GDPR・WHOISのブランド保護への影響9か月後の状況

GDPR・WHOISのブランド保護への影響:9か月後の状況

Brian King
Director of Internet Policy and Industry Affairs

2019年3月10日

昨年10月、登録データ(「WHOIS」)の改訂が、ドメイン名の保護、模倣防止、著作権侵害防止、詐欺防止サービスに与える影響に関する記事を投稿しました。その記事で説明したように、MarkMonitorは、侵害しているドメイン名の調査、フィッシング攻撃元の特定、サイバー犯罪者、模倣者、侵害者に対する停止通告書の発行など、正当な目的のためにWHOISのデータを使用しています。GDPRが施行され、ICANNから登録データの収集、保存および表示に関する暫定仕様が発行されて以来、MarkMonitorは侵害やその他の不正を阻止するために必要なWHOISデータを得るため、レジストラやレジストリと協力してきました。GDPRの施行から9か月が経過し、ドメイン登録データの取得という点で、ある程度の進展はありましたが、現在でも対処が必要な重大な課題が残っています。

 

WHOISデータの取得に成功したケース

ICANNが暫定仕様を制定してから、MarkMonitorは侵害ドメイン名の45%に関して、WHOISデータを取得することに成功しました。下図に反映されているように、一部のレジストラはGDPRが適用されない登録者(米国や中国など、GDPRの支配を受けない管轄区域の登録者など)のWHOISデータを改訂することなく、完全に公開しています。地理位置に基づき登録者を区別し、管轄区域のみにこのヨーロッパの規制を適用するべく、ご協力いただいたレジストラの皆さまには、本当に感謝しています。

 

登録者情報入手成功率
図1. 侵害しているドメイン名について、未改訂のWHOISデータの取得に成功したケース

 

データが公開されていない場合は、レジストラに公開リクエストを送ります。成功率は低くく、また最低限の情報しか公開していないレジストリ(.comや.netなど)は登録者データを持っていないため、このようにレジストラに要請を送った数は最低限の範囲に留まります。WHOISデータの取得に成功したケースに注目すると、レジストラに要請を送ってデータを取得したケースと比べ、公開されているWHOISからデータを取得したケースが8倍近くも多くなっています。

 

削除されたWHOISデータの開示要請

また、これまでの9か月間、MarkMonitorチームと協議を行い、WHOISデータ請求プロセスの改善に協力して頂いた大勢のレジストラを始め、説明やご協力をいただきましたレジストラの皆さまに感謝を申し上げたいと思います。レジストラ・ステークホルダー・グループ(Registrar Stakeholder Group)のメンバーからのこうした協力が非常に重要になっています。データ請求手続きを効率化するため、引き続きご協力いただけますようお願い申し上げます。

 

一方で公開されているWHOISデータが改訂されている場合、侵害ドメインについて削除されたデータを請求しても、データを取得できる確率は低く、15個以上のクライアントブランド全体で1,000件以上の請求を行いましたが、86%という失敗率を記録しています。

 

登録者情報請求結果
図2. レジストラへのデータ請求結果

 

MarkMonitorは、各侵害を慎重に分析し、WHOISデータが必要な場合は、最善を尽くして、完全かつ現実的な請求を行いました。暫定仕様によって、レジストラには、MarkMonitorの正当な請求目的と登録者のプライバシー保護の間でバランステストを行うことが義務付けられています。このバランステストの結果、MarkMonitorが請求したデータをすべて取得できる可能性は非常に低いことはわかっています。MarkMonitorは、レジストラのバランステスト評価に合格できる請求方法を把握するため、引き続きレジストラと協力していきます。

 

非常にもどかしい状況ですが、レジストラに送った請求の5件に1件は、自動返信されるか、完全に無視されます。暫定仕様の施行から9か月が経過しましたが、多くのレジストラがバランステストを行わないだけでなく、登録者に問い合わせを行うために必要なウェブフォームも作成していません。未回答のレジストラの多くは、単純に全面拒否し、請求内容の検討すら行っていないか、召喚状に関する方針やUDRPの記録がない改訂されたWHOISデータを提供してきます。バランステスト義務を拒否しているため、暫定仕様に適合していないと考えるレジストラからの回答例をご紹介します。

