通報が放置される場合:レジストラがサイバー犯罪の「沈黙の共犯者」となる仕組み
我々は、VirusTotalによる検出結果、スクリーンショット、ブラックリストデータ、ウイルス対策ソフトによるスキャン結果など、証拠を盛り込んだ不正利用報告を送信しています。レジストラはそれを受け取っても何の対応もせず、一部のフィッシングドメインは存続したままとなっています。 1,788時間 そして 13件の個別報告書. これはシステムの不具合ではなく、設計上の選択です。データは以下の通りです。
崩壊したシステム
私たちが送信するすべての不正利用報告は、明確な手順に従って作成されています。具体的には、ドメインURL、カテゴリ(フィッシング、暗号資産窃取、偽カジノ)、VirusTotalでの検出件数、スクリーンショットの証拠、ブラックリスト登録状況などです。これらは漠然とした苦情ではなく、フォレンジック調査資料そのものです。それにもかかわらず、次々とドメインがオンラインのまま残され続けています。 数週間、数ヶ月 最初の報告の後。
レジストラが不正利用の報告にどのように対応すべきかについて、普遍的な基準は存在しません。SLAもありません。対応時間の義務付けもありません。説明責任を問う指標もありません。各レジストラは、フラグが立てられたドメインについて、独自に判断を下しています。 16種類のウイルス対策エンジン 注目に値する――あるいは定型文での返信とチケットのクローズ。
16種類のウイルス対策エンジンを凌駕するのは誰か?
これは、どのレジストラも答えたくない質問です。いつ カスペルスキー、ESET、フォーティネット、ビットディフェンダー、ソフォス、G-Data さらに10社のセキュリティベンダーがVirusTotal上でそのドメインを悪意のあるものとしてフラグを立てた――そして、レジストラの不正利用対策チームは決定を下した 「対応不要」 — 一体誰がその電話をかけたのですか?
この不条理さを考えてみてください。あるレジストラのたった一人の不正利用分析担当者が、 16種類の独立したウイルス対策エンジン、それぞれが数十億ものデータポイント、専属の研究ラボ、そして数十年にわたる経験を有しています。一体どのような根拠があるのでしょうか?NiceNICやGlobalDomainGroupの不正利用対策チームは、カスペルスキーを上回るどのようなスキャンインフラを運用しているというのでしょうか?
答えは簡単です。ありません。 彼らはスキャンもしないし、検証もしない。レポートを全く見ないか、あるいは財務的な計算を当てはめるだけだ。つまり、稼働中のドメインは収益を生むが、停止中のドメインは生み出さない、という具合だ。
これが何を意味するのか、はっきりさせておきましょう。レジストラの担当者が、13社の独立したセキュリティベンダーからの証拠と13件の個別の不正利用報告を検討した上で、自らの判断の方が優れていると結論づけたのです。これは単なるミスではありません。これは方針なのです。
彼らが敬う権威などない
レジストラが権威あるものとみなしているウイルス対策ソフトのベンダーを、1社でも挙げてみてください。挙げられないでしょう――なぜなら、そんなベンダーは存在しないからです。
- カスペルスキー — ドメインを検出しますか? 無視します。
- ESET — フィッシングとして警告される? 無視する。
- フォーティネット — ネットワークレベルでブロックする? 無視。
- BitDefender — 数百万人のユーザーに警告? 無視された。
- Google Safe Browsing — 地球上で最大のウェブ安全システム? それでもなお無視されている。
そこには 検出閾値なし その時点で、レジストラは対応する義務を負う。5つでも、10つでも、16つでもなく。あるドメインがVirusTotal上のすべてのウイルス対策ベンダーによってフラグ付けされ、複数のブラックリストに掲載され、12件もの不正利用報告が寄せられていたとしても、レジストラには何らかの措置を講じる法的義務は一切ない。
これはシステムの不備ではありません。 これがそのシステムです。 ドメイン登録業界は、セキュリティ研究者、ウイルス対策ベンダー、あるいは脅威インテリジェンス・プラットフォームの調査結果を尊重することを義務付けるような、拘束力のある基準を巧みに回避してきました。70のエンジンのうち16が特定のドメインを検出した場合、それは「可能性」などではありません。 それはコンセンサスです。しかし、スキャンインフラを一切持たず、ドメインを維持することに経済的利害関係を持つレジストラの不正利用対策チームが、そのコンセンサスを覆しているのです。

金銭的インセンティブ
ドメイン登録業者は、すべてのドメインに対して年間利用料を徴収しています。利用停止措置が1件あるごとに収益が失われ、テイクダウンが1件あるごとに返金リスクが生じます。ドメインを有効な状態に維持することには、直接的かつ測定可能な経済的インセンティブがありますが、不正利用の報告を無視しても経済的なペナルティは課されません。
