今話題のドメイン名オークションの仕組み

NTTドコモのサービスだったドコモ口座のドメイン名docomokouza.jpがドメイン名オークションにかけられて402万円という高値で落札されて話題になっています。

「ドコモ口座」のドメイン、落札される　402万円で - ITmedia NEWS

まだ金融機関などから当該ドメインへのリンクなどが残っているので、フィッシングや詐欺サイトなどに悪用される懸念が表明されているところではありますが、この記事では、ドメイン名オークションの仕組みについて説明します。

ドメイン名のライフサイクル

たまたま同時期に、EPARKの関連会社アイフラッグが運営していたsweetsguide.jpがオークションにかけられ、Srgr0さんがブログで時系列の説明をされているので引用します。時系列的には今回のdocomokouza.jpも同じだと思われます。

今回の流れ
・2023年05月08日 サイト閉鎖のリリース
・2023年06月30日 サイト閉鎖
　↓2023年07月末 ドメイン廃止(Status: Suspended)
・2023年08月 .jpドメインバックオーダーにて複数のオーダーが入る
　↓2023年08月末 ドメイン削除(再登録可能)
・2023年09月01日 GMOのシステムがドメインを取得
・2023年09月01日 09:05〜2023年09月25日 19:00 オークション開催期間

https://srgr0.hatenablog.jp/entry/2023/09/06/184016  より引用

ドメイン名のライフサイクルについては、JPRSの図を引用して説明します。下図の②の状態(Active)が6月30日に終わり、To be suspended（③）の状態が7月いっぱい、8月にSuspended（④）になり、バックオーダー（後述）が開始されたことになります。8月末でバックオーダーの受付が終わり、その時点の状況によってドメイン名がオークションに掛けられるかどうかが決まります（後述）。

https://jprs.jp/about/dom-rule/lifecycle/ より引用

バックオーダーというのは、期限切れになったドメイン名が取得可能になる前に予約手配する制度のことで、お名前.COMの場合は6,600円を支払って予約することになります（JPドメイン名の場合）。Suspended終了（今回は8月末）時のバックオーダーの人数によって、その後の流れが変わります。（末尾の2023/9/28 9:30 付の追記もご覧ください）

購入者が0の場合

バックオーダーがなかった場合はSuspendedの期間終了とともに「登録無し」（上図①）の状態に戻ります。

購入者が1の場合

購入者が1の場合は、バックオーダーした人がドメイン名を登録できます。6,600円がそのままドメイン名購入費用に充てられます。

（2023/9/26 12:55追記）
ブコメにて「実際にはバックオーダーはできないよ。全てオークションに出品されるから。バックオーダーはシグナルになるだけ。憶測で語るのやめなー」という指摘をいただきましたが、お名前.COMのヘルプには以下のように明記されています。

申請者が複数いる場合はオークションに移行します。

https://help.onamae.com/answer/18811 より引用

（追記終わり）

購入者が複数の場合（今回のケース）

バックオーダーが複数あった場合は、いったんレジストラ（今回はお名前.COM）がドメイン名を確保して、ドメイン名オークションに掛けられます。バックオーダーの購入者はそのままオークションに参加します。初期状態では入札金額は同額の6,600円ですから、おそらく「早いもの勝ち」で優先権が決められるのだと思います。
docomokouza.jpの場合は活発な入札があり、前述のように、最終的には402万円で落札されました。
なお、当然ながら、バックオーダー時に入金したもののドメイン名を落札できなかった場合は、入金済みの6,600円は返金されます。

ドメイン名オークションを提供するのはお名前.COMだけではない

日本では時々期限切れのドメイン名のオークションが話題になり、決まってお名前.COMがレジストラだったりするのですが、ドメイン名オークションという仕組み自体は一般的なものです。以下は、世界的に著名なレジストラGoDaddyのバックオーダーおよびオークションの説明ページです。

ドメインをバックオーダーした後はどうなりますか？ | ドメイン - GoDaddy ヘルプ JP

ドメイン名オークションはレジストラにとってはノーリスクの「美味しい」商売

経済という観点からは、ドメイン名オークションは非常に合理的な仕組みだと思います。レジストラにとっては、「ドメイン名を仕入れたものの売れ残った」というリスクはゼロですし、費用が高騰するのは購入側にとっては困ったものではありますが、自由経済の原理原則に則っているとも言えます。

期限切れドメイン名の危険性

今回の件が問題になっている背景には、期限切れとなったドメイン名の知名度が高く、フィッシングや詐欺等への悪用リスクが高いからです。私は以前yahooco.jpというドメイン名がオークションにかけられているのを見かけて、お名前.COMに連絡をとって「中止すべきではないか」と伝えたことがありました（2017年7月）。yahooco.jpが危険な理由は、利用者の入力間違いを狙った詐欺（タイポスクワッティング）に悪用されるリスクが高いからです。返信メールの一部を引用します。

