委員会資料
第21回JPドメイン名諮問委員会 議事録
株式会社日本レジストリサービス 第21回JPドメイン名諮問委員会 議事録
1. 日 時: 2007年8月23日(木) 10:00 ~ 11:40
2. 場 所: 株式会社日本レジストリサービス内 会議室
東京都千代田区西神田3-8-1 千代田ファーストビル東館13F
3. 出 席 者: 後藤滋樹 委員長
遠藤紘一 委員
加藤雄一 委員
高瀬哲哉 委員
唯根妙子 委員
4. 同 席 者: 堀田博文 (JPRS 取締役)
濱川渡 (JPRS 取締役)
谷島隆彦 (JPRS 企画部長)
松丸真紀子(JPRS 企画部)
5. 次 第:
1. 開会
2. 議題
(1) 第4期JPドメイン名諮問委員会委員の交代に関するご報告
(2) 2007年度諮問事項についてのご報告、ご審議
(3) その他
3. 閉会
6. 資 料:
資料1 JPドメイン名諮問委員会 委員一覧
資料2 JPドメイン名諮問委員会委員 推薦者
資料3 諮問書「フィッシング被害防止においてドメイン名レジストリが
担うべき活動の方針について」(JPRS-ADV-2007001)
資料4 フィッシングへの対策について ~ドメイン名の観点から~
資料5 フィッシングの動向
参考資料1 JPドメイン名諮問委員会規則
7.議 事:(◎は委員長、○は委員、●はJPRS取締役および事務局の発言)
------------------------------------------------------------------------
<開 会>
《開会の挨拶》
《出席状況の報告》
●出席状況のご報告の前に、第4期委員の交代についてご報告申し上げる。
本年4月より第4期JPドメイン名諮問委員会委員としてご就任いただいていた棚橋
康郎委員および西郷英敏委員より、前回20回の委員会後に、期中における辞任の
お申し出があった。その後、後任の方について、本年7月26日に委員会より、お
手元の資料2のとおり、遠藤紘一様および高瀬哲哉様をご推薦いただいた。
これを受け、JPRSにおいては、8月8日(水)に取締役会を開催し、推薦書に基づき、
ご後任として遠藤紘一様および高瀬哲哉様を諮問委員に任命させていただくこと
を決議した。その後、お二方からも、就任へのご承諾をいただいたので、本日、
「第21回JPドメイン名諮問委員会」を開催させていただいた次第である。以上、
第4期委員の交代につき、その手続きと経過についてご報告した。
続いて本日の出席状況をご報告する。本日の委員会には、後藤滋樹委員長、遠藤
紘一委員、加藤雄一委員、高瀬哲哉委員、唯根妙子委員、以上5名のご出席をい
ただき、諮問委員会規則における開催に必要な定足数を満たしていることをご報
告申し上げる。
松本恒雄副委員長については、本日、ご都合によりご欠席の旨、予めご連絡をい
ただいている。本日の議案につき、松本副委員長からのコメントを、必要に応じ
議事の中で紹介する。
<議題(1)第4期JPドメイン名諮問委員会委員の交代に関するご報告>
◎「第4期委員の交代」については、先ほどJPRSよりご報告いただいたので、こ
こでは割愛する。
<議題(2)2007年度諮問事項についてのご報告、ご審議>
◎本年5月30日に開催された第20回委員会のなかで、「JPドメイン名の概況と
2007年度の検討課題」として、諮問書をご提出いただくにあたり、JPRSより3つ
のテーマを挙げていただいた。今回は、そのうちの1つである「フィッシング被
害防止においてドメイン名レジストリが担うべき活動の方針」について、諮問書
としてご提出いただいている。諮問書の内容について、JPRSよりご説明いただき
たい。
[取締役堀田博文より諮問書について説明]
- 資料3 諮問書「フィッシング被害防止においてドメイン名レジストリが
担うべき活動の方針について」(JPRS-ADV-2007001)
●詳細については事務局より説明する。
[事務局より資料について説明]
- 資料4 フィッシングへの対策について ~ドメイン名の観点から~
- 資料5 フィッシングの動向
◎松本副委員長からのご意見をご報告いただきたい。
●松本副委員長からのご意見をご報告する。
フィッシング被害防止のためにレジストリができることについて検討するという
のは重要な課題である。総務省の迷惑メールの研究会でも、オプトイン、ボット
による送信行為と並んで、フィッシングも特定メール法の対象に取り込むべきか
という点について議論を行った。それぞれの関係者ができうる対策をとることが
肝要と考える。
