序章

サブドメインは、オーソドックスなドメイン名のブランド保護戦略の採用が拡大し、サブドメインの特定の固有の特性が悪意のある人物にアピールするにつれて、ブランド所有者にとってより大きな関心事になると予測されています。ただし、問題のあるサブドメインを監視および対処するために利用できる法的および技術的なツールは限られており、サブドメインスペースは、従来の親ドメインスペースと比較して、ブランド所有者によって無視されています。

サブドメインとは何ですか?

ここでは、「ドメイン名」という口語的な意味で「親ドメイン」を使用して、一般的な相対用語としてのより技術的な意味ではなく、レジストラに登録されたドメインを意味します。ドメインをレジストラに登録できる名前空間は より具体的には NS "パブリックサフィックス」または「有効なトップレベルドメイン(eTLD)」であり、最後のドットの右側のドメインであるTLDではありません(例:<。uk>)。 TLDのすぐ左にある次のレベルでの登録が常に可能であるとは限りません。

ここで使用されている口語的な意味でのサブドメインは、レジストラに登録されていませんが、親の一部を形成し、URLの前に、通常は3、4、およびそれ以降のレベルであります。この例では、「apps」と「shop」はサブドメインであり、「microsoft.com」は親です。

サブドメインは、親の権威あるドメインネームシステム(DNS)サーバー/名前でレコードを構成することにより、親ドメインの登録者の裁量で、無料で簡単に作成できます。 サーバ。重要なのは、ネームサーバーが必ずしもレジストラによって提供されるとは限らないことです。多くの場合、ホスティングプロバイダーまたはサードパーティのDNSプロバイダーによって提供されます。たくさんあります DNSレコード タイプ。たとえば、ウェブサイトの解決のためにドメインをIPアドレスにマッピングするレコード、および電子メールの受け入れを担当するメールサーバーを指定するMXレコード。各サブドメインは、一意のWebコンテンツを指すことができ、他の一意のDNSレコードを持つことができます。最も一般的なサブドメインは「www」です。

1つは可能性があります 理論的には 親の下に数千のサブドメインがあり、2レベルの親の前に最大125のサブドメインレベル(ドットで区切られている)があります。各レベルが1文字のみであり、サーバーの制限と全体で253文字の制限が適用されます。

ブランド所有者に対するサブドメインの関連性の向上

顧客の信頼と組織のサイバーセキュリティに対するメリットから、ドメイン名のブランド保護の価値に対する認識が高まり、親レベルでのツールの使用が増加しています。 2020年のWIPOのUDRPファイリング統計は、 傾向 連続した年次記録の。 TREx、DPML、Uni EPS、AdultBlockなどの防御登録と保護マークリストは、親スペースの広い範囲でブランドをブロックするようになりました。

したがって、少なくともブランド保護を包括的に採用しているブランドに関しては、悪意のある人物がブランドと同一の、または信頼できるほど近い親レベルのドメインを採用する余地が縮小しています。これにより、次のラウンドの新しいgTLDの拡張効果が割り引かれます。

同時に、サブドメインは以下の理由で悪意のある人物にとって魅力的です。以下で説明するように、侵害しているサブドメインを検出するために利用できる技術的方法は、より複雑で、より多くの投資を必要とし、従来のドメイン監視の取り組みでは無視されることがよくあります。

侵害しているサブドメインを削除するための法的メカニズムは、親レベルに比べて制限されており、費用がかかります。以下で説明するいくつかの興味深い例外とほぼ例外がありますが、代替の紛争解決ポリシーがサブドメインで利用できることはほとんどありません。

ブランドは、サブドメイン内で同じように使用できます。ブランドが防御的に登録またはブロックされる可能性のある親レベルでタイポスクワッティングする必要はありません。これは認識された信頼性をもたらし、被害者から信頼される可能性が高くなります。

サブドメイン内でのブランドの同一の使用は良性に見えるようにすることができ、異なるレベルの複数の一般的な用語と組み合わせると、長いURLのように見えるものの中で真の親が偽装されます。

可能なブランドの親ドメインの数は有限ですが、サブドメインの数は事実上無制限です。多くの異なるブランドをターゲットとする数百のサブドメインを、1人の親で、1人の親の費用で、迅速かつすべて採用することができます。