対象ドメイン名：yahooco.jp
現在開催されておりますオークションは、バックオーダー申請に複数名のお客様がお申し込みされていた場合、自動的に開催されるものであり、弊社が意図して能動的に訴求を行っている状況ではございませんことをあらかじめご理解いただきたく存じます。
実際にお申し込みをご希望されているユーザー様が複数名いらっしゃる状況で、オークションが開催中となっておりますため、現時点において強制的にオークションを終了することができない状況でございます。
しかしながら、ご指摘をいただきました点について、弊社としても理解ができる点であること、及び当該ドメイン名に商標文字列が含まれている状況もございますことから、本件に関しましては商標保有者様と連携し、当該オークションの状況について確認を行わせていただきます。

ということで、何もしていないわけではないようですが、実効性という点ではどうでしょうか。

NTTドコモのドメイン名ライフサイクル管理

なお、NTTドコモはドメイン名のライフサイクル問題自体については認識していて、2021年12月以降、NTTドコモが提供するサービスのドメイン名をdocomo.ne.jpのサブドメインに移行しています。

NTTドコモから提供している一部サービスのURL変更について（2023年5月25日更新）

これに伴い利用しなくなったドメイン名は現在も継続しているようで、新URLにリダイレクトする形で使われています。

docomokouza.jpは2021年8月末にサービス終了したため、ドメイン名変更の対象にはなっていないようですし、以下の記事によると、ドメイン名廃止は「社内管理の不手際によるもの」とのことです。

なぜ、ドコモはドメインを更新しなかったのでしょうか。ドコモによれば、これは意図的なものではなく、「社内管理の不手際によるもの」（ドコモ広報）としています。

https://news.yahoo.co.jp/expert/articles/94066560a4a5f9eae4c552610da74665218cbb56  より引用

前述のように、ドメイン名変更に伴い利用しなくなった他のドメイン名は継続されていることから、docomokouza.jpが更新されなかったのは、社内管理の不手際というのはありそうです。

ということで、今回の教訓として、できるだけ新規ドメイン名は登録せず、既存のドメイン名のサブドメインによる運用とすること、いったん登録したドメイン名は安易に廃止しないことが求められるでしょう。NTTドコモ社は他のドメイン名についてはそのような運用をしていただけに、今回の件は手痛い「不手際」ということになるかと思います。

追記（2023/9/26 11:45）

山口健太氏の記事によると、最終的にdocomokouza.jpはNTTドコモ社が取り戻したようです。よかったですね。

追記：
その後、ドコモ広報から追加の回答があり、「ドコモ口座のドメインは現在ドコモが保有しており、悪用される心配はない」とのことです。オークションにかけられたドメインをどのようにしてドコモが保有するに至ったかの経緯については、「回答を差し控える」としています。

https://news.yahoo.co.jp/expert/articles/94066560a4a5f9eae4c552610da74665218cbb56  より引用

最終的には取り戻したものの、この過程で、不必要なコストや手間が掛かっていることは疑いようがないので、ドメイン名のライフサイクルポリシーを決めて、その通りに運用することが大切かと思います。

追記（2023/9/26 16:08）

鈴木淳也氏の記事によると、とある情報源からとして、以下が書かれていました。

前述の情報源によれば、騒ぎが大きくなったことでドコモ内部でも問題を把握。お名前ドットコムを運用するGMOに“上限金額なし”での自動入札代行を依頼したという。実際、入札履歴を確認する限り25日の19時以降はすべて自動落札で即時対応しており、ドメインの買い戻しが最優先事項にあったことがうかがえる。

https://www.watch.imprss.co.jp/docs/series/suzukij/1534421.html

情報の信憑性は不明ながら、どうやら402万円で買い戻したようです。

追記（2023/9/28 9:30）

大まかなドメイン名ライフサイクルは前述のとおりなのですが、whoisで調べてみるとドメイン名毎に扱いに違いがあるようです。
冒頭に紹介したsweetsguide.jpの場合、ドメイン名登録日は今年の9月1日ですから、8月末でSuspended終了時にいったんリリースされているようです。

[Created on] 2023/09/01
[Expires on] 2024/09/30

これに対して、docomokouza.jpの方は、以下のように元のドメイン名登録日が残っています。

[Created on] 2012/07/02
[Expires on] 2024/07/31

これは、ドメイン名をリリースせずに1年間延長しているように思えます。今回のオークションでは350のドメイン名が対象になりましたが、

• 有効期間を延長したもの: 163

• いったん有効期限切れとなったもの: 187

となっており、100万円以上の高額落札のもの4件はいずれも延長しているので、恣意的な運用があるようにも思えてしまいます。