すべてのインフラプロバイダーに当てはまるわけではありません。 Cloudflare例えば、この企業は不正利用の報告を効率的に処理しており、ドメイン登録から同様の収益を得ていません。この違いは重要です。報告を処理する企業が、ドメインがオンラインのまま維持されることで利益を得ている場合、利益相反は構造的なものとなります。
証拠:レポートからのリアルタイムデータ
以下は、2026年3月の不正利用エスカレーションログの抜粋です。各エントリは、実際に確認されたフィッシングドメインを表しており、 現在も活動中 報告時点では、それ以前の報告や確認された検知事例があったにもかかわらず。
| ドメイン | レポート | 稼働時間(時間) | VT | BL | レジストラの不正利用 |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | 1,788時間 | 16 | — | Tucows |
| 6chicken9[.]top | 4 | 1,783時間 | 4 | 1 | 持久力 |
| apphyena[.]trade | 2 | 1,781時間 | 3 | — | NiceNIC |
| airdrop[.]autos | 3 | 1,364時間 | 4 | 1 | Gname |
| amlstats[.]com | 7 | 1,363時間 | 14 | 1 | Tucows |
| amlscore[.]info | 7 | 1,363時間 | 9 | 1 | Tucows |
| amlwallets[.]io | 4 | 1,363時間 | 10 | 1 | nic.io |
| aavleaderboard[.]assetavenue[.]capital | 2 | 1,359時間 | 1 | — | IdentityDigital |
| airdropchime[.]com | 2 | 1,359時間 | 1 | — | Namecheap |
| farewex[.]com | 13 | 1,352時間 | 13 | — | apiname.com |
| app[.]whitewhalesmeme[.]com | 4 | 1,330時間 | 14 | — | ベリサイン |
| zordex[.]us | 3 | 1,314時間 | 14 | — | apiname.com |
| alhpatrademarket[.]com | 2 | 1,278時間 | 15 | — | GlobalDomainGroup |
| angelferno[.]com | 2 | 1,278時間 | 7 | 1 | NiceNIC |
| ansol[.]cc | 4 | 1,278時間 | 4 | 1 | NiceNIC |
| amltrackerbot[.]com | 2 | 1,278時間 | 6 | 1 | Tucows |
| amlstatement[.]info | 4 | 1,228時間 | 16 | — | ポークバン |
| a8vx[.]top | 2 | 1,049時間 | 16 | — | Dynadot |
| amlinfo[.]now | 2 | 1,033時間 | 2 | — | ポークバン |
| xwinner[.]cc | 4 | 1,026時間 | 14 | — | GlobalDomainGroup |
| xerowex[.]com | 6 | 1,021時間 | 14 | — | apiname.com |
| menty[.]sbs | 4 | 985h | 16 | — | gen.xyz |
| perowex[.]com | 5 | 971h | 14 | — | apiname.com |
| amlbot[.]im | 4 | 965h | 6 | — | nic.im |
| 3capitalstrading[.]com | 2 | 879h | 2 | — | GlobalDomainGroup |
| naebex[.]com | 5 | 826h | 11 | — | PDR |
| casbatle[.]com | 2 | 803h | 2 | — | NiceNIC |
| amlchecknow[.]digital | 2 | 751h | 6 | — | PDR |
| sollfalare[.]top | 2 | 730h | 3 | — | 持久力 |
| marketcsgo[.]net | 2 | 717h | 15 | — | GlobalDomainGroup |
| dinadrop[.]com | 2 | 717h | 6 | — | GlobalDomainGroup |
| dotabuff[.]org | 2 | 674h | 2 | — | PIR |
| casesbattle[.]org | 2 | 652h | 2 | — | PIR |
| 763182819[.]top | 2 | 618h | 15 | — | Gname |
| kahcas[.]com | 5 | 539h | 14 | — | INWX |
| qizaro[.]cc | 5 | 535h | 12 | — | GlobalDomainGroup |
| apexresolvefix[.]com | 2 | 496h | 3 | — | コスモタウン |