サードパーティの親を使用したサブドメインの無料または安価な「登録」のためのサービスがたくさんあります。 プライベートサブドメインレジストリ。これ自体は悪用ではありませんが、必ずしもICANNの契約当事者であるとは限らず、多くのサブドメインレジストリは、代替の紛争解決または乱用報告手順を提供していません。多くの人は、完全な登録者情報を収集または公開したり、悪用を禁止する条件を課したりしません。そのようなものとして、彼らはしばしば悪い俳優にとって魅力的であり、いくつかは 避難所 虐待のため。あるケースでは、Google インデックスが解除されました 親全体と1,100万のサードパーティサブドメインサイト。

多くのccTLDレジストリは、公式の汎用セカンドレベルドメインを運用しています(ccSLD)、たとえば<.com.cn>および<.iwi.nz>は、第3レベルでユーザー登録を受け入れます。第2レベルの登録を許可するccTLDでは、サードパーティは、その下のサブドメインを使用して、ccSLDを模倣した親ドメインを登録できます。 Lexsynergyとして レポート、フィンランドのccTLD <.fi>は、第2レベルの登録を許可し、親ドメインは、「金融ドメイン名レジストリ」としてプライベートパーティによって運営されています。サブドメインは信頼性のためにJPモルガンの公式サイトに転送され、フィッシングに使用された可能性があります。これは、公式のccSLDを模倣した信頼できるドメインです。

ブランドを乱用するサブドメインと組み合わせた一般的または説明的な親は、ユーザーがブランド自体による合法的なサブドメインの使用に慣れていることを考えると、信頼性があります。これは、合法的なブランドサブドメインとブランドを乱用するサブドメインの架空の例のようにです。

ワイルドカード または、「キャッチオール」DNSレコードを実装して、存在しないサブドメインが引き続き有効なDNS応答を返すようにすることができます。たとえば、<*。example.com>のワイルドカードDNSレコードを想定すると、特定のDNSレコードが構成されていなくても、Webサイトに解決される可能性があります。これは可能性があります 虐待 回避する ホスト名 特定のサブドメインをフィルタリングするベースのブロックリスト。悪意のある人物は、たとえばフィッシングキャンペーンで、単一の親の下でランダム化された変更サブドメインを使用します。これは、親ドメインがブロックリストに登録されている場合でも、必ずしもブロックされるとは限りません。

ワイルドカードMXレコードを使用して、送信者が受信者のアドレスを誤って入力したり覚えたりした場合に、機密性の高い悪用可能な情報を含む電子メールを収集できます。悪意のある攻撃者は、制御するドメイン(<* .bank.tld>など)にワイルドカードMX(メールサーバー)レコードを設定する可能性があります。実際の銀行の本物のドメインは、顧客が誤って入力したり、覚えていなかったりして、悪意のある攻撃者のドメインに誤って電子メールを送信した可能性があります。悪意のある攻撃者はワイルドカードレコードを使用したため、サブドメインに関係なく、を含む任意のアドレスに送信されたすべての電子メールをキャッチします。悪意のある人物がこのように特定のブランドを標的にしていることを証明するのは非常に困難です。これから見ていくように、決定された判例法によれば、ワイルドカード自体も法的措置を講じることはできません。

したがって、サブドメインは、技術を進化させるにつれて悪意のあるアクターによってますます利用されるようになり、歴史的に問題を無視してきたブランド所有者にますます関連するようになると予測されます。

侵害しているサブドメインの監視

従来のドメイン監視は、親レベルで、すべてのアクティブなドメインに関する情報を含むレジストリによってリリースされたゾーンファイルから離れて進行します。これらのリリースは、ICANNのレジストリ契約に基づくgTLDの契約上の義務です。 ccTLDでは必ずしもそうではなく、ICANNからほとんど独立しています。公開されたゾーンファイルは、サブドメインを除き、親のみを対象としています。さらに、 登録データディレクトリサービス (RDDS)は、口語的に「WHOIS」システムと呼ばれることが多く、サブドメイン情報は含まれていません。

管理者のセキュリティ上の懸念から、通常、サードパーティが親のDNSゾーン全体、つまり親に関連付けられたサブドメインを含むすべてのDNSレコードにアクセスするための信頼できる方法はありません。さらに、DNSレコードの信頼できる履歴データベースがないため、サブドメインなどのDNSレコードが変更されると、変更がより広範なDNSシステムに伝播されると、その履歴は失われます。

したがって、サブドメインの監視は技術的に困難であり、特殊な技術への投資が必要です。したがって、従来のドメイン監視では、サブドメインが無視されることがよくあります。

