ニュースレターNo.65/2017年3月発行
次世代WHOISをめぐる議論の動向
WHOISは、インターネットレジストリが管理するインターネット資源の登録情報を公開提供するサービスです。IPアドレスやドメイン名の利用者などを検索する時に使います。
- WHOISとは
- https://www.nic.ad.jp/ja/whois/
WHOISはレジストリ、ユーザーの双方にとって重要なサービスの一つであるため、関係者によって、絶えず在り方や使い勝手の改善に向け、技術的および政策的な観点という双方から検討が続けられています。今回の特集では、その中でも特に注目ポイントである「gTLDのWHOISで議論されている次世代型登録ディレクトリサービス」という新しい技術と、「IPアドレスに関するWHOISの登録情報正確性の向上を目指した、法執行機関による新しいポリシー提案の状況」の2点についてご紹介します。
次世代登録ディレクトリサービスに関する議論
レジストリ登録情報の検索サービスをRegistration Directory Services (RDS)と呼び、具体的にはWHOISを指します。
現在、ICANNにおいて、gTLDのWHOISについて抜本的な見直しが進められており、WHOISに代わる次世代登録レジストリサービスのプロトコルとしてRDAP (Registration Data Access Protocol)の検討が進められています。
RDAPの検討状況
RDAPは、IPアドレス・ドメイン名等のレジストリに登録されたデータにアクセスするためのプロトコルです。WHOISのプロトコルは、RFC 3912で定められていますが、応答の形式が規格上定められておらずフリーテキスト形式であったため、レジストリごとに応答の形式が異なっているなど、プロトコル上の問題があります。RDAPでは、JSON (JavaScript Object Notation)形式での応答となっており、どのレジストリでも統一されたデータを返すようになるといった、WHOISのプロトコルとしての問題の解消が図られています。
RDAPはIETFのweirdsワーキンググループ(WG)で検討が行われ、2015年に関連するRFC 7480〜7485が発行されました。現在weirds WGは活動終了となっており、IETFでのRDAPの議論は、登録情報に関するプロトコルを議論するregext WGで取り扱われています。なお、RFC 7480〜7484については、株式会社日本レジストリサービス(JPRS)から日本語参考訳が公開されています。
- IETF weirds WG
- https://tools.ietf.org/wg/weirds/
- IETF regext WG
- https://tools.ietf.org/wg/regext/
ICANNにおけるWHOISの抜本的見直しに関する検討状況
ICANNにおいてもWHOISの抜本的な見直しがされています。これは2009年10月に締結されたAoC (Affirmation of Commitments;責務の確認)に基づくもので、この契約において、ICANNが定期的に見直すべき重要なポリシーの一つとして、WHOISが挙げられました。これを機に、2010年9月にWHOIS Policy Review Teamが発足し、最終報告書が作成されました。
- WHOIS Policy Review Team Final Report
- https://www.icann.org/resources/pages/whois-rt-final-report-2012-05-11-en
この最終報告書を受けたICANN理事会がgTLD登録データの収集・維持・アクセス提供の目的を再定義する作業を事務局に指示し、2012年12月にgTLDディレクトリサービス専門家作業部会(Expert Working Group;EWG)が設立されました。
EWGは、gTLD登録データを収集、維持する目的の定義およびデータ保護方法の検討と、gTLDディレクトリサービスに関して、データ保護を勘案しつつ、データの正確性とデータアクセスの問題に対処することができるモデルの提案を目的としました。EWGの最終報告書は、2014年6月に公開されています。この最終報告書は、ICANNの分野別ドメイン名支持組織(Generic Names Supporting Organization;GNSO)により2015年5月に開始された、WHOISのRDSを決めるポリシー策定プロセス(PDP)の土台となっています。
- Final Report from the Expert Working Group on gTLD Directory Services:
A Next-Generation Registration Directory Service (RDS) - https://www.icann.org/en/system/files/files/final-report-06jun14-en.pdf
現在は、PDP作業部会が設立され、検討が進められています。検討事項は大きく11項目となっています。
ユーザー・目的 | 誰が登録データにアクセスできるべきか |
---|---|
アクセス制御 | ユーザーまたは目的ごとにデータアクセスを制御するためにはどんなステップが取られるべきか |
データの正確性 | データの正確性を向上させるにはどのようなステップが取られるべきか |
データ要素 | どのデータが収集、保存、公開されるべきか |
プライバシー | データおよびプライバシーを保護するためにはどんなステップが必要か |
新旧システム共存 | 新旧システム共存を可能にするにはどんなステップが取られるべきか |
コンプライアンス | これらのポリシーを実施するにはどんなステップが必要か |
システムモデル | RDSが充足するべきシステム要件は何か |
