🐾フィッシング探知犬 ポチBETA🔗 ドメイン一覧📝 ブログ想いを読む

WHOIS、そしてJPRS・KISA/KRNICの限界

WHOIS、そしてJPRS・KISA/KRNICの限界

― 誰もが安心できるWebを作るには

私たちが住む現実世界では、どうやって治安が守られているのでしょうか。

私は、それは 司法と法治 によるものだと思います。

法律があり、責任の所在があり、問題が起きたときに調査し、必要ならば強制力をもって是正できる仕組みがある。だからこそ、人は最低限の安心感を持って社会に参加できます。

この仕組みを成立させるには、個人・法人を問わず「その主体を確認できる」ことが欠かせません。現実世界では、個人は住民情報などで確認可能であり、法人は所在地や登録情報・番号が一定程度公開されることで、責任追及がしやすくなっています。

では、インターネットはどうでしょう。

Webの世界でも「安心」の根っこは同じです。

責任の所在が追えること、そして問題が起きたときに対処できること。この2つが土台になります。

この「責任の所在」に関して、昔から中心的な役割を果たしてきたのが WHOIS(フーイズ) です。

ただし――2025年の今、WHOISは“万能の身分証”ではありません。

むしろWHOISだけに期待すると、一般利用者も、企業のセキュリティ担当も、調査する側も、簡単に迷子になります。

この記事では、

  • WHOIS(とRDAP)の仕組みと、なぜ重要なのか

  • 日本(JPRS)韓国(KISA/KRNIC) の公開方針の考え方

  • その「限界」を踏まえ、どうやって“安心できるWeb”に近づけるか

を、できるだけ非エンジニアにも分かる目線で整理します。

WHOISとは何か

WHOISは、ドメインに紐づく登録情報を問い合わせる仕組みです。典型的には次のような情報が対象になります。

  • ドメイン名

  • 登録日・更新日・有効期限

  • ネームサーバー

  • レジストラ(登録事業者)

  • (公開される場合)登録者情報、連絡先

これにより、たとえば「この怪しいドメインはいつ作られたのか」「どの事業者経由で登録されているのか」といった“手がかり”を得られます。

ここが第一のポイントです。

WHOISは「真偽を保証する仕組み」ではなく、あくまで“登録データの参照窓口”です。

公開される範囲も、国・TLD(.com/.jp/.krなど)・運営方針・法制度で大きく変わります。

2025年、WHOISからRDAPへ(ただし「解決」ではない)

近年はWHOISよりも RDAP(Registration Data Access Protocol) という仕組みへの移行が進んでいます。RDAPはJSONで機械可読に返せること、アクセス制御(公開範囲の段階化)を前提にできることなどが特徴です[1][2][3]

ICANN(gTLD=.comなどを含む領域)では、WHOISを段階的に“サンセット”し、RDAPを正規の提供手段として位置づける流れが明確になっています[1][4]

ただし重要なのは、RDAPになったからといって「登録者が丸見えに戻る」わけではないことです。

後述する通り、最大の理由はプライバシー(個人情報)です。

なぜWHOISが重要だったのか

インターネット初期において、WHOISは「連絡を取るため」「責任主体を特定するため」に強く期待されていました。

トラブルが起きたとき、誰がそのドメインを使っているのかが分かれば、警告も交渉も、法的手続きも進めやすくなるからです。

実際、今日でもセキュリティの現場では、

  • フィッシング・詐欺サイトの初動調査

  • なりすましドメインの発見(例:文字を似せる、スペルをずらす等)

  • インシデント発生時の連絡経路の確認

などで、WHOIS/RDAP相当の情報が「入口」になる場面は多いです。

でも、WHOISには「限界」がある(ここが本題)

WHOIS(およびRDAPを含む登録情報参照)の限界は、ざっくり次の4つに集約されます。

1) 個人情報は、そもそも公開できない/しない方向へ

EUのGDPR施行(2018年)以降、gTLD(.com等)では、個人に紐づく登録情報の公開が大きく制限されました。ICANNもGDPRを踏まえた暫定仕様を出し、公開範囲を調整してきました[5][6]

