法人が採るべきオンラインでのブランド保護

みなさま、こんにちは。法人ドメインのマネジメントとコンサルティングを提供しているCom Laude株式会社（コムラウデ）の村上です。
私は自動車レースが好きで、今でも時間があればネットで視聴しています。今は、IndyCar（米国のフォーミュラカーレース）、WEC（ル・マン等の耐久レース）、WRC（ラリー）を中心に観ていますが、元々は小学生の時にテレビで観たF1レースがきっかけです。今考えると、Ｆ1チームや、エンジン、オイル、タイヤメーカー等、企業のブランドロゴに初めて注目したのがこの頃であり、当時は多くのブランドロゴをノートに「落書き」していました（笑）。今思い返すと、ホンダ、フォード、シェル、エルフ、ブリヂストン、ピレリ、グッドイヤー等、描き続けてどんどん上手くなっていった事を記憶しています（笑）。でも、よく考えたら、中学生が自分のノートにブランドロゴを落書きすることって、ブランド侵害になるんですかね（笑）。現在は、オンラインでの写真等掲載や発言が容易になりましたが、うっかり企業のロゴ等載せてしまったら、問題になる可能性もありますよね。
インターネットの普及により、オンラインでの情報収集や発言が容易になった反面、自身の発言が問題に発展したり、オンライン上で意図的に権利侵害をする組織が現れる等、社会的な脅威が増えたのも事実です。

本日は、企業においても他人事とは言えないであろう、ドメインネームを使ったブランド侵害とその対策に関してご紹介します。

■今どのような問題が起きているのか?
サイバー犯罪がますます巧妙になっていることは周知の事実ですが、COVID-19のパンデミックにより「ドメインネーム侵害」と「電子メール詐欺」が増加したことを、多くの企業と消費者は気付いていないようです。コミュニケーション、情報収集、買物の方法が、携帯電話のアプリなどを使ったオンラインチャネルに切り替わるにつれて、ブランドや消費者をオンラインで保護するという課題も拡大しています。

ブランドにより直面する課題は異なりますが、現時点で最も一般的な脅威として以下が存在します。

トラフィックの盗難
ドメインネームの入力ミスにより、複数の広告が掲載されたペイパークリック(PPC)のウェブサイトに誘導され、第三者であるドメインネームの登録者がPPCからコミッションを獲得する可能性があります。

類似・模倣ウェブサイト
企業の公式ウェブサイトからコピーしたコンテンツや写真を使用したウェブサイトで、「アウトレット」や「クリアランス」等のウェブサイトを装い、Instagram等のSNS広告を介して消費者を騙す傾向にあります。

フィッシング・スピアフィッシング
多くの場合、混乱を招くような電子メールで実行され、正しい（送信者の）メールアドレスと見分けが付かない傾向にあります。フィッシングメールは脅威ですが、スピアフィッシングは更なる脅威であり、支払い承認を装ったメール等に成りすまし、金銭的被害を与える事があります。

模倣品
エアバッグからヘアドライヤーまで、模倣品の影響を受けないブランドはほとんどありません。模倣品の取引は犯罪組織にとって有益であり、仮に逮捕者が出たとしても課せられた処罰が抑止力として機能するとは限らないでしょう。

このような犯罪の多くに共通しているのは、タイプミス、サイバースクワッティング (トラフィックの盗難、類似サイト、模倣) 、ドメインネーム・DNSハッキング (フィッシング、スピアフィッシング) 等に関わらず、ドメインネームの使用が上げられます。ドメインネームの監視としては、オンライン上での「ブランド」、「消費者」、「評判」に対する脅威を検知・測定し、これらの問題を減少させるために必要な戦略を構築する事が、最初のステップとなります。

■どこから始めるべきか？
お客様から連絡や苦情があるまで何もしないと言うのは、過去のやり方です。今日のブランドオーナーは、より積極的に問題解決へ取り組むべきです。ただし、予算に限りがあるのも事実です。今後もオンライン上での攻撃の増加が想定されるため、どのような行動を採るべきかの選択が重要だと言えます。ブランド、事業、消費者に対する脅威を把握する事で、どのような対策が適正であるのか分かると思います。

ドメインネームの監視では、ブランドや事業の名称、一般的なタイプミスやホモグリフを含む、全世界で登録されたすべてのドメインネームにフォーカスした上で、侵害の可能性を特定し、その後、脅威と犯罪性の観点から、検知されたドメインネームをフィルタリングするべきです。多くのブランドでは、検知リストのフィルタリングにより脅威のあるドメインネームが数百から数千に絞られます。

しかし、ブランドオーナーに対して潜在的に問題のあるドメインネームのリストを提供するだけでは意味が無いかも知れません。ドメインネーム監視サービスでは、検知結果を分析する事が重要です。犯罪性の高いリスク(マルウェア、フィッシング)から、トラフィックの盗難・評判の低下 (PPC、類似サイト)まで、脅威レベル毎にフィルタリングする他、現状特筆すべき害が確認されなくとも、必要に応じて第三者登録ドメインネームの継続監視をする事が重要です。

インターネットは「動的な空間」です。休眠していたドメインネームが突然アクティブになる事や、新規登録が検知された際に改めて脅威を分析する事も必要です。侵害状況の全体像をより効果的に監視し、リスクの低いドメインネームの静観と、脅威リスクの高いドメインネームの対応（予算取りを含む）が重要ではないでしょうか。

■ブランドオーナーは不利なのか？
残念ながら、サイバー攻撃では犯罪者が有利な立場にあり、今後もサイバー犯罪が損害を与えて行くことを意味します。初期のサイバースクワッティングでは、犯罪者による登録ではなく、日和見主義者によるドメインネーム登録、いわゆる「無害な登録」が多数見られましたが、最近はマルウェアやランサムウェアを含む、ドメインネームとトラフィックの盗難が中心であり、COVID-19の影響下では、虚偽情報の流布や偽マスク等の販売さえも行われています。

ドメインネーム登録のコストは低いため、サイバー犯罪として手が出しやすいのは事実です。しかし、これは「ブランドオーナーはあきらめるべき」という意味ではありません。その代わり、監視・対応に必要なツールの導入と戦略を練り、企業の資産と、消費者を保護するためのセキュリティ対策を積極的に行う必要があります。

ちなみにセキュリティ対策には、金融取引における「多要素認証」や、電子メール等ビジネスインフラを担うドメインネームの「DDoS攻撃の緩和」、「レジストリロック」、「フィッシングやスピアフィッシングの識別」や、脅威について消費者へ迅速に情報提供をすること等が含まれます。

■オンラインでのブランド保護の構成
長期的には、ブランドとドメインネームの保護に対して積極的なアプローチを取る事が効果的です。問題が発生するのを待つのではなく、脅威の検知と監視をすることで、オンラインでの犯罪に対抗するための必要な知識を得ることができます。また、ブランドオーナーが採るべき効果的な事後対応はあり、例えば「統一ドメイン名紛争解決方針 (UDRP) 」等に則った侵害ドメイン/ウェブサイトの削除等が上げられます。

私たちは、「インターネット」を「クラウド」のように話しますが、ドメインネームは物理的な国や地域にある、物理的な企業（=ドメインレジストリ）によって分配と監督がされています。つまり、ブランドオーナーの立場から見ると「自身の権利を行使することが可能」です。どのドメインネームに対して、いつどのような対応するか迅速な判断をして行動へ移すことが、今後企業が検討する課題だと言えるのではないでしょうか。