| amlriskscore[.]ru | 2 | 448時間 | 1 | — | cctld.ru |
| patricksstash[.]to | 2 | 427h | 2 | — | tonic.to |
| stashhpatrick[.]cc | 2 | 427h | 5 | — | NiceNIC |
| stake2win[.]me | 2 | 402h | 14 | — | domain.me |
| wazbee[.]me | 2 | 388h | 16 | — | domain.me |
| dexscreener[.]at | 2 | 328h | 16 | — | nic.at |
| 2fa[.]walletpinet[.]com | 1 | — | 16 | — | ベリサイン |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = 約70の検出エンジンによるVirusTotalでの検出結果。「Active」=エスカレーション時点での初回検出から経過した時間(時間単位)。データ:PhishDestroyの不正利用エスカレーションログ、2026年3月19日~21日。
数字は嘘をつかない
平均アクティブ時間
稼働時間が判明しているすべてのドメインにおける平均で約39日
最大稼働時間
payscrow[.]bet — 75日間、6件の報告、VT:16
送信されたレポートの総数
このサンプルに含まれるすべての領域にわたる報告を合わせたもの
VTが10以上のドメイン
全ドメインのほぼ半数――10以上のウイルス対策エンジンによって悪意があると確認され、現在も稼働中
再犯者たち:登録官別の内訳
レジストラはすべて同じというわけではありません。当社のデータからは明確な傾向が見て取れます。一部のレジストラは、パフォーマンスが最も低い項目に繰り返し登場しています。
apiname.com
- farewex[.]com — 1,352時間、13件の報告、VT:13
- zordex[.]us — 1,314時間、報告件数3件、VT:14
- xerowex[.]com — 1,021時間、報告件数6件、VT:14
- perowex[.]com — 971時間、報告件数5件、VT:14
4つのドメイン。合計:4,658時間に及ぶ犯罪インフラ。27件の報告が無視された。
GlobalDomainGroup
- xwinner[.]cc — 1,026h, VT:14
- marketcsgo[.]net — 717時間、VT:15
- dinadrop[.]com — 717時間、VT:6
- qizaro[.]cc — 535h, VT:12
- csgomy[.]com — 356時間前、VT:9
- tastdrop[.]com — 357時間、VT:2
- casebatle[.]com — 327時間、VT:6
- casebatltle[.]com — 327時間、VT:2
- chestix[.]net — 293時間, VT:1
- ggddrop[.]com — 365時間、VT:1
10のドメイン。私たちのデータセットの中で最大のクラスターだ。これは偶然ではなく、あるパターンである。
Tucows / IdentityDigital
- payscrow[.]bet — 1,788時間、報告件数6件、VT:16
- amlstats[.]com — 1,363時間、7件の報告、VT:14、BL:1
- amlscore[.]info — 1,363時間、7件の報告、VT:9、BL:1
- amltrackerbot[.]com — 1,278時間、報告件数2件、VT:6、BL:1
Tucows:合計22件の報告、5,792時間に及ぶ不正行為。amlstatsには7件の報告(週に1件)が寄せられたが、すべてを乗り切った。
NiceNIC (nicenic.net)
- apphyena[.]trade — 1,781時間、VT:3
- angelferno[.]com — 1,278時間、VT:7、BL:1
- ansol[.]cc — 1,278時間、報告件数4件、VT:4、BL:1
- casbatle[.]com — 803h, VT:2
- stashhpatrick[.]cc — 427h, VT:5
- casebaetle[.]com — 310h, VT:2
- casebattle[.]info — 最初の報告、VT:1
- appalmanak[.]live — 初回レポート、VT:2
8つのドメイン。合計5,877時間以上。これまでに調査した項目: NiceNICの評価 — 正当な用途は見つかりませんでした。
ポークバン
- amlstatement[.]info — 1,228時間、報告件数4件、VT:16
- amlinfo[.]now — 1,033時間、報告件数2件、VT:2
- amlspace[.]com — 712時間、報告件数2件、VT:1
amlstatement[.]info:ウイルス対策ソフトによる検出16件、報告4件、オンライン期間51日。Porkbunの不正利用対策チームは、どのような行為を許容範囲と判断したのでしょうか?