つまり「昔は見えたものが、今は見えない」が起きます。そしてこれは“後戻りしにくい”性質の変化です。

2) 公開範囲はTLDごとにバラバラ

ccTLD(国別ドメイン:.jp / .kr など)は、各国の運用方針・法律・文化の影響を強く受けます。

「見えると思っていた情報が見えない」「国によって出方が違う」は日常茶飯事です。

3) 情報は「最新」とは限らない/反映に時間差がある

たとえばJPRSは、WHOISへの反映に最長1日程度かかる場合があると明記しています[7][8]

「今この瞬間の状態を、WHOISが必ず示す」とは限りません。

4) 乱用対策で、検索が制限される

WHOISは悪用(名簿化・スクレイピング・攻撃対象探索など)されやすいため、短時間の繰り返し検索でアクセス制限がかかるケースがあります。JPRSも注意事項として明示しています[7][9]

日本(JPRS)と韓国(KISA/KRNIC)はどう考えているか

日本:JPRS(.jp等)

JPRSは、WHOISの利用注意事項として「反映に最長1日」「大量検索の制限」を明示しています[7][8]

また、登録者情報の非表示設定(プライバシー保護)についても制度として案内しています[10]

韓国:KISA/KRNIC(.kr/.한국等)

KRNIC側の案内では、WHOISは登録された情報を検索できる仕組みである一方、非公開情報(登録人の個人情報)については、資格(認可)を得た者のみアクセス可能、第三者は公開情報のみ、という「段階的アクセス(tiered access)」を検討・運用する方向性が示されています[11]

(=「一般公開」と「必要な調査のための開示」を分けよう、という考え方です)

「個人情報」だから隠れる。でも、法人は個人情報ではない?

ここでよく出てくる疑問があります。

WHOIS登録時の情報には個人情報が含まれる。

でも法人情報は個人情報じゃないのでは?

法律上の定義は、確かに「生存する個人」に関する情報を中心にしています。

日本の個人情報保護法は「生存する個人に関する情報」と定義しています[12]

韓国の個人情報保護法(PIPA)も同様に「살아 있는 개인(生きている個人)」に関する情報を軸に定義しています[13]

ではなぜ、法人でも情報が出ない(出しにくい)のでしょうか。理由は主に2つあります。

理由1:登録時点では「個人か法人か」を一律に安全判定できない

ドメイン登録の入力フォームは、個人も法人も通ります。しかも登録直後は、その主体が何者か、活動実態があるか、判断材料が少ない。

この状態で“公開していいデータ”と“公開してはいけないデータ”を完璧に分離するのは難しく、リスクが残ります。

理由2:世界共通の「法人ID」が存在しない

法人には国ごとの登録制度・番号制度がありますが、統一されていません。

  • 日本:法人番号(13桁)を国税庁が公表し、誰でも検索可能[14]

  • 韓国:事業者登録番号(10桁)/法人登録番号(13桁)など複数の番号体系 [15][16]

  • 米国:税務上はEIN(9桁)が使われる一方、会社の設立・登録は州単位が基本で、上場企業はSECのCIKなど別系統の識別子もある(=単一の“全国共通公開ID”にまとまりにくい)[17][18][19]

このように「法人ならこれを出せば一意に検証できる」という世界共通フォーマットがないため、WHOISという国際的な仕組みの上で一律に“法人IDまで公開して責任追跡を完成させる”のは現実的に難しくなっています。

公開されにくいことで増える「犯罪の機会」

この状況が生む最大の問題は、「悪用者にとって都合がいい隙間」ができることです。

  • 一般ユーザーは、長いURLからドメインを正確に見抜くのが難しい

  • たとえドメインを特定できても、それが誰のものかを追いにくい

  • “追いにくさ”は、そのまま詐欺・フィッシング・偽通販・マルウェア配布などの成功率を上げます

現実世界で「相手の身元が分からない取引」が危険なように、Webでも「運営主体が検証できないサービス」は危険になりやすい。ここが本質です。

じゃあ、どうすれば「安心」に近づけるのか

結論から言うと、WHOIS/RDAPだけで解こうとしないことです。

代わりに、次の2つを組み合わせていくのが現実解です。

1) “登録情報”ではなく、“検証可能な根拠”を積み上げる

たとえば、

  • ドメインの作成時期・更新履歴(ただし反映遅延に注意)