パッシブDNSを入力します。一般的なDNSクエリには、DNSレコード(親またはサブドメインに関連付けられたIPアドレスなど)を要求するクライアント(ユーザーのコンピューター)が含まれます。クエリは、より広範なDNSシステムを構成するネームサーバーの階層からレコードを再帰的に要求するように構成されたリゾルバー(サーバー)に渡され、回答がクライアントに返されます。 Webサイトを閲覧する場合、通常、ユーザーのブラウザーはリゾルバーにドメインのIPアドレスを要求し、リゾルバーは応答をブラウザーに送り返し、WebサイトはそのIPアドレスのWebサーバーから取得されます。

パッシブDNSは、リゾルバーにインストールされたセンサーに依存して、タイムスタンプとともにDNSクエリへの回答を保存します。したがって、履歴DNSレコードが生成され、サイバーセキュリティの調査とサブドメインの監視に使用されます。これにはコストがかかります。センサーは、有用であるために十分なデータを生成するために十分なリゾルバーにインストールする必要があります。したがって、パッシブDNSは、これまで、従来のドメインモニタリングの取り組み、およびそれに伴うサブドメインによって無視されてきました。

増加にどのような影響があるのかは明らかではありません 物議を醸す DNS over HTTPS(DoH)およびDNS over TLS(DoT)の採用は、パッシブDNSデータ収集に影響を与える可能性があります。 DoHとDoTは、クライアントとリゾルバー間のDNSクエリを暗号化します。アプリケーション層での実装(ブラウザーなどによる) リードする可能性があります 少数の大規模なDNSプロバイダーによるDNS解決の集中に。 WebブラウザFirefox 最近有効になりました 米国ユーザーのデフォルトではDoHで、すべてのDNSリクエストをCloudflareに送信します。この傾向が続くと、パッシブDNS収集が損なわれる可能性があります。

サブドメインは、を使用して検出することもできます 証明書の透明性(CT)。 SSL / TLS証明書は、通常、ブラウザーとサイト間の通信を暗号化するために、認証局(CA)によってドメイン所有者に発行されます。 CTは、証明書の対象となるサブドメインを含む公開ログに証明書を送信するようCAに要求することにより、説明責任を強化します。悪意のある人物はサイトに信頼性を追加するために証明書を取得することが多く、CTログでブランドを悪用するサブドメインを検索できますが、悪意のある人物が証明書を取得したサブドメインのみです。人気のCT検索ツールは https://crt.sh.

高度な検索エンジンオペレーター(別名 グーグルドーキング) に使える。 「inurl」演算子を使用すると、ブランドを組み込んだURL、つまり不正なサブドメインを明らかにすることができます。このアプローチの制限は、第一に、結果がサブドメインに限定されず、完全なURLをカバーするため、多くの誤検知が生成される可能性があることです。第二に、結果はグーグルによって索引付けされたものに限定されます。

などのドメイン順列エンジン DNStwist 一般的に悪用されるドメインバリエーションを生成します。主に親レベルに限定されていますが、ドットをサブドメインレベルにまたがるブランド乱用ドメインを見つけるために使用できます。

サブドメインに対する強制

侵害しているサブドメインに対処するために利用できる法的救済は、親レベルで利用できるものに比べて制限されています。 「侵害サブドメイン」とは、それ自体がブランドを利用して悪用されているもの、またはそれ自体がブランドを利用していないもの、たとえば一般的なサブドメインを意味しますが、ブランドを悪用している仕方。

中間アクション

レジストリ、レジストラ、ホスティングプロバイダー、DNSプロバイダーなど、サブドメインまたはコンテンツを技術的に制御する仲介者が関与する可能性があります。ただし、多くの場合、親よりもサブドメインに対して行動するインセンティブが低くなります。

レジストラは、ICANNの3.18.1項に基づいて義務付けられています レジストラ認定契約 (RAA)「適切に調査して対応するための合理的かつ迅速な手順」を使用してレポートを悪用します。 ICANNの仕様11に基づく レジストリ契約 (RA)、レジストリは、レジストラ登録契約でIP侵害を禁止するようレジストラに要求する必要があります。 RAAとは異なり、RAは、法執行機関、政府機関、および準政府機関からの報告を除いて、レジストリに不正使用の報告を調査して対応することを明示的に義務付けているようには見えません。

