NTTドコモが2021年に終了した金融サービス「ドコモ口座」のドメインが、オークションで落札されたことが話題になっています。

もしドメインが第三者の手に渡った場合、セキュリティ面での懸念が指摘されています。どうしてこうなったのか、ドコモに聞いてみました。

「管理の不手際」で有効期限切れに

ドコモ口座は、2020年に不正利用の問題を起こした後、2021年10月に「d払い」に機能を統合する形でアプリやWebサイトの提供を終了しています。

ところが、そのドメイン名である「docomokouza.jp」が、GMOインターネットグループが運営するオークションにかけられているとして、SNS上で話題になっていました。

ドコモがこのドメインを登録したのは2012年7月のこと。しかし2023年7月31日の有効期限までに更新手続きをしなかったとみられ、一定の猶予期間を経て、9月1日には所有者が「お名前.com」に移転。同日、オークションに出されています。

オークションには132件の入札があり、9月25日の朝9時過ぎに30万円程度だった価格は、落札時には402万円にまで高騰しています。

なぜ、ドコモはドメインを更新しなかったのでしょうか。ドコモによれば、これは意図的なものではなく、「社内管理の不手際によるもの」（ドコモ広報）としています。

ドメインの更新忘れについては過去に多くの事例があり、さまざまな対策やマネージドサービスが存在することを考えると、ドコモは基本的な対策ができていなかったと言わざるを得ないでしょう。

ドメインの売買や所有者の変更自体は珍しいものではありませんが、このドメインはドコモの決済サービスにおいて10年近く運用されてきたことが問題となります。

これを第三者に取得された場合、技術的には「本物」と同じURLでアクセスできる偽サイトを運営できるようになることから、セキュリティ面での懸念が指摘されています。

この点についてドコモは「お客様にご心配をおかけして申し訳ございません」（ドコモ広報）とした上で、「今回の件に限らず、商標や商号を含むドメインが第三者に取得された場合、JPドメイン名紛争処理方針（JP-DRP）に基づいて必要な措置を取っている」（同）と説明しています。

JP-DRPの制度では、第三者に取得されたドメインであっても、正当な理由があれば取り戻すことができるようです。2022年には、有効期限が切れたことで第三者に取得された「docomo-rd-openhouse.jp」というドメインについて、ドコモへの移転が認められています。

ドコモ口座のドメインはドコモが長年にわたって運用してきたことは明らかなので、この制度を使って取り戻せる可能性は十分にありそうな印象を受けます。

ここで気になるのは、誰が402万円ものお金を出してドメインを落札したのか、という点でしょう。

ドコモが入札や落札に参加したのかどうか、またオークションの結果としてドメインが第三者の手に渡ったのかどうかについては、いずれも「回答を差し控える」（ドコモ広報）としています（→現在はドコモが保有しているとのことです。追記参照）。

ユーザーとしては、メールやSMSで送られてくるURLを踏まないように気をつけると同時に、インターネット上に残っているリンクにも注意する必要があります。

どういうことかというと、メディアの記事やSNSへの投稿にはドコモ口座のWebサイトへのリンクが多数残っており、最悪の場合、これらのリンクから偽サイトに誘導される恐れがあるためです（→ドメインはドコモが保有しており、悪用される心配はないとのことです）。

ドコモ口座のドメインの現状について、ドコモには可能な限りの情報を公開してほしいところです。

ドメインを手放すリスクに注目

この問題の根底にあるのは、企業が提供する商品やサービスのために、新たにドメインを取る必要性はあったのか、という点でしょう。

ドコモはこの問題を認識しており、2021年から各サービスのドメインを「docomo.ne.jp」のサブドメインに変更していく方針を発表し、順次移行を進めてきました。

気になるのは、不要になったドメインの行方ですが、今回の件は管理の不手際であり、管理の体制も見直すとのことから、ドコモが運用していた他のドメインが第三者の手に渡る事態は、当面はなさそうです。

ドメインの中には簡単に取得できるものも少なくありませんが、一度取得したものを手放すのはリスクになります。ドメインの運用において必ず考慮すべき点といえるでしょう。