知って得するセキュリティのはなし その162
提供終了したアクセス解析サービスのドメイン名、第三者が取得…不正なスクリプト設置の恐れに注意喚起
1.このニュースをざっくり言うと
- 5月18日(日本時間)、NTTグループのNTTコム オンライン・マーケティング・ソリューション社より、同社のサービスで以前使用していたドメイン名が第三者に取得されたとして注意喚起が出されています。
- 対象となるのは、同社が2020年7月まで提供していたアクセス解析サービス「Visionalist」において、解析用スクリプトの読み込み先として使用されていた「tracer.jp」で、一旦失効後、5月5日に海外の業者とみられる第三者が登録した模様です。
- 同社ではサービス終了の時点でスクリプトを読み込むタグを削除するようユーザーに呼び掛けていましたが、今回「セキュリティ上問題があるスクリプトを設置している可能性がある」としており、セキュリティリスク回避の観点から、改めて削除を呼び掛けています。
2.執筆者からの所感等
- 失効されたドメイン名が第三者に取得される「ドロップキャッチ」により、終了したイベント等のWebサイトが不審なページに変わったりする例はよく見られ、セキュリティリスクを孕む事案として注意喚起が出され、ニュースで取り上げられることは度々発生しています。
- Visionalistのサイトでは2020年3月頃にサービス終了とスクリプトタグ削除の呼び掛けがアナウンスされていましたが、同年9月にシステムを停止した際にアナウンスが消えており(https://web.archive.org/web/*/www.visionalist.com )、そこから当該ドメイン名の失効~第三者の取得まではせいぜい1年半程度だったことになります。
- 「使われなくなったドメイン名でも失効させない」ことがドロップキャッチに対する一般的な回避策となりますが、今回のケースではVisionalistのサイトで使われていたドメイン名(visionalist.com)の方がサイト閉鎖後も現在まで保持され続けていることが確認されており、tracer.jpの方も同様の措置をとる必要があったと言えるでしょう。
- ユーザー側に対する防御としては、一部Webブラウザー向け広告ブロック拡張で当該ドメイン名がブロック対象に追加されている模様で、今後もアンチウイルスやUTMによるアンチフィッシング機能