利用できるドメインの種類が増えると、詐欺サイトやフィッシングが増える可能性がある。

JPRS(日本レジストリサービス)は、トップレベルドメイン「.jp」を管轄してる企業であるが、ご存知の通り、JPRSは2012年11月より都道府県型JPドメイン名を新たに導入している。都道府県型JPドメイン名とは、「tokyo.jp」「kanagawa.jp」「osaka.jp」のように、トップレベルの「.jp」の構造に、全国47都道府県の名称を含めたドメイン名のことだ。

さらに酷いことにその後、「.tokyo」「.osaka」「.nagoya」など、日本の都道府県をトップレベルドメインとするドメインも登場し、ドメイン界隈は混沌としている。例えばあなたが東京ディズニーランドの広報担当あるいは、インターネットマーケティング部門や法務部門の人だったとして考えて欲しいのだが、そのような新しいドメインが登場するたびに、あなたは、その新しく登場したドメインの自社(ディズニー)に関するドメインを取得するのか、毎回検討しなければならない。

なぜならば、もしあなたが新しい登場したトップドメインに対して東京ディズニーランドに関するドメインを取得しないという決定をしたのであれば、関係のない第三者が「disneyland.tokyo.jp」や「disneyland.tokyo」などのドメインを取得し、あたかも公式のディズニーランドであることを装って、例えば詐欺まがいのサイトやメールを打ち出すことができるからだ。そのようなことに備えるために、使用する用途がなくても、守りのためにドメインの取得を検討せざるを得ない。

実際に、2012年に非営利団体ICANNは、財政面などのビジネス的観点を踏まえた上で戦略的に新gTLDを増やしていくことを明言しており、最近では主にECサイトでの利用を目的として「.shop」というドメインが登場した。お名前.comなどの広告で目にした人も多いのではないだろうか？

ドメインの種類が雑多に多くなることの何が問題なのかというと、上記のように企業側の運用負担が大きくなることも１つであるが、最も憂いべきなのは、「.tokyo」「tokyo.jp」などの新しくできたドメインが、あたかも既存の知名度を得たドメイン「.jp」などのダミードメインとして、フィッシングや詐欺などに使われる可能性があることだ。LINEやTwitterなどのように１企業の中で閉じたサービスであれば、公式認証マークを付加することで、その正当性を担保することができるが、ドメインのように世界的に標準化された仕様の場合、認証マークのような定義を追加することは難しく、本当に信用してよいドメインなのかの判断は、ユーザー側に委ねられている。

現実として、「zei.tokyo.jp」というドメインは、あたかも「東京都の税金」に関する公的機関のドメインのように思われるが、実際にこのドメインを取得したのは立命館大学の教授で、「フィッシングサイトなどを作られかねない状況だったので実験的に確保した」というコメントをしており、同様に、ドメインの文字列空間は広いので、様々な「あたかも公的ドメイン」が既にこの世に存在しているかもしれない。

私自身、都道府県型JPドメイン名が登場したときに「yamaguchi.jp」を利用して「hotaru.yamaguchi.jp」というドメインを取得して(空いていたので取得できる状況だった)、サッカー日本代表の山口蛍選手のサイトを作ろうかと思ったが、別にファンでもないのでやめておいた。

このようにドメインが増えるごとに、「あたかも公的ドメイン」のリスクが発生してくるので、RFCとして、認証されたサイトを判別する基準を設ける必要ががあるのではと思う、今日この頃である。