委員会資料
第47回JPドメイン名諮問委員会議事録
株式会社日本レジストリサービス 第47回JPドメイン名諮問委員会 議事録
1. 日 時: 2013年12月25日(水) 10:00 ~ 11:33
2. 場 所: 株式会社日本レジストリサービス内 会議室
東京都千代田区西神田3-8-1 千代田ファーストビル東館13F
3. 出席者: 後藤滋樹 委員長
林一司 副委員長
金子宏直 委員
武山芳夫 委員
原隆一 委員
唯根妙子 委員
4. 同席者: 堀田博文 (JPRS 取締役)
常山敬秀 (JPRS 事務局)
宇井隆晴 (JPRS 事務局)
江原誠 (JPRS 事務局)
5. 次 第:
1. 開会
2. 議題
(1) 第7期JPドメイン名諮問委員会委員の交代について
・ご報告
(2) ドメイン名を取り巻く状況について
・意見交換
(3) その他
3. 閉会
6. 資 料:
資料1 JPドメイン名諮問委員会 委員一覧
資料2 JPドメイン名諮問委員会委員 推薦書
資料3 レジストリ・レジストラへの攻撃について
資料4 総務省 情報通信審議会 ドメイン名政策委員会について
資料5 組織合併時等における属性型・地域型JPドメイン名の1組織
1ドメイン名制限緩和について
参考資料1 諮問書:ドメイン名に関する情報通信政策の在り方について
参考資料2 ドメイン名登録管理とDNSのグローバルな連携とJPRSの取り組み
参考資料3 諮問書「組織合併時等における属性型・地域型JPドメイン名の
1組織1ドメイン名制限緩和について」 (JPRS-ADV-2011001)
参考資料4 答申書「組織合併時等における属性型・地域型JPドメイン名の
1組織1ドメイン名制限緩和について」 (JPRS-ADVRPT-2011001)
7.議 事:(◎は委員長、○は委員、●はJPRS取締役及び事務局の発言)
------------------------------------------------------------------------
<開 会>
《出席状況の報告》
●出席状況の報告の前に第7期委員の交代について事務局から報告する。第7期JP
ドメイン名諮問委員会委員として就任いただいていた松本恒雄氏が7月31日付で
辞任され、諮問委員会より後任として金子宏直氏を推薦いただいた。これを受け
て、11月13日のJPRS取締役会において、推薦書に基づき金子宏直氏に諮問委員へ
就任いただくことを決議した。その後、金子宏直氏より就任の承諾をいただき、
本日の委員会に諮問委員として参加いただいている。
●本日の委員会には、後藤滋樹委員長、林一司副委員長、金子宏直委員、
武山芳夫委員、原隆一委員、唯根妙子委員、以上6名全員の出席をいただいてい
る。従って、JPドメイン名諮問委員会規則第13条に規定されている、開催に必要
な定足数の「全委員の過半数」を満たしていることを報告する。
本日、JPRSからは、堀田博文、常山敬秀、宇井隆晴、江原誠が同席する。
<議題(1) 第7期JPドメイン名諮問委員会委員の交代について>
◎「第7期JPドメイン名諮問委員会委員の交代について」の内容については、先
に事務局から報告いただいた通りであるため、割愛させていただく。金子委員か
ら挨拶をお願いしたい。
○私の専門は、裁判に関する法律の民事訴訟法である。東京工業大学で教えるの
は16年目になるが、法律が専門の教員は、私1人のみという状況である。近年、
著作権や特許権が大学においても重要となっており、学内の知的財産権関係の動
きにも携わっている。松本恒雄前諮問委員とは十数年前に米国の情報関連の法案
の在来調査でお世話になった。以来、電子商取引法などに関しても研究を行って
いる。よろしくお願いしたい。
<議題(2) ドメイン名を取り巻く状況について>
◎「ドメイン名を取り巻く状況について」に関して、JPRSより説明いただきたい。
●今回の委員会では、前回と同様に諮問という形にはなっていない。課題の候補
はいくつか考えられるが、その課題に関して引き続き外部の状況が動いていたり、
調査・分析・検討の途上にあったりするものが多いという状況である。今回の
委員会では、今後の諮問も念頭に置きながら、今後のご議論に役立てていただく
ための情報提供をさせていただく。資料の内容について、事務局より説明する。
[事務局より資料について説明]
- 資料3 レジストリ・レジストラへの攻撃について
- 資料4 総務省 情報通信審議会 ドメイン名政策委員会について
○ネームサーバーの書き換えに関しての不正な攻撃は、資料3で説明いただいた
パターンがほとんどなのか。その他にも想定しうる攻撃の手法が存在するのか。
●これまでは、DNSに偽の情報を紛れ込ませ、利用者を別のWebサイトに誘導する
手法であるキャッシュポイズニングにフォーカスがされていた。これは、DNSSEC