 

お世話になります。

弊社は、本件に協力することができません。詳しくは、レジストリまでお問い合わせください。
質問または懸念事項等がございましたら、遠慮なくご連絡ください。

宜しくお願い致します。

 

お世話になっております。

該当のドメインの窓口情報は、GDPRの下で保護されています。
表示される情報に誤りはないため、本WHOISの誤りに関する苦情申し立て案件はクローズしました。

宜しくお願い致します。

 

クライアント各位

お客様のお問い合わせ内容に対応させていただきたいとは存じますが、弊社はクライアント情報を提供することができません。
弊社の方針により、クライアントのプライバシーが尊重されます。ご提供できる情報は、WHOIS検索に記載されるデータのみとなります。

宜しくお願い致します。

 

大抵は、このように回答されます。実際、20以上のレジストラから、20種類以上の拒否通知を受け取りました。このような対応は問題です。必要な時に登録者データを提供させる強制力のある義務を課さなければ、多くのレジストラは自動的に最もリスク回避型の立場を取るということを証明するために、MarkMonitorはこの問題を取り上げています。

 

MarkMonitorは、ICANN違反の申し立て手続きを通してレジストラに抗議することは望んでおらず、適切な協力や誠意ある取り組みを通して、私たちが最善の長期的解決法と信じる統一/容認されたアクセスモデルを確立したいと考えています。そのためICANNの契約コンプライアンス部門(ICANN Contractual Compliance)に違反を申し立てることはいたしません。今後も、世界的なDNSコーディネーターとしての役割どおりに、ICANNに協力を要請し、その責任を負わせ、こうした法的に複雑で潜在的に危険な個人データの取り扱いに関する判断がレジストラに与えている状況を改善していきます。引き続き、この問題を解決するために、EPDPのフェーズ2で多くの協力者と協議を続けていきたいと思います。

 

強制措置の効果への影響

暫定仕様が施行されてから約10週間後、MarkMonitorはGDPRの影響でWHOISが改訂された結果、強制措置の効果が20%近く減少したことを報告しました。うれしいことに、アナリストの追加採用や訓練に加え、検知テクノロジーへの大幅投資によって、その影響は一部改善されました。GDPRの施行後11週目から40週目までの期間、GDPRに起因する業務効率の低下率を6%強に抑えることができました。2018年5月25日以降、平均10%の低下率です。

 

特に、日次ベースで測定を行い、月次で結果をまとめる、侵害を中心とするブランド保護事業では、当初、暫定仕様が原因で低下していた業務効率がやや改善されましたが、時間的制限のある詐欺防止(フィッシング)事業における侵害削除までの時間は増加しています。請求したWHOISデータを適切に取得するまでに、平均15日かかります。先日行われたM³AAWGのアンケート調査結果と同様、暫定仕様によりサイバーセキュリティ専門家は厳しい状況に置かれていることが明らかとなりました。

 

WHOISデータにリアルタイムでアクセスできなければ、MarkMonitorの24時間無休体制の脅威対応にマイナスの影響が生じます。これらのフィッシング攻撃は1分あたりの成果として測定されるため、レジストラによるバランステストを待っていられません。このことも、WHOISデータへの確実かつ一貫したアクセスを確保する必要性を示しています。

 

MarkMonitorは、今後もGDPRの影響を詳しくモニタリングし、消費者やインターネットユーザーを保護するため、さまざまな不正の調査やその防止活動に従事するサイバーセキュリティ専門家、ブランド保護擁護者、捜査当局の課題について、ドメイン名やブランド保護コミュニティにお伝えしていきます。

 

MarkMonitorのソリューションについてはこちら

英語原文はこちら