Dynadot
- a8vx[.]top — 1,049時間、報告件数2件、VT:16
- aave[.]events — 初回報告、VT:2、BL:1
- aavetrading[.]net — 初回報告、VT:9
a8vx[.]top:16件のVT検知と44日間にわたる犯罪活動。DynadotはICANN認定のレジストラです。
domain.me
- wazbee[.]me — 388時間、VT:16
- stake2win[.]me — 402h, VT:14
どちらのドメインも、14~16のウイルス対策ソフトによって検出されています。2回目の報告後も、どちらも依然としてアクティブな状態です。

登録担当官ごとの不作為の合計時間
2026年3月のデータセットにおける、レジストラごとの報告済みドメインの合計アクティブ時間。これはレジストラ全体の不正利用の総数ではなく、あくまで1つのサンプルで観察された数値に過ぎません。
私たちが送るものと、彼らが実際に行うこと
PhishDestroyへのすべての不正利用報告には、以下の情報が含まれています:
本レポートの内容は以下の通りです
- ドメインURLおよび登録情報
- ベンダー名を含むVirusTotalのスコア
- フィッシングサイトの全画面スクリーンショット
- カテゴリ分類(フィッシング、ドレイナー、詐欺カジノ)
- 複数のフィードからのブラックリスト登録状況
- URLscan.io または類似のスキャン結果
- これまでの報告履歴と経緯
登録機関からの回答
- まったく反応がない(最も多い)
- テンプレートの確認、対応不要
- 「検討する」――数週間が過ぎても、ドメインはそのまま
- 「その主張を裏付けることはできない」――16件のVT検知があったにもかかわらず
- 解決されないままチケットが閉じられました
- すでに提出済みの証拠に関する要請
登録機関が対応しないため、我々は次の段階へ進めることにした ICANNのコンプライアンス (compliance@icann.org)。上記で示したすべての事例において、2回目以降の報告書にはICANNがCCで追加されていた。その結果は? やはり何もなかった。
存在しないICANNの基準
ICANNの レジストラ認定契約(RAA)第3.18条 登録機関に対し、不正利用に関する連絡窓口を設置するとともに、不正利用の報告に対して「合理的かつ迅速な措置を講じて調査を行い、適切に対応する」ことを義務付けている。
実際には、「合理的かつ迅速」とは、登録機関がそう決定した意味を指す。具体的には:
- 応答時間の最大値なし — レジストラは数週間待ってから、それが「妥当」だったと主張することができる
- 強制的な停止基準は設定されていない — 16回のVT検出があっても、それだけで自動的に何かがトリガーされるわけではない
- 公表義務なし — 登録機関は、受け付けた報告件数や対応した件数を公表する必要はない
- 実質的な罰則はない — ICANNは、不正行為への不作為を理由に認定を取り消したことはほとんどない
その結果、レジストラは、不正利用への対応を、果たすべき安全上の義務ではなく、最小限に抑えるべきコストセンターとして扱っている。
タイポスクワッティングには対処しているが、フィッシングには対処していない
さらにこの事態を不条理なものにしているのが、次の点です。フィッシングの報告を何ヶ月も無視しているレジストラの中には、ある特定の種類の不正利用に対しては極めて迅速に対応するところもあるのです: タイポスクワッティング — 確立されたブランド名と混同されるほど類似しているドメイン。
なぜでしょうか? それは、タイポスクワッティングが標的とするのが 法務予算を持つ企業. Google、Apple、あるいはMicrosoftが類似ドメインについてUDRPに基づく申し立てを行うと、レジストラは数日以内に対応します。商標権の濫用に対する訴訟やICANNによる制裁の脅威は、現実的かつ差し迫ったものです。