費用 | 何のコストがかかり、どのように賄う必要があるか |
利益 | どんな利益が達成され、どのように測定されるか |
リスク | ステークホルダーが何のリスクに直面するか。それがどのように認知・受容されるべきか |
作業部会での検討プロセスはフェーズ1からフェーズ3に分かれており、上述の11項目について、フェーズごとに検討が行われます。現在はフェーズ1となっています。
- フェーズ1:次世代RDSに関するポリシー要件の策定
- フェーズ2:フェーズ1で策定されたポリシーの基本設計
- フェーズ3:フェーズ2で設計されたポリシーの実装検討
最新の検討状況や議論に関する情報は、次のWebページから確認できます。
- Next-Generation gTLD Registration Directory Services to Replace Whois
- https://community.icann.org/display/gTLDRDS/Next-Generation+gTLD+Registration+Directory+Services+to+Replace+Whois
日本のコミュニティにおける議論
RDSに関しては、一般財団法人インターネット協会(IAjapan)とJPNICの共催で開催した第46回ICANN報告会においてディスカッションが行われました。WHOISには、登録した登録者の情報を非表示にしたり、登録者の情報をサービスプロバイダの情報などで置き換えて表示したりするプライバシー・プロキシサービスが提供されています。このプライバシー・プロキシサービスのWHOISの登録データ正確性に関する意見と、登録者のプライバシー保護に関する意見が多く挙げられました。当日の資料および録音は、次のWebページからご覧いただけます。
- 第46回ICANN報告会
6. WHOIS/次世代登録ディレクトリサービス(RDS)に関するディスカッション - https://www.nic.ad.jp/ja/materials/icann-report/20160804-ICANN/icann46-06-maem.html
WHOISの登録データ正確性について
現在のWHOISにおける問題の一つとして、WHOISに登録する情報を形式的に収集する形になってしまっており、収集した情報がうまく使われていない状態になっていることが挙げられます。加えて、WHOISに多くの情報を登録することによって、攻撃者にインセンティブを与えることになっているという指摘もあります。
これに対し、警察はWHOISをサイバー犯罪の捜査に利用しており、連絡がつかない場合には、犯罪組織がしばらく活動を続け被害者が増えることになるため、登録者に正確に連絡がつくことは重要であり、データの正確性が向上することにより、犯罪者への抑止力になるという意見があります。
一方で、ICANNにおいてプライバシー・プロキシサービス事業者を認定して一定のルールの下にサービス提供を認めようという取り組みがあり、WHOIS上の情報は隠しながらも、登録者に連絡が届くことを担保しようとしていることが紹介されました。
- Privacy & Proxy Services Accreditation Issues Working Group
- https://gnso.icann.org/en/group-activities/active/ppsa
登録者のプライバシー保護について
プライバシー・プロキシサービスが、WHOISの登録情報に基づいて連絡をしても、本当の登録者に到達できない原因なのではという議論があります。
WHOISに公開された登録者の情報を元にスパムメールが送られる問題も指摘されているため登録者のプライバシー保護を図っていくことは重要ですが、プライバシーを保護するあまり、あまりにも情報を出さない、情報を隠すということになると、WHOIS検索による正当な問い合わせや犯罪捜査での利用という役割を損なう可能性があります。
登録者にとっては、多くの情報を登録することや、正確な情報を登録することは、コストの増加になることを意味しますが、次世代RDSに登録する情報の収集目的を明確化し、登録者にとって過度な負担にならないよう、的確な要件の定義が求められています。
WHOIS登録情報正確性向上に関する議論
米国連邦捜査局(FBI)や、各国の警察といった法執行機関より、サイバー犯罪対応のためにデータベースとしての正確性向上の要請があり、RIRのカンファレンスで議論が始まっています。このWHOIS登録情報正確性向上に関しては、第31回JPNICオープンポリシーミーティング報告、APNIC 42カンファレンス報告、NANOG 68/ARIN 38ミーティングレポートでも取り上げています。あわせてご覧ください。
WHOIS登録情報正確性向上に関する議論の始まり
アジア太平洋地域のRIRであるAPNICにおいては、2016年2月のAPNIC 41カンファレンスでのPolicy SIGにおいて、WHOIS登録情報の正確性向上について検討と対策が議論されており、不正確な登録情報の報告件数等の現状と、不正確な登録情報に対するサービス拒否など、今後取り得る対応策の検討について共有されました。
- APNIC Policy SIG (2) - Improving APNIC Whois Data Quality
- https://2016.apricot.net/program#sessions/apnicpolicysig2-improvingapnicwhoisdataquality
- Report on Whois Data Quality Improvement discussion at APNIC 41
- https://www.apnic.net/community/policy/policy-sig/whois-data-quality/apnic-41