○論点をはっきりさせておきたい。事務局からのご説明では、大部分がフィッシ
ングの被害拡大をどう防ぐかという論点である。フィッシングの発生を未然に防
ぐこと、および発生したフィッシングの被害拡大を防ぐこと、という2つの論点
に分けて議論する必要があるという理解でよろしいか。
◎事務局からのご説明にもあったが、フィッシングの発生を未然に防ぐことは、
コストやレジストリの役割としてどこまでできるか、ということからすると難し
い。ご指摘のように基本的な考え方を明確にしておいた方がよい。
○事務局で具体的にどう進めようとしているのか、といったことがあれば教えて
いただきたい。
●まず論点については、レジストリの立場からすると、フィッシングの発生を未
然に防ぐことは難しいと考えており、発生したフィッシングの被害拡大をどう防
ぐかということについてご議論いただけるとありがたい。また、具体的な進め方
については、関係機関と協力しながら最良の方法を見つけていきたい。レジスト
リとして公平・中立であること、適切な使い方をしている方々のドメイン名まで
取り上げることがないよう考慮する必要がある。レジストリとして、ドメイン名
の使用停止といった対策をどこまで強く行うべきなのかについてもご意見などい
ただきたい。
◎議論の方向性を限定したいわけではない。しかし、諮問委員会として出す答申
に詳細な手続きまで示すのは難しいと考えている。また、レジストリとしての役
割を果たすには、ドメイン名に関わる活動のみならず、他の関係機関と連携した
注意喚起などの活動も必要と思う。従って、答申はある程度抽象的かつ総合的な
内容になるのではないか。
○インターネットはオープンな世界である。そこに参加しているレジストリや
ISPなどが無関心だと、インターネットを悪用する者が増え、利用者の安心・安
全が脅かされる。関心を持って安心・安全に向かうよう努力すべきであり、この
ような行動や姿勢をとることが重要であると思う。しかし、JPRSはJPドメイン名
における唯一のレジストリとして、JPドメイン名の基本的な部分を管理している。
どこまで踏み込んだ行動をすべきかは、この点を考慮して慎重に検討する必要が
ある。
○JPRSがとることができる対策の情報を提供することも有効であると思う。
○JPRSはここまでできるとアピールした場合、なぜやらないのかという反応が返っ
てくるのではないかと思う。JPRSがドメイン名の使用停止を行うと、フィッシン
グを行っていないユーザまで止めてしまう可能性がある。フィッシングを発見し
た場合に、ISPなどに通知するといった対策も可能と思う。
○フィッシング被害が大きいのは最初の数時間のようだが、その後は収束するの
か。またどういう形で収まるのか。
●よくある例で言うと、数時間から数日経つとフィッシングサイトはなくなる。
あのWebサイトは危険である、という情報が流れ、フィッシングサイトを継続す
る意味がなくなることから被害は収束する。
○次のフィッシング被害を止めるためには、フィッシングを行う人を捕まえるこ
とが重要であると思う。資料5の9ページにある検挙は、どういう経緯でそこに至っ
たのか。検挙していけば抑止力が働くのではないか。
●どのようなプロセスを経て検挙に至ったのか調べてみる。
○レジストリが行うかどうかは別として、フィッシングを行うと捕まるという情
報を提供すると、抑止効果があるのではないか。
○インターネットのオープン性を担保し、さらに発展させていくということは重
要だが、安心して使えることが大前提であると思う。そうであれば、やるかやら
ないかは別として、レジストリがドメイン名の使用を停止させるといった強い権
限を持ち、安心・安全を守る必要性があることを示すことが重要であると思う。
その場合の具体的な運用は注意する必要がある。安心・安全を守ることが、イン
ターネットのオープン性を守ることであり、インターネットを発展させることに
つながると思う。レジストリがドメイン名の使用停止の権限を持つといった、強
めの答申の方がよいのではないかと思う。
○安心・安全を守ることは全くその通りであると思う。即効性という意味で数時
間の間に行動することとして何がよいのか、フィッシングが行われる数時間の行
動としてあまり過激なことはどうかと思う。
○フィッシングであると検知し認定することは数時間では難しく、フィッシング
に対する迅速な対応ができない。次のフィッシングを発生させないように、フィッ
シングを行っている人に対して抑止力を働かせることが最も有効なのではないか。
発生したフィッシングに関しては、利用者が自分で被害を防ぐべきではないか。