しかし、フィッシングサイトが個々の被害者から金銭をだまし取った場合はどうでしょうか? 暗号資産を盗み取るプログラムが誰かの生涯の貯蓄を根こそぎ奪った場合は? 偽のカジノがゲーマーからクレジットカード情報を盗んだ場合は? 企業の法務部門はない。UDRPの申し立てもない。緊急性もない。 レジストラの不正利用対策部門は、別の基準を適用しています。つまり、被害者の金銭的損失は、ブランドの商標に関する懸念と同じような対応を引き起こさないという基準です。
タイポスクワッティング報告
- ブランド所有者がUDRPを申し立てた
- 登録担当者は数日以内に回答します
- ドメインが即座にロック/停止された
- 不作為による法的結果
フィッシング・詐欺の報告
- 被害者や研究者が虐待の報告を行う
- 登録担当者が数週間/数ヶ月間、対応を怠る
- ドメインは有効期限が切れるまで有効です
- 何もしなくても何の罰もない
そのメッセージは明確です: レジストラはブランドを保護するものであり、人を保護するものではない。 彼らは、被害の証拠ではなく、法的権限に反応するのです。私たちの報告書には、VirusTotalによるスキャン結果、ウイルス対策ソフトによる検出結果、ブラックリストへの掲載確認、スクリーンショットなど、どのUDRP申立書よりも多くの客観的な証拠が含まれているにもかかわらず、依然として回答が得られていません。
私たちは彼らの仕事を代行します――しかも無料で
PhishDestroyとは、 独立した非営利プロジェクト. ドメインのスキャンを行います。脅威の分類を行います。VirusTotalレポートを作成します。スクリーンショットを撮影します。詳細な不正利用報告書を作成し、レジストラ、レジストリ、およびICANNに送付します。 レジストラが本来自ら行うべきセキュリティ業務を、当社が代行しています。
そして、ここに気まずい真実があります: 実際に、この業務を行っているレジストラもいくつかあります。 一部のレジストラは、独自のドメインスキャンインフラを運用し、独自の脅威インテリジェンスフィードを活用して、誰からも通報される前に悪意のあるドメインを先制的に停止させています。そうしたレジストラは実際に存在します。彼らが、それが可能であることを証明しているのです。
行動するレジストラ
- 内部スキャンツール(非公開のもの)を実行する
- 明らかな詐欺ドメインを積極的に停止する
- 虐待の通報には数時間以内に対応する
- 研究者や法執行機関と協力する
- VirusTotalおよびブラックリストのデータを証拠として受け入れる
これらのレジストラは、不正利用への迅速な対応が技術的にも経済的にも実現可能であることを実証しています。
詐欺師を庇うレジストラ
- スキャン用のインフラが一切ない
- 報告を待ってから、それを無視する
- 定型返信、チケットが閉じられました、ドメインが有効です
- レポートの受信を拒否する(NameSiloパターン)
- 何の証拠もないまま、16のウイルス対策エンジンを却下する
これらのレジストラは、安全性よりも収益を優先しました。彼らの不作為は、セキュリティコミュニティが無償でその役割を担っていることによって支えられているのです。
問題は、虐待への迅速な対応が可能かどうかということではない。 そうです。 問題は、なぜ一部のレジストラがそれを行わないことを選ぶのか、ということです。そしてその答えは、毎回、同じ構造的なインセンティブに帰着するのです: 稼働中のドメインは収益を生み出しますが、停止中のドメインは収益を生み出しません。
適用されるべき権威ある基準
登録機関に説明責任を問うための枠組みはすでに存在している――ただ、それが徹底されていないだけだ:
ICANN RAA 第3.18条
その 登録機関認定契約 レジストラに対し、不正利用に関する連絡先を維持し、報告を速やかに調査することを義務付けている。しかし、実際にはこの規定の執行は事実上行われていない。