それにもかかわらず、プライバシー規則の下では、ブランドは、RAAまたはRAの非当事者としてのレジストラおよびレジストリとの契約上のレバレッジを欠いています。 第三者 RAAおよびRAの条項7.5および7.8はそれぞれそれを除外しているため、受益者の主張は実行可能ではありません。スパム被害者によってレジストラTucowsに対して提起されたそのような主張 失敗した 米国控訴裁判所、第9巡回区控訴裁判所。これらの規定は、ccTLDではなく、gTLDのICANN認定レジストラにものみ適用されます。

与えられた 広く発散 ICANNコミュニティ、ICANN契約コンプライアンスにおけるこれらの規定の解釈 しません レジストリまたはレジストラに つるす IP不正使用ドメイン。レジストリやレジストラは、違法性の仲裁者であってはならないという見方をし、被害を受けたブランド所有者をサイト運営者やホストに紹介するだけです。これはしばしば効果がありません(以下を参照)。ただし、一部のレジストリおよびレジストラは支援します。

侵害しているサブドメインの場合、レジストリまたはレジストラは、親を「serverHold" また "clientHold」ステータス。これは、親全体とすべてのサブドメインを一時停止する、鈍い、潜在的に不均衡なツールです。他の場所に著作権を侵害していないコンテンツが存在する可能性があるため、レジストリやレジストラは、特に権威ネームサーバーやホストを管理しておらず、サブドメインやコンテンツのみを一時停止するという的を絞ったアプローチをとることができない場合は、当然のことながらそうすることを躊躇します。見る 例えば の場合、合法的なサブドメインレジストリが、米国当局によって偽造防止操作で誤って押収され、サブドメインでホストされている84,000の無実のサイトを誤って終了させました。これは、親の下の他の場所に無害なコンテンツとサブドメインを含めることによって、悪意のある攻撃者によって悪用されます。さらに、正当なドメインには脆弱性があり、悪意のある攻撃者がサブドメインを乗っ取ることができます。この 起こりました 最近マイクロソフトに のため サブドメインの設定が間違っているか忘れられているため、以下のサブドメインにインドネシアのカジノの広告が表示されます。そのような状況で親全体を一時停止することは明らかに問題があります。

最近、 大グループ 著名なレジストリおよびレジストラの DNS乱用フレームワーク、歓迎されます。このフレームワークは、悪用の概念にIP侵害を含めておらず、特にサブドメインに関連する比例性の問題を提起しています。ブライアンJ.ウィンターフェルトとして 観察する、ドメインが著作権を侵害する用途以外の用途に使用されていない場合、比例関係は問題になりません。

サードパーティのネームサーバーが使用されている場合、それらは特定の親に対する虐待調査義務のあるICANN契約当事者ではないことがよくあります。彼らは、ターゲットを絞った比例した方法でできる唯一の当事者であることが多いにもかかわらず、サブドメインを一時停止するインセンティブはさらに低くなっています。サブドメインのDNSレコードを削除することで支援している場合でも、ネームサーバーを変更して、親が停止することなく、登録者がサブドメインをすばやく復元できます。

プライバシーサービスが親のWHOISに登録者としてリストされている場合(a "プロキシー" サービス)、権利所有者は、不正なサブドメインについて、サービス、および場合によっては関連するレジストラを訴える可能性があります。 RAAの3.7.7.3項では、登録契約に、リストされた登録者がドメインのライセンシーの詳細を開示することを要求する条項を組み込むことを要求しています。 Facebookは最近これを主張しました 訴える 顧客ドメインを侵害するためのレジストラNamecheap。 Namecheap 上げた 第三者受益者の弁護および タカウズ 先例。

DNS仲介者(レジストリ、レジストラ、DNSプロバイダー)には、寄与責任を回避するためにサブドメインを一時停止するインセンティブがありますか?親の場合、これは1999年に米国の登録機関に有利に決定されました。 ロッキードマーティンvNSI、および米国のケース 継続する することが 決定しました によると。レジストリまたはレジストラがさらに削除され、特にDNSプロバイダーまたはホスティングプロバイダーが削除されていない米国の法律では、サブドメインに対する貢献責任はさらにありそうにありません。

の ペトロナスvGoDaddy 米国地方裁判所は、ドメインが他のURLにリダイレクトするレジストラのWeb転送サービスは、レジストラに対して実行可能ではないとの判決を下しました。このタイプの転送はホスティングサーバーレベルで実行されますが(割引 CNAMEDNSレコード)、サブドメインを維持するネームサーバーに類似しています。