  • RDAP/WHOISで見えるレジストラ・ネームサーバー情報 

  • 証明書・DNS・運用の整合性(短期間での不自然な変更、典型的な詐欺パターン等)

  • サイト上の表示(会社情報、問い合わせ導線、利用規約、返金規定など)の一貫性

  • 法人番号等の“公的に検証できる番号”の提示(日本なら法人番号、など)

といった「点」を、複数重ねて評価する必要があります。

2) “公開”と“必要な調査のための開示”を分ける

韓国KRNICが示すような、段階的アクセス(tiered access)の考え方は今後さらに重要になります[11]

一般公開は最小限にしつつ、正当な理由がある調査・法執行・被害対応には、適切な手続きでアクセスできる――このバランスが「安心」を支えます。

LinkPochi(リンクポチ)が目指すもの

LinkPochiは、WHOIS/RDAPを「答え」ではなく「入口」として扱います。

  • WHOIS/RDAPで見える情報は、あくまで手がかり

  • 見えない部分は、検証可能な根拠(公的ID・運用の整合性・履歴)を積み上げて補う

  • ユーザーが“根拠付きで”判断できるようにする(ブラックボックスにしない)

WHOISが万能でなくなった今、本当に必要なのは「誰かが代わりに断定してくれること」ではなく、誰もが納得できる形で“検証できるWeb”を作っていくことだと考えています。

まとめ:WHOISは終わったのではなく、「役割が変わった」

  • WHOIS/RDAPは今も重要だが、それ単体で身元保証はできない

  • 個人情報保護と乱用対策で、公開範囲は今後も限定されやすい 

  • だからこそ、複数根拠の積み上げと、段階的開示の設計が「安心」につながる 

「見えないから危ない」で終わらせず、どうすれば検証できるかへ。

LinkPochiは、そのための道具と基準作りを進めていきます。

出典

  1. [1]ICANN Update: Launching RDAP; Sunsetting WHOIS
  2. [2]RFC 9083 JSON Responses for the Registration Data Access Protocol (RDAP)
  3. [3]RDAP.ORG
  4. [4]ICANN Registration Data Policy Now In Effect for Contracted Parties
  5. [5]Temporary Specification for gTLD Registration Data
  6. [6]Proposed Temporary Specification for gTLD Registration Data – WORKING DRAFT
  7. [7]JPRS WHOISご利用の際の注意事項
  8. [8]JPRS WHOIS /JPRS
  9. [9]WHOISで提供している機能の一部終了について
  10. [10]Whois登録者情報非表示設定
  11. [11]제42차 인터넷주소정책심의위원회 개최 결과(第42次インターネット住所制作審議委員会開催結果)
  12. [12]個人情報の保護に関する法律
  13. [13]개인정보 보호법 (個人情報保護法)
  14. [14]法人番号とは
  15. [15]Information on Tax Identification Numbers
  16. [16]各国・地域の納税者番号制度に関する情報
  17. [17]Employer identification number
  18. [18]EMPLOYER IDENTIFICATION NUMBER | Understanding Your EIN
  19. [19]Look Up a Central Index Key (CIK) Number

著者

金 潤洙

金 潤洙

Neuradex Founder, Engineer

韓国出身、日本在住。音楽制作の現場からエンジニアに転身し、今は Neuradex(ニューラデックス) を立ち上げてプロダクトを作っています。系列の LinkPochi(リンクポチ) では、フィッシングやなりすましを減らすために「ドメイン情報はどこまで信頼できるのか?」を技術と運用の両面から掘り下げ、わかりやすく発信しています。

GitHub
ブログ一覧に戻る