APWG
その フィッシング対策ワーキンググループ この問題の規模を示すフィッシング動向レポートを四半期ごとに公表している。レジストラ各社はAPWGに参加しているにもかかわらず、依然としてこれらのレポートを無視している。
FTCの措置
その FTCによるNameSiloへの警告書(2024年12月) 不正への対処が不十分であることを明確に指摘した。ICANN自身の コンプライアンス部門 私たちからのエスカレーションを受け取っているにもかかわらず、何の反応もない。
DNSAI
その DNS悪用研究所 (PIRによる)は、DAARなどのツールを開発し、ベストプラクティスの普及を推進している。しかし、PIR自身のレジストリには、dotabuff[.]org(稼働時間674時間、VT:2)やcasesbattle[.]org(652時間)が登録されている。
50,000件のドメイン、そしてその数は増え続けています
上記の例は、 1週間分のサンプル. その実際の規模は桁外れだ。
当サイトの絶えず更新される脅威フィードは、 content_active.txt このリストには、悪意のあるものとして報告された5万件以上のドメインが含まれています。それぞれのドメインに対して、少なくとも1件の不正利用報告が寄せられています。多くのドメインでは複数の報告が寄せられています。レジストラ各社は、VirusTotalによるスキャン結果、スクリーンショット、ブラックリストへの登録確認といった証拠を受け取りながら、一般の人々の安全よりも自社の顧客を優先する選択をしました。
というのも、これがまさにそれだからです: 選択肢. レジストラの顧客とは、ドメインを登録した人物、つまり詐欺師のことです。レジストラの顧客は、偽の銀行サイトに貯金を騙し取られたおばあさんでも、ウォレットの資金をすべて奪われた仮想通貨ユーザーでも、Steamアカウントを乗っ取られたゲーマーでもありません。レジストラが選んだのは、詐欺師なのです。毎回、そうなんです。

被害者への報告:1時間1時間が重要
不正利用の報告を送信した瞬間から、カウントダウンが始まります。その瞬間から、レジストラは 公式に認識している その管理下にあるドメインが詐欺に利用されているという通知を受けた場合、その通知を受けてから何もしないまま過ごす1時間ごとに、1時間ごとに 承知の上での加担.
私たちのデータセットに含まれる多くのドメインは、単に数件の報告を乗り切るだけでなく、その 登録期間が終了します。彼らは一連のサイクルをすべて繰り返している。登録、詐欺、通報、再通報、ICANNへのエスカレーション、詐欺の継続、そして自然失効。レジストラは登録料を受け取った。詐欺師は盗んだ資金を手に入れた。被害者は何も得られなかった。
適切なタイミングでドメインを停止することは、単なる行政措置ではありません。また、単に「登録者にとっての不便」というだけのものでもありません。 これは救助活動です。 早期にテイクダウンされたドメインひとつひとつが、資金を吸い取られることのなかったウォレットであり、盗まれることのなかった認証情報であり、空にされることのなかった貯蓄口座である。ドメイン登録事業者が、テイクダウンを「検閲」や「事業妨害」と位置づけることは、彼らが一体誰の利益のために動いているのかを如実に露呈している。
登録機関は被害者に補償すべきか?
ドメイン登録業界全体が、決して向き合おうとしない疑問は、次の通りです:
考えてみてください。登録機関が報告を受け取ると、彼らは もはや無知ではない。彼らは、証拠を提示され、自らが管理するドメインが金銭、認証情報、および身元の盗用に利用されていることを知らされた。その瞬間から、引き続き何もしないことは単なる過失ではなく――それは 意識的な決断 危害を許す。
- 登録機関は責任を負う意思があるか 警告を受けていたドメインを通じて盗まれた1ドルごとに?