興味深いことに、米国 反サイバースクワッティング消費者保護法(ACPA) されています 見つかった レジストラによる登録が必要な「ドメイン名」の定義が与えられた場合、サブドメインには適用されません。そのため、ブランド所有者は、親と比較して、サブドメインに関して米国での保護が比較的少なくなっています。したがって、サブドメインの仲介者に対するACPAの請求は不可能であり、ACPAが適用されたとしても、 セーフハーバー レジストリおよびレジストラ向け。

EU法の下では、DNS仲介責任の問題は調和していません。少数の国内事件では、登録官の責任または通知の一時停止の義務が認められていますが、それはまれであり、事実に固有であり、異なる国内法が適用されます。ドイツの裁判所 結論 レジストラは、「露骨な」侵害の通知を受けた後、行動を起こさなかった場合、二次的に責任を負います。フランスの控訴院は、登録機関は通知を受けた後、勤勉に行動する義務があるとの判決を下しました。 セバスチャンシュヴェーマー 責任を拒否するヨーロッパの多くの事件を引用しています。

EU法の下では、比例性は確立された原則であり、IP施行指令で成文化されています。したがって、EU DNSの仲介者および裁判所は、サブドメインの比例性の懸念に特に警戒する可能性があります。欧州国家トップレベルドメインレジストリ評議会(CENTR) 認識します 削除に関連する、サブドメインに言及する比例問題。オランダのccTLDレジストリであるSIDN、 勧める テイクダウンを検討する際に比例性を検討するレジストラ。

DNS仲介者をISPのセーフハーバー条項に組み込むことについては前向きな議論がなされていますが、DNS仲介者には適用されないため、削除のインセンティブが低いことは広く認められています。による優れた記事を参照してください シュヴェーマー と Truyens&Van Eecke。ただし、EU委員会は 検討中 EUISPのセーフハーバーの今後の改訂におけるDNS仲介者 デジタルサービス法。 ICANNは 上げた 懸念。

ホスティングプロバイダーはコンテンツの削除に従事することができ、レジストラは定期的にブランド所有者をホストに誘導します。ただし、コンテンツが明らかに侵害していない場合、ホスティングプロバイダーには支援するインセンティブがありません。たとえば、トラフィックの迂回を目的として、サイトのコンテンツが著作権を侵害していないブランドで構成されるサブドメイン。ホストが支援する場合、悪意のあるアクターが親とサブドメインを保持しながらホストをシフトするため、モグラたたきのゲームが発生する可能性があります。ホストが後ろに座っている場合 リバースプロキシ Cloudflareのように、ホストのIDを確立することはほぼ不可能かもしれません。

裁判外紛争解決/仲裁方針

仲介措置が実を結ばない場合、親にとっては通常、裁判外紛争解決(ADR)ポリシーに目を向けます。 UDRP ("ポリシー")。ただし、サブドメインに適用されるものはほとんどありません。

です 老舗 そのUDRP 適用されません レジストラに登録されているドメインへのポリシーの参照を考えると、サブドメインに対しては、したがって、親が商標と紛らわしいほど類似していない場合には役立ちません。次のようなサブドメインの乱用については、裁判所の訴訟が残されます。 。ただし、以下で説明するいくつかの興味深い例外とほぼ例外があります。

NS 2番目のWIPOインターネットドメイン名プロセス、採用直後のポリシーを考慮して、特にサブドメインに対処しました。パラグラフ294で、サブドメインへの適用不能が引き起こす困難を認識した。親登録者とサブドメインユーザーの間の合意に組み込まれた場合、サブドメインへのポリシーの適用性を受け入れるように見えましたが、上記の強制力と比例性の難しさを認識していました。プロセスは、国コードに対応する親の登録者(例: )プライベートサブドメインレジストリとして機能する場合は、UDRPを適用可能にし、その決定を実装するための手順を実行する必要があります。

一部のプライベート国コードサブドメインレジストリは、この呼びかけに耳を傾けています。 CentralNic 多く(例:<。uk.com>)を運営し、カスタムを持っています 紛争解決方針 Doug Isenbergが報告しているように重要な点で異なりますが、UDRPに似ています。 <.co.com>サブドメインレジストリはUDRPを採用しました。

ポリシーがサブドメインに適用される可能性を実質的に検討することを私が知っている唯一のUDRP決定では、パネリストは EFG Bank European Financial GroupSAv。DomainConsults ポリシーを組み込んだ登録契約に基づいてサブドメインがレジストラに登録されていなかったという理由で、ポリシーの申請を拒否しました。ただし、パネリストによると:

