、まずは何も知らない一般ユーザーが、当該ドメインへアクセスすることを防ぐ必要があり、企業は、何が起きているのか事態を正しく把握し、正確な情報を広報するべきです。周知の効果を高めるためにも、自社のウェブサイトへの広報文だけでなく、同じドメインを使用している電子メールが利用できる場合もあります。電子メール以外にも、TwitterやLINEなどのソーシャルメディアの活用が有効な対応といえます。

企業がドメインを失わないためにとるべき対策は

企業がドメインの登録者としてドメインの取得、管理を行ううえで、留意すべきトラブルにはありますか。

企業が保有するドメインは、今回のケース以外にも、以下のような場面でトラブルが発生することが多くみられます。

1. ドメインの更新ミスで、ドメインの権利を失ってしまうケース
   ドメインは登録あるいは移転を受けた後、年間料金を支払い続けないと、権利を失うことになります。一定のリマインド期間等を経て、最後まで支払がなされなかった場合は、登録者はドメインの権利を失います。このようなドメインは、通例、一定期間経過後、ドロップし、登録されていない状態になります。登録されていないということは、逆に言えば、新たに同じドメイン名を第三者が登録できることを意味します。


2. ドメインの登録者が適切でないケース
   M&Aに伴うデューディリジェンス（DD）を行っていると、企業が実際に使用しているドメインの登録者が、企業自身ではなく、過去のIT担当者個人のままであったり、創業者の関係する別会社のままであったり、といったケースがしばしばみられます。このような状況を放置しておくと、たとえば、当該元担当者が対応能力を喪失した、あるいは創業者と深刻な対立が発生などした場合に、当該ドメインの維持管理は一気に困難になります。法務担当者は、IT担当者と連携してドメインの登録者を確認し、適切でない場合は、早急に手当てする必要があります。

こういったトラブルを防ぐために、ドメインの登録者である企業にはどのような体制の構築が求められますか。

企業が保有するドメインは、多くの場合、一定の集客力を保有しているため高い経済的価値があり、たとえばドメインの登録期限の更新に失敗して、誰のものでもなくなった結果、新たに自身の名前で登録すべく争奪戦が発生します。この争奪戦は、自動プログラムでコンマ何秒の世界で行われるので、参加できる事業者は限られます。これらの事業者は自身でドメインを保有していても使い道がないため、多くの事業者は、あらかじめオークション形式で、仮に登録が成功したら優先的にドメイン移転を受けられる権利をユーザー間で争わせ、実際にドメイン登録に成功すればオークションの勝利者に移転する、というビジネスモデルを採用しています。

このように、いったん権利を失ってしまうと、ドメインは自社の手の届かないところに行ってしまい、後でもう1回登録しなおすというのは現実的ではありませんので、まずドメインの権利を失うことのないよう徹底した管理体制を整えることが必要です。サークルK・サンクスがファミリーマートへのブランド統合により閉鎖した公式サイトのドメイン「circleksunkus.jp」が、2019年6月1日よりオークションにかけられた事案も参考とすべきでしょう。

現在、「.tokyo」ドメインが登場するなどドメインの自由化が進展しており、企業の各部門が商品・サービスなどアイテムごとにドメインを保有することも珍しくなくなっていますが、各部門に管理を任せておくと、十分に管理しきれない事態につながりかねません。企業としては、各部門がどのようなドメインを保有しているのか、報告を求めて状況を常に把握したうえで、法務またはITの担当者にそれらを一括で管理するといった対応が求められるところです。