○ドメイン名とフィッシングの関係でいうと、似たような紛らわしいドメイン名
を使ったフィッシングがある。また、メール本文に書かれているドメイン名は正
しいドメイン名であるが、リンク先は別のところに飛ばされるというものもある。
紛らわしいドメイン名を持たなくてもフィッシングはできてしまう。紛らわしい
ドメイン名を登録させないといったことは、抑止力につながるかもしれないが、
フィッシングを行っている人からすれば、紛らわしいドメイン名でなくても、ド
メイン名を持っていればフィッシングはできてしまうので、そこから捕まえてい
くのは技術的には難しいかと思う。
◎利用者はSSL証明書などの情報を注意深く見ていないと思う。フィッシングを
行う人は様々な方法で仕掛けてくるので、いろいろな関係機関と連携が必要であ
る。フィッシングを行う人は、登録ルールが厳格でないドメイン名を使う傾向が
あると思う。関連して、スパムの対応も地域によって異なっている。そういった
ことも含めて全体を注意深く見守る必要がある。
○海外でフィシングサイトを立ち上げられた場合などを考えると、グローバルに
連携していく必要があると思う。
◎国際的な会議の場などで情報交換が行われているようだが、状況はどうなって
いるのか。
●2つの取り組みが考えられる。一つ目はベストプラクティスの共有であり、す
でに始まっている。フィッシングについては、日本のみならず様々なccTLDが、
レジストリとしてどのような対応をとれるか検討している。例えば.uk(イギリ
ス)にも諮問委員会があり、最近議論されているところである。二つ目に考えら
れるのは、ccTLD間の連携を通じたフィッシングの取り締まりであろう。しかし、
これについては進展していない。レジストリが決めるべきことではないという考
え方もある。なお、各国にCERTがあるが、CERT同士の情報共有、連携は進んでき
ていると聞いている。
◎国際的にみればJPドメイン名は登録数が多い。JPRSのような形態での運営は他
の国の参考事例になっている。この諮問委員会も注目されているといえるかもし
れない。JPCERT/CCは国際的な場で発表などされており、連携がとられてきてい
る。
○資料5の17ページにあるフィッシング対策に関連する団体と、情報交換など行っ
ているのか。
●JPCERT/CCとは情報を共有しており、どう連携すべきか相談している。個別の
事例があった時に情報交換し、指定事業者と一緒にどうやって早く止めるかとい
う相談をしている。協議会関係では、レジストリがメンバに入っていないという
状況であり、実際にレジストリが関係者として動くべきだと考えている。総務省
とは話を始めており、レジストリとして何ができるかを、フィッシング対策推進
連絡会の中で話させていただくことから始めようとしている。
○消費者はそもそもドメイン名を意識していないと思う。さらなる情報提供、関
係機関との連携を進めていただきたい。
◎JPRSが消費者と接する機会は多くない。むしろ関係機関に理解を深めていただ
くことが先決と思う。少なくともJPRSが関心を持っていること、国際的に連携し
ていることなど、必要に応じてWebサイトなどを通して示していただきたい。答
申に関わらず定常的な活動として進めていただきたい。
○資料5の22ページにある、フィッシング対策サービスは、企業が申し込んで行っ
ていることなのか。不特定多数の企業に対して行っているサービスではないとい
うことか。
●そうである。顧客である企業からお金をもらって行っているサービスである。
○資料5の9ページにある不正アクセス行為の検挙件数において、フィッシングが
関係しているものがどれだけあるのか。また、それはどういうケースなのか。抑
止力などに使えるものがでてくると思う。
●どのようなプロセスを経て検挙に至ったのか含めて調べる。
◎本日ご説明いただいた諮問書の内容と、皆様のご意見に基づいて、本年11月頃
の委員会でさらに議論を行い、来年2月頃の委員会で答申書としてまとめるとい
う流れになると思う。それに限らず、ご指摘いただいた点でできることがあれば
進めていただきたい。答申書については、具体的なアクションというよりは基本
的な考え方や姿勢といったものになるのではないかと思う。本件については、事
務局で取りまとめをお願いしたい。
<議題(3)その他>
《今後の予定について》
◎2007年度の諮問委員会の開催については、第21回を2007年11月に予定している。
具体的な日程については、事務局からご相談させていただきたい。以上をもって、
第21回諮問委員会を閉会とする。
<閉会>
以上