「原則として、UDRPを組み込んだ登録契約を介して登録者[rar]に登録されたサブドメイン名にUDRPを適用できなかった理由はないかもしれませんが、申立人の責任であるように思われます…どちらかそのようなUDRPの適用可能性の証拠を示すため、またはそれを怠った場合、登録者の同意…登録者がパネルの決定を実施できることを確認する必要があるかもしれません…」

興味深いことに、いくつかの新しいgTLDは、意図的または意図せずに、すべてのサブドメインを明示的および契約的にUDRPの対象とします。の2.10項を参照してください。 <.rugby>レジストリポリシードキュメント、条項10 <.icu>の場合、4.11節 <.tickets>の場合 および条項5.3fまたは<.art>。他にもあるかもしれません。以下のいくつかの変形が規定されています:

「登録者は、サブドメインを販売、ライセンス供与、またはリースすることはできません。誤解を避けるために、ここに記載されているすべてのポリシーは、作成されたサブドメインに完全に適用されます。」

これらのポリシー文書は、親にUDRPの対象となることを明示しているため、サブドメインにも同様に適用されるように見えます。これらの文書が、レジストリポリシーで義務付けられているように、少なくとも親の登録契約に参照として組み込まれている場合 一部のレジストラはの場合、親登録者は、サブドメインを契約上UDRPに明示的にバインドしているように見えます。次に、UDRPは、その登録者自身によって作成および使用されるすべてのサブドメインに適用され、場合によっては、暗黙的または明示的な用語としてサードパーティにライセンス供与されるすべてのサブドメインに適用されることが議論の余地があります。 EFGとは異なり、ここでは親登録者(および場合によってはそのライセンシー)が明示的かつ契約的にサブドメインをUDRPに準拠させています。

この議論を追求することは、重大な困難がないわけではありません。登録者はUDRPがサブドメインに適用されることに明示的に同意していますが、ポリシー自体は、レジストラに登録されていない真のサブドメインへの適用を予期しておらず、DNSプロバイダーでない場合はレジストラは何の役割も果たさない可能性があります。その場合、パネルの主題管轄は問題があります。ポリシーの救済策(キャンセルまたは転送)も検討してください。前者のみが真のサブドメインに適用され、両方には適用されません。レジストラがDNSプロバイダーでもあるかどうかによっては、ターゲットを絞った方法で決定を強制できない場合があります(つまり、親全体ではなくサブドメインのみをキャンセルします)。真のサブドメインは、レジストリ自体が存在するサブドメインレジストリサービスの下のサブドメインとは区別されます。 頻繁 結合されたレジストリ/レジストラとして機能するか、サブドメインがサードパーティのレジストラを介して登録されている場合。いずれの場合も、レジストリまたはレジストラは決定を実装できます。

1つの反論は、「登録済み」、サブドメインのDNSレコードのエントリをカバーするように拡張します。これは、レジストラへの登録に関するポリシーの参照を前提として、親のレジストラがネームサーバーも維持している場合にのみ役立ちます。もう1つは、 EFG UDRPの適用可能性への同意で十分です。パネリストは特に強制力の問題を提起し、決定が実行可能である場合、サブドメインへの適用が適切である可能性があることを示唆しました。そこで同意で十分な場合は、<。rugby>などの事前の同意を表明してください。レジストラはDNSプロバイダーでもあり、サブドメインを永久にキャンセルすることで決定を実装できますか?

レジストラがDNSプロバイダーであり、サブドメインをキャンセルできる場合でも、ネームサーバーの置換を防ぐことは禁止されていると主張する回答があります。レジストラは、苦情が提出されたらドメインにロックを課して、転送を防止する必要があります。 「の定義ロックUDRPの」 ルール 「ドメインの解決」。そのため、扱いにくい登録者は、ICANNと契約していない当事者への苦情を受け取ったときにネームサーバーを変更し、サブドメインの決定を執行不能にする可能性があります。これは、ポリシーの適用に明確な合意があった場合でも、最終的には、真のサブドメイン(必ずしもサブドメインレジストリのサブドメインである必要はありません)へのUDRPの適用に対する説得力のある実際的な議論です。