にて、DNSの応答のやり取りが正しいことを確認することにより対処可能となり、
JPドメイン名を含め世界的にセキュリティが高まっている。一方、データベース
自体の書き換えというのは、従来まで事象としてほとんど発生していなかった。
セキュリティ対策が不十分なレジストリへの攻撃発生を皮切りに、それを模倣す
る形で事件が頻発するようになったのではないかと推測する。
○既に発生した事象に関しては対策がとられたと思うが、新たな手法で攻撃が行
われる可能性はあるのか。
●脆弱性が無くなることは無いため、新たな手法での攻撃は起こりうると考えて
いる。ただし、運用側で脆弱性への対策を確実に行うことで、リスクを低減させ
ることは可能だろう。また、脆弱性情報をいかに適切に流通させるかということ
は考える必要があると思う。対処が必要な対象へ脆弱性情報を提供しつつ、不正
を行うこと考える人へ情報が流通しないように注意する必要がある。
●ID/パスワードのメモを落としてしまうことにより、レジストラの申請用ID/
パスワードが盗まれてしまうという事象も発生しうる。システム面での対策に加
え、ID/パスワードの管理者への啓発、ID/パスワード以上にセキュリティが強
固なPKIなどによる認証方法を導入するなど、システム面と人的面の両面で対策
を進めていく必要がある。
○資料3の10スライドに記載されたJPRSの主な取り組みは予防的な話が中心であ
り、これらは必要だと感じるが、情報流出やデータベースの改ざんなどの被害を
受けた場合に、いかに早くその被害を検知できるかも重要だと考える。そのよう
な手段は検討しているか。
●この場で申し上げられる現状の対策としては、申請元のIPアドレスの確認や通
常と極端に異なる申請パターンからの検知の実施・検討を行っている。
◎JPNICのIPアドレスにおいても同様の課題が存在する。正しく入力してもらう
必要があるが、そうすると不便になってしまう。また、PKIなどにおいても、認
証に使用するカードを盗まれてしまう可能性もある。どう対処しても完璧に防ぐ
ことが出来ないとすると、インシデンント対応として、波及範囲・時間を少なく
していくことが重要だろう。
○最近のID/パスワードの流出では、管理者用の内部アカウントを盗まれ、社内
ネットワークから管理用サーバーにアクセスされたという事例もあった。その後
の処理により発覚したとのことだが、不正を行う人が巧妙な手口で攻撃した場合
には、発覚しない場合もある。内部から攻撃されると、対処するのは難しいので
はないか。
◎何か主張したい人が不正を行うと、見た瞬間に被害を受けたことが分かるが、
目立たないように不正をされた場合は、被害を検知することが難しいだろう。
早稲田大学では、公認サークルに加え、大学名を附した非公認団体のWebサイト
に関しても、メディアネットワークセンターなどで脆弱性チェックを行っている。
全ての部分が確実に対応を行うというのは、なかなか難しいことだろう。
○資料3の10スライドに記載されたJPRSの主な取り組みが予防的だという話があっ
たが、実際に事象が発生する前に訓練やシミュレーションなどは行うのか。例え
ば、緊急停止は発覚後どの程度の期間で停止されるものなのか。
●緊急停止は、社内のプロセスとしては単純であり、すぐ実施可能である。また
シミュレーションとして、脆弱性の試験は実際に外部から様々な攻撃手法を試し、
侵入されないことを確認する手順があり、定期的に確認している。
◎以前、JPRSに迅速に対応していただいた経験があるため、JPRSの体制が構築さ
れていることは把握している。しかし、JPRSだけが努力すれば良いという問題で
はなく、注意喚起を広報する意味でも、一般的に行われている防火訓練のような
シミュレーションを行い、何も事件は発生していないが、しっかり対処している
ことをアピールしても良いのではないか。
○紙の情報よりも、画面などを通じて実際に経験する方が衝撃的であり、レジス
トラにとってもわかりやすいと感じる。また、私たち一般の利用者も注意するこ
とがあるのであれば、知っておくことは大事だと感じた。
●本件に限らず、JPRSが行っていることは、きちんとアピールしていく必要があ
る。
○資料3の8スライドの最近の発生事例において、不正な書き換えを誰が発見し、
誰が対処できるのか。
●多くの事例において愉快犯的な攻撃であったことが発覚の大きな要因となって
いる。標的となりやすいのは、GoogleなどのメジャーなWebサイトであり、発覚
元は様々であるが、突然別のWebサイトが表示されるようになり、調査により書
き換えが判明した。誰が対処するのかは、資料3の7スライドのポイントによって
異なるが、成りすましの場合、認証情報が第三者に漏れた可能性が高いため、一
度アカウントをロックし、新しい認証情報を発行する手順となる。その際にどう
漏れたのかを聞き、対策が取られていると考えている。システムの不正侵入は、