- 登録機関は被害者への補償を行う用意があるのでしょうか 虐待の通報がなされたにもかかわらず、それが無視された結果、資金を失ったのは誰なのか?
- レジストラの法務チームは 16種類のウイルス対策エンジンが異なる結果を示しているにもかかわらず、「検討した結果、問題は見つからなかった」という主張は、正当化できない立場であるということを理解していますか?
これら3つの質問に対する答えがすべて「いいえ」であるなら、そのドメインを有効なままにしておく正当な理由はありません。 まずは停止し、その後調査を行う。 責任あるインフラプロバイダーは、そのように運営しています。Cloudflareもそのように運営しています。HetznerやOVHといったホスティングプロバイダーも、ますますそのように運営しています。詐欺師の利便性を被害者の安全よりも優先するビジネスモデルに固執しているのは、ドメイン登録業者だけなのです。
その代償を払うのは誰か
フィッシングドメインがオンラインの状態にある1時間ごとに、被害者が直接増えることになります:
- 暗号資産を吸い上げるドメイン (farewex、perowex、xerowex、naebex) — ウォレットの残高は数秒で底をついた。apiname.comのドメインが合計4,658時間に及ぶことは、何千件ものウォレットからの資金流出の可能性を示唆している。
- 偽のカジノ/CS:GO詐欺 (casebattle variants、csgomy、ggddrop、tastdrop)— ゲーマーを標的としたクレジットカード詐欺、なりすまし、および結果の操作。
- 偽のサービスによるなりすまし (dexscreener[.]at、trustwallet[.]receipts[.]sh、amlbot[.]im、dotabuff[.]org) — ブランドを装った詐欺により、認証情報の盗難や金銭的被害が発生している。
- カーディングのインフラ (patricksstash、stashhpatrick) — 盗んだ決済情報を他の犯罪者に販売している。
何を変えなければならないか
現在のモデルは、その仕組みそのものが欠陥を抱えています。レジストラは、ドメインが有効なままであることで利益を得ています。ICANNには実効性のある執行権限がありません。被害者は救済手段を持っていません。これを解決するには、次のような対策が必要です:
- 不正利用への対応に関する必須のSLA: 24時間以内の受領確認、72時間以内の初期対応、7日以内のエスカレーション手順。測定可能。監査可能。
- 自動停止の閾値: VirusTotalでの検出件数が10件以上であり、かつ独立した報告が2件以上あるドメインは、審査が完了するまで停止措置を講じなければならない。その逆ではない。
- 公的機関による虐待に関する透明性報告書: ICANN認定のレジストラはすべて、四半期ごとに、受け付けた報告、平均応答時間、講じた措置、停止されたドメインに関する情報を公表しなければなりません。
- 違反に対する金銭的制裁: 体系的に措置を講じない登録機関に対しては、段階的な罰金を科す。繰り返し違反した機関については、認定を取り消す。
- 独立した虐待オンブズマン: レジストラの決定を審査し、対応の遅れを是正し、重大な脅威に対しては停止措置を迅速に実施できる第三者機関。
- 登録機関横断的な禁止リスト: 登録者が常習的な悪用者であると確認された場合、すべての認定レジストラに通知すべきである。これ以上のドメインの買いあさりは許されない。
PhishDestroyがこれに対してどのような対応をとったか
私たちは、報告書を作成して業界が自力で問題を解決するのを待つようなことはしません。透明性を確保し、何もしないことに対する責任を問うようなシステムを構築しています。
公開脅威データベース
私たちは、以下のものを開発・運用しており、 destroylist — 50,000件以上の悪意のあるドメインを収録した、公開され、継続的に更新されるデータベースです。現在、当社が送信するすべての不正利用報告は、レジストラに通知されます: このドメインは公開データベースに掲載されます. 登録業者のクライアントが管理するドメインの潜在的な被害者は、報告がいつ提出されたか、そして登録業者がそれをどれくらいの期間無視していたかを確認できるようになります。これは登録業者にとって不都合な状況ですが、それこそが狙いなのです。