興味深い質問は、UDRPが、問題のドメインにブランドがある場合、または親ドメインレベルとサブドメインレベル全体で「ドットにまたがる」という紛らわしい類似の用語がある場合に役立つかどうかです。 。 UDRPの最初の要素では、ドメインがその商標と同一または紛らわしいほど類似していることを証明することにより、申立人が地位を確立する必要があります。です 確立された TLDと親の間のドットにまたがる要素は、最初の要素を満たすことができます。 MRGREENの商標v  ドメイン。次のドットにまたがるのはどうですか?親だけが紛らわしいほどブランドに似ている場合は問題ありませんが、次のような場合はどうでしょうか。親の「ソフト」はそうではありませんが、親とサブドメインの組み合わせはどこにあり、その組み合わせは悪意を持って使用された(そして拡張された意味で「登録」された)のでしょうか。私の知る限り、この問題を考慮したUDRPの決定はありません。

この場合も、サブドメインがレジストラに登録されていないという問題が発生し、法外なものになる可能性があります。当然、サブドメインはUDRPの2番目(権利または正当な利益)および3番目(悪意)の要素と見なすことができますが、最初は問題が重大です。サブドメインがどういうわけか親に紛らわしい類似性を課していると主張することができますか?パネルはこれまで、最初の要素の下での紛らわしい類似性を確認するために、ドメイン自体を超えた要素、特にWebサイトのコンテンツを検討してきました。たとえば、 VFコーポレーションv。ヴォーグトデブラ。商標はEASTPAKとドメインでした、商標が容易に認識されない。パネリストは、EASTPAK商標を含むドメインのWebサイトを調べたところ、最初の要素の下に紛らわしい類似性があることがわかりました。同じことが起こった クラッシュ・オブ・クランv と ゴールデングースデラックスブランドv。 NS 選択されたUDRP質問3.0に関するWIPOパネルビューのWIPO概要 段落で、より広いケースのコンテキストとウェブサイトを検討する慣行を認識しているようです 1.7 と 1.15。状況によっては、親の紛らわしい類似性を評価する際にサブドメインを考慮する必要があると主張する余地があるかもしれません。

サブドメインと親の組み合わせが悪意を持って露骨に作成および使用されている場合、および商標の一部が親で認識できる場合、パネルの傾向は、この種の帰属された混乱を許容することによって申立人の助けになる可能性があります類似性。それにもかかわらず、前述の「レジストラに登録された」問題は克服できない可能性があります。その場合、それは、露骨なケースで不当感を残すドット配置のみに基づいて、ブランド所有者に提供される保護に格差を残します。親とTLDの間にまたがるドットは実用的ですが、必ずしも次のドットで実用的であるとは限りません。

上で説明したワイルドカードサブドメインはどうですか?この問題を考慮したUDRPの決定は1つだけだったようです。の PwCビジネストラストv。アルティメットサーチ パネルは、回答者のWebサイトに解決される申立人の商標と同一のサブドメインをもたらすワイルドカードDNSレコードの存在は、悪意の証拠ではないことを認めました。これは、回答者がブランドをターゲットとする特定の非ワイルドカードサブドメインを意図的に定義しているという証拠がない場合に意味があります。ただし、問題は、ワイルドカードDNSレコードが存在する場合、サブドメインの解決がワイルドカードの結果であるのか、ブランドを対象とする別の特定の意図的なDNSレコードの結果であるのかを、のゾーンファイルにアクセスせずに確認するのが非常に難しいことです。ほとんどの場合、登録者とDNSプロバイダーのみがアクセスできるドメイン。

TLDが紛争解決ポリシーでサブドメインの侵害に具体的に対処していることを私が知っている唯一の例では、ニュージーランドドメイン名委員会はその<.nz>に革新的なメカニズムを実装しました。 紛争解決サービス (DRS)。第2レベルの登録が導入された2014年に採択され、4.3項と4.4項は ポリシー 真のサブドメインになりますが、親が2番目のレベルで登録されている3番目のレベルのサブドメインのみです。親が既存のccSLDの1つ(<.co.nz>など)の下で第3レベルに登録されている場合、ポリシーは第4レベルのサブドメインには適用されません。サブドメインの規定は、第2レベルの親が一般的な用語である場合に適用されます。 、登録者は、申立人のマークと同一または類似のサブドメインを追加しました。 、およびサブドメインは「不当な登録」。 「」という用語の使用登録ここでのサブドメインに関連する」は、「登録済み」上記で説明しました。