脆弱性を放置していた場合が多く、システムの管理体制の中で穴を塞いでいくこ
とが大事である。ただし、詳しい事象を公開しているレジストリ・レジストラは
少なく、あまり把握しきれていない。
○本件は、DNSに限らず企業活動においても共通の事項である。当社では、脆弱
性においてリスクが高く、攻撃ツールまで世の中に存在することが発覚した段階
で、サービス自体をとめる判断になっている。DNSを停止するのは影響が大きい
と思うが、資料3の8スライドに記載されている最近の発生事例において、DNSを
停止したケースは存在するか。
●DNSを停止した事象は把握していない。多くの場合、いくつかのドメイン名の
DNSが書き換えられたため、それを正しい情報に書き直したようだ。
○本当に悪意がある場合、管理下の全ドメイン名を書き換えられる可能性がある
だろう。
●管理下のドメイン名への書き換えを防ぐため、DNS自体の停止ではなく、レジ
ストリへ手続きを行うWebサイトの停止が考えられる。そのWebサイトに脆弱性が
あったことにより、該当のWebサイトを停止した事例は存在する。
◎DNSそのものの話として、DNSにDoS攻撃が行われ停止したことがある。例えば、
韓国は、2003年にSlammerウイルスによるDoS攻撃を受け、DNSを停止させられた
ようだ。
○本諮問委員会における議論から少しずれるが、利用者の立場から考えるとドメ
イン名をどこまで信用して良いのかという話にもなってしまう。今回は、レジス
トリ・レジストラのDNSの話であるが、企業のDNSが書き換えられたり、利用者の
ブロードバンドルーターが書き換えられてしまうと、被害を受けていることの判
別が不可能である。その際に、レジストリ・レジストラの対処に加え、企業の担
当者や機器ベンダーをどう巻き込んでいくのかという議論について、誰がイニシ
アティブを取るべきか、疑問を感じている。
◎その通りだと思う。利用者からすると、ブロードバンドルーターも通信事業者
も連動して対策してもらう必要があるだろう。全体として、連携を取ったり、呼
びかけなどを行うことも必要だろう。
○総務省 情報通信審議会 ドメイン名政策委員会では、2014年3月までという早
いタイミングで方向性が示されるようだが、JPRSの業務運用への影響について、
意見を表明する予定はあるか。
●JPRSとしての意見は、11月28日に行われた事業者ヒアリングや、今後予定され
ているパブリックコメントの機会などで示していくことになると思う。
○どなたが構成員なのか。
●本日、構成員一覧を資料として用意していないが、Webにて公開されている。
具体的には以下の方々である。
[総務省 情報通信審議会 ドメイン名政策委員会 構成員]
--------------------------------------------------------------------
主査・専門委員
村井 純氏 (慶應義塾大学環境情報学部長兼環境情報学部教授)
委員
新美 育文氏 (明治大学 法学部 教授)
専門委員
池田 千鶴氏 (神戸大学大学院法学研究科准教授)
江崎 浩氏 (東京大学大学院情報理工学系研究科教授)
加藤 幹之氏 (インテレクチュアルベンチャーズ日本総代表)
上村 圭介氏 (国際大学グローバル・コミュニケーション・センター
主幹研究員・准教授)
木下 剛氏 (シスコシステムズ合同会社専務執行役員)
小塚 荘一郎氏(学習院大学法学部教授)
沢田 登志子氏(一般社団法人ECネットワーク理事)
土井 美和子氏(株式会社東芝 研究開発センター首席技監)
森 亮二氏 (弁護士)
森川 博之氏 (東京大学大学先端科学技術研究センター教授)
山本 隆司氏 (東京大学法学部教授)
吉川 萬里子氏(公益社団法人全国消費生活相談員協会理事長)
--------------------------------------------------------------------
○承知した。構成員の方々には詳しい方々がいらっしゃるようだ。
◎総務省のWebページにて議事録なども早い段階で公開されているようだ。
○後藤委員長の話に、大学から学生サークルのWebサイトの運用に関して指導す
ることもあるという話があったが、その際に指導の根拠となるのは、大学の情報
資産を利用しているためであると思う。ドメイン名に関しては、様々な事業者を
通じて登録するケースがあり、その際に、何を根拠にサービスを停止するなどの
行為が出来るのかは、検討が必要ではないか。
◎その通りで、考えていく必要がある。技術的にはDNSをどう運用すべきかを定
めた標準があり、それに従っていない場合は、警告を行うというのがある。それ
に対して中身の話では、ICANN、レジストリ、登録者等との契約や規則が存在する。
●JPドメイン名の場合は、レジストリと登録者の間で登録規則が存在する。本規