ドメインの脅威に関するページ
現在、当社がフラグを立てたすべてのドメインには、以下のURLに専用のページが用意されています。 phishdestroy.io/domain — 詳細な分析、AIによる脅威の説明、および 脅威対応Pipeline 処理の各段階(検知、報告書の送信、エスカレーション、ICANNへの通知)を正確に表示します。ステータスはリアルタイムで更新されます。完全な透明性を確保するため、現在、すべてのフォローアップ報告書に正確なタイムスタンプを追加しています。レジストラがいつ通知を受け、どのくらいの期間何もしなかったのか、誰でも正確に確認できます。
エスカレーションシステム — 報告の殺到はご遠慮ください
私たちは ではない 登録機関に重複したレポートを送りつけること。98%のケースでは、最初のレポートを1通のみ送信し、繰り返し送信は行いません。これは、1日あたりのメール送信制限があること、また大量の重複送信は誤ったアプローチであると考えているためです。フォローアップレポートを送信するのは、ドメインが 再び「アクティブ」と検出された 新しいスキャン中に。もしすべてのアクティブなドメインに毎日スパムメールを送信すると、1日あたり50,000通のメールになります。 しかし、実際にはそうはしていません。当社のエスカレーションシステムは、AIによる脅威の要約、更新されたVirusTotalのスコア、およびレジストラが脅威を無視し続けている時間数を記載したフォローアップレポート(#2、#3など)を生成します。
コミュニティ再報告ツール
当社のTelegramボットでは @PhishDestroy_bot, ユーザーは現在、以下を提出できるようになりました 再報告 私たちの最初の報告後も依然として有効な状態にあるドメインについてです。あまりにも多くのレジストラが詐欺師の自由な活動を許し、甚大な被害を無視しているため、私たちはコミュニティの声を代弁しています。レジストラが私たちの声に耳を傾けてくれないのであれば、実際のユーザーからの多数の独立した報告には耳を傾けてくれるかもしれません。
PhishDestroy — 私たちはブランドを守りません。被害者を守りません。 私たちはフィッシングや詐欺のインフラを破壊します。
結論
16のウイルス対策エンジンが特定のドメインを悪質だと指摘しているにもかかわらず、レジストラが「措置を講じない」とする場合、そのレジストラは判断を下しているのではなく、収益を守っているに過ぎない。 13件の別々の不正利用報告が放置され、ドメインが1,352時間もの間稼働し続けている場合、そのレジストラは処理の遅れを解消しているのではなく、犯罪を助長しているのです。
この記事のデータは単なる理論上のものじゃない。これは2026年3月の1週間にわたる、当社の実際の不正利用エスカレーションログだ――その背景には 報告されたドメイン数は50,000件以上 継続的に更新される脅威フィードにおいて。これは、ある特定のレジストラに限った問題ではありません。これは、 業界全体の失敗 ドメイン登録のエコシステム側には、この問題を解決する意欲がない。というのも、現在のモデルが利益を生んでいるからだ。
レジストラがその結果を尊重する義務を負うようなウイルス対策ベンダーは存在しません。強制的な措置を講じるきっかけとなる検出基準も存在しません。SLAもなければ、説明責任もなければ、何らかの措置も講じられません。レジストラは手数料を徴収し、報告を無視し、その代償を払わされるのは被害者たちです。
レジストラは中立的なインフラプロバイダーではありません。 彼らは、毎日、無視される報告の一つひとつを通じて、犯罪インフラをオンライン上に維持し続けることを選択している「ゲートキーパー」たちだ。彼らはその被害について知らされている。それを阻止する力もある。しかし、そうしないことを選んでいる。そして、誰かが彼らに、唯一重要なその質問を投げかけるまでは―― 「停止を拒否したドメインの被害者に対して、補償するつもりはありますか?」 — 何も変わらない。
この問題に対する業界の沈黙こそが、何よりも雄弁な答えである。