この中でAPNICからは、WHOISに登録されているものの連絡がつかない連絡先の報告が年間1,000件以上あり、APNIC WHOISに登録されている情報が不正確だという報告が行われていると説明がありました。
法執行機関からの問題意識の共有
法執行機関から、APNIC 42カンファレンスをはじめ、各RIRでのプレゼンテーションで問題意識の共有が精力的に進められています。
日本のコミュニティでは、2016年11月30日に開催された第31回JPNICオープンポリシーミーティング(JPOPM)において、FBIのJesse Schibilia氏からの発表が行われ、具体的な事例の紹介を含め、次の点が説明されました。
- WHOIS検索は、公安・サイバー犯罪の対応のために、最初に利用されるツールであること
- ISPへの二次割り振りの情報について、当初の分配先から変更があるにもかかわらず、不正確な古いデータになってしまっていること
- WHOIS情報の正確性を欠くことで、迅速な捜査に影響があること、また、IPアドレスのハイジャックは、それらのIPアドレスを利用した複数の犯罪行為につながる可能性があること
当日の議論については、議事録および録音が公開されていますので、あわせてご参照いただければと思いますが、次にこのJPOPMで議論になったポイントを紹介します。
IPアドレスの登録に関するポリシーについて
議論の前提として、IPアドレス管理のポリシーとして規定されるIPアドレスの割り当てを行った場合の対応について、説明します。
JPNICのIPアドレス管理ポリシーでは、「インターネットを利用するあらゆるレベルの人が遭遇するインターネット上のトラブルを解決するための、参照情報として利用できるようにするため」に、割り振りおよび割り当てを行ったIPアドレスに関する情報はレジストリデータベースに登録されなければならないと定めています。
- JPNICにおけるアドレス空間管理ポリシー(IPv4)
- 5.1.2 登録 https://www.nic.ad.jp/doc/ip-addr-ipv4policy.html
- JPNICにおけるIPv6アドレス割り振りおよび割り当てポリシー
- 3.3. 登録 https://www.nic.ad.jp/doc/ip-addr-ipv6policy.html
さらに、日本でLIRに該当するIPアドレス管理指定事業者に対しては、IPアドレスの割り当ておよび再割り振りを行った場合にJPNICデータベースに登録しなければならないこと、またJPNICデータベースに登録した情報に変更が生じた場合に変更を届け出なければならないことを規則に定めています。これらに基づき、IPアドレスに関する情報登録は行われています。
- IPアドレス割り当て等に関する規則
- 第18条(割り当て報告および再割り振り報告)
第19条(ネットワーク情報記載事項変更申請)
https://www.nic.ad.jp/doc/ip-rule.html
WHOIS情報の定期更新を促すための施策
WHOIS情報の定期更新を促すための施策として、JPNICが運用している経路情報のデータベースであるJPIRRと同様の仕組みを実装する意見が、当日の参加者からポリシーの議論を行うIP-USERSメーリングリストに投稿がされています。JPIRRでは、データベースの正確性向上のために、一定期間(1年間)更新のない登録情報について、自動的に削除するというガーベージコレクターを実装しています。
しかし、IPアドレスの登録情報にも同様の仕組みを導入して、古い情報を自動的に削除してしまうと、不都合が大きいことも予想されるため、WHOIS上で更新が行われない情報に印を付けて、LIRの更新を促すといった施策も考えられます。
その他の懸念事項など
技術的な問題として、CGNを用いたアドレス共有が行われている場合についての指摘もあります。IPv4アドレスにおいては、CGNを用いたアドレス共有が行われている場合、WHOISで検索することができるIPアドレスの割り当て情報が正確であっても、実際のIPアドレスのユーザーを特定しきれない可能性が出てきます。この対策として、ポート番号のログを取るといった運用をLIRに求めるといったことが出てくるかもしれません。
また、IPアドレスの登録情報中の連絡先として自身を登録していたことがある担当者から、適切な問い合わせを受けたことがないという経験を交えたコメントがありました。法執行機関からの問い合わせ先は、WHOISの登録情報とは別にしないと運用が困難なのではとの指摘も行われました。
今後のスケジュール
今後のスケジュールとしては、各RIRと法執行機関が連携し説明を行った上で、2017年春にポリシー提案を提出し、2017年秋の施行をめざしていると発表されています。
法執行機関からのポリシー提案により、前述の管理のポリシーに何らかの変更を加える、WHOIS情報正確性向上のためのLIRが遵守すべき事項が追加で定められるといった可能性が考えられますが、本稿執筆時点ではどのようなポリシー提案が行われるのか、明らかにされていません。
LIRにとっては、これまでのIPアドレスの登録管理業務に関して少なからず変更が生じる可能性が高いことから、実効性があり、実施可能な施策となるかどうか、コミュニティで慎重な検討が必要になるでしょう。加えて、すべてのRIRで提案したポリシーがコンセンサスに至るまでを考えると、ポリシーの施行までは、多くの時間が必要になると思われます。
どちらの話題についても、レジストリにとって最も重要なサービスの一つであるWHOISに変更をもたらすものです。そのため、WHOISを利用される皆様には、関心を持っていただき、議論にも参加していただきたいところです。JPNICでは、最新の状況を皆様にお知らせし、WHOISのあり方について議論を進めていければと考えております。
(JPNIC IP事業部/インターネット推進部 角倉教義)