<.nz> DRSの下でサブドメインの決定を実施するために採用されたアプローチは、UDRPに関連して上記で説明した実施の問題を段階的かつ比例的に解決します。まず、申立人は登録者にサブドメインの使用を停止するように依頼する必要がありますが、専門家が登録者にサブドメインの削除を要求する命令を与えることができない場合。その注文に従わない場合、親ドメインは一時停止され、エキスパートの注文が実装された後にのみ復元されます。

2回目のWIPOプロセスから19年が経過しましたが、サブドメインに関する呼びかけを国コードの親に限定する理由はないようです。同じ理論的根拠がジェネリックの親にも当てはまります。さらに、サブドメインの悪用は、サブドメインレジストリを介して発生するだけではありません。多くの場合、それは真のサブドメインを介して行われます。 ADR当局は、ポリシーをサブドメインに拡張することの実行可能性を検討することができ、<。nz> DRSアプローチは魅力的であるように思われます。このアプローチが第3レベルのサブドメインと一般的な親に受け入れられる場合は、一般的な親だけでなく、すべてのレベルのサブドメインに拡張できる可能性があります。ただし、1つの懸念は、親が成功した申立人に転送されないという事実に起因します。これにより、親の復帰後に同じサブドメインが再度採用される場合、繰り返しの苦情が必要になる可能性があります。これは、例えば、長期または恒久的な停止を提供する追加の規定で対処することができます。さらに、サブドメインの決定の実装は、プロバイダーにとって管理上の負担が大きく、必ずしもスケーラブルであるとは限りません。

訴訟

前述のように、ACPAは特にサブドメインには適用できないことがわかっています。ただし、興味深いことに、一部の米国の州は、特定のシナリオでこのニーズに対処しようとしています。たとえば、ニューヨークとテキサスには、チケットのWebサイトがパフォーマー、会場、イベントなどの名前を含むサブドメインを使用することを違法にする法律があります。カリフォルニア 落ち着いているようです 同様の法律を採用する。

の GoForIt Entertainment LLC v DigiMedia.Com LP 申立人は、被告がワイルドカードDNSレコードを実装した状況で商標侵害を訴えました。当時の一部のブラウザは、ユーザーが入力したクエリにTLDを自動的に追加していました。この慣行により、申立人のGOFORIT商標を照会したユーザーは、最終的に被告の親ドメインの商標で構成されるサブドメインになりました。 、クリック課金広告を配信しました。裁判所は、これが商標侵害の目的での商取引での使用を構成するという考えを却下し、したがって、サブドメインのワイルドカード自体は実行可能ではないと判断しました。

サブドメインをサードパーティにライセンス供与する親の登録者は、ライセンシーの行為に対して責任を負いますか?議論したように、レジストラ-登録者登録契約は、登録者の身元が開示されていない場合、ライセンシーの危害に対して登録者に責任を課さなければなりません。ただし、興味深いことに、RAAの3.7.7.3項では、「登録名」は、RAAで、データが「 レジストリデータベース」。それか 一応の サブドメインのレコードはレジストリで管理されていないため、サブドメインを除外します。それにもかかわらず、多くの登録契約は第三者受益者を除外していないため、契約の文言によっては、サブドメインライセンスの登録契約に基づく第三者受益者の請求が可能になる場合があります。

興味深いことに、 登録者契約 カナダインターネット登録局(CIRA)の第4.1.8条で、<。ca>ドメインに規定されているのは、サブドメインライセンスの問題に具体的に対処していることです。親の登録者は、「使用と操作に全責任を負います」のサブドメイン。この契約は、第三者受益者の請求を除外しているようには見えません。したがって、親登録者はこれに基づいて訴えられる可能性があり、レジストリとレジストラの合意は同様の条項がないかチェックする必要があります。

結論

これまで見てきたように、悪意のある人物はますますブランドを乱用するサブドメインを採用する理由があります。 DNS仲介者にはほとんど責任がないため、支援する法的インセンティブはありません(ただし、支援するものもあります)。問題のあるサブドメインの検出は簡単ではありませんが、ブランドが関与する必要がある上記の間接的な検出技術を採用している優れたプロバイダーがあります。適用可能なADRメカニズムの不足は、これを悪用する悪意のある攻撃者に知られています。 ADR当局は、おそらく<.nz> DRSによって採用された方針に沿って、ADRポリシーをサブドメインに拡張することの実行可能性を検討することができます。サブドメインライセンシーによる乱用を抑制することを目的としたDNS仲介契約の契約上の文言は、必要に応じて採用または明確化することができます。

Word TrademarkReviewで最初に公開されました