則の中で各ドメイン名については、個々の登録者が最終権限を保有していること
が規定されており、原則的には登録者の意思通りJPRSはデータベースを更新して
いる。実際は、JPRSと契約を締結した指定事業者が手続きを仲介し、指定事業者
が登録者の代行としてレジストリのデータベースを更新することが、その契約に
定められている。また、登録者と指定事業者との間にサービス約款などが存在し、
登録者と指定事業者の役割分担はそのサービス約款に示されている。しかし、そ
こは、事業者に裁量の自由が存在する。
◎一般的に良くないと言われているカテゴリが存在し、そのカテゴリに該当した
ドメイン名を停止する根拠はあるのか。
●ドメイン名の登録において何が不正かはルールで決まっている。JP-DRPなどに
おける不正なドメイン名の登録・使用に該当する場合、裁定の結果を受け、取消
や移転などが行われる。ドメイン名の使われ方が不正なものは、Webサイトのコ
ンテンツの中身の話であり、ISPなどがサービス約款などに基づいて対処してい
ることが多い。不正が行われている部分に応じて、それぞれ適切な組織が対処し
ている。
●原則は上記の通りだが、JPRSと登録者の間の登録規則内では、不正に使用され
た場合、最終的にはレジストリがそれを停止する権限があると定めている。これ
は多くのTLDにおいても同様である。ただし、これを根拠にドメイン名の取消な
どを行ったことはない。
◎色々と複雑ではあるが、現在までに発生した事象については、対策も含め検討
されているということだろう。
<議題(3) その他>
◎本日の議題は以上だが、「組織合併時等における属性型・地域型JPドメイン名
の1組織1ドメイン名制限緩和について」報告があると伺っている。JPRSより説明
をお願いしたい。
●2012年3月に諮問委員会より「組織合併時等における属性型・地域型JPドメイ
ン名の1組織1ドメイン名制限緩和について」の答申をいただき、JPRSにて、その
答申に従い検討・開発を進めてきた。本日は、その状況と内容を報告させていた
だく。
[JPRSより資料について説明]
- 資料5 組織合併時等における属性型・地域型JPドメイン名の1組織1ドメイン
名制限緩和について
◎合併や事業譲渡などに該当する場合は、登録者から何か手続きが必要か。
●合併時などは登録情報の変更が必要となる。その際に、複数ドメイン名を登録
することが明らかとなるため、JPRSにて判断し、対処していくことになる。
○例えば、合併や事業譲渡は行っていないが、薬局や介護サービスなどがフラン
チャイズ化し、ドメイン名は従来のままだがWebコンテンツはグループ企業のよ
うに見える事例が存在する。その際に、ドメイン名を複数件登録しているように
見えるが、そのような使い方に関しての検討は行うのか。
◎形式的には独立しているが、利用者からは同一企業が複数件のドメイン名を登
録しているように見えるということか。
●基本原則としては、登記1社につき1ドメイン名である。それ以上の使用を希望
する場合は、汎用JPドメイン名やサブドメイン名を使用するという状況だろう。
それに関してのレジストリとしての対応が必要かどうかは、認識していない部分
であった。
◎想定と違う使われ方をしているかの実態調査は行った方が良いだろう。
○ビッグデータなどに関連して、レジストリも多くの情報を保有していると思う
が、情報の取り扱いについて、政府からJPRSに対して働きかけはあるか。
●一般的なビッグデータや個人情報の取扱いについては、様々な場所で検討され
ていると思うが、ドメイン名の登録情報に限って情報の取り扱いについて議論を
しているという動きはないようだ。また、政府からJPRSへ個別の働きかけを受け
たという状況でもない。JPRS自身は、これまで登録情報の取り扱いには慎重に検
討してきた。登録情報は原則Whoisで公開しているが、本当に公開が必要な情報
は何かを見極めつつ、状況の変化に応じて非公開項目を増やしたり、内部におい
てもアクセス権限などを検討し、情報を守ってきた。ただし、昨今言われている
ような情報活用の側面からは、具体的に打ち出している事項は現状ではない。
○私が把握している情報では、12月には政府からパーソナルデータ取り扱いの指
針が出るようだ。現政権はビッグデータの活用を成長戦略としているが、一方、
パーソナルデータの保護も重要なテーマであり、今後検討が行われる。関連して
2015年度の個人情報保護法改正に向け、2014年度は準備期間とし、各種データの
活用と個人情報の保護のバランスの議論をすることになるようだ。
《今後の予定について》
◎次回の委員会の具体的な日程については、事務局から案内させていただく。
<閉会>
------------------------------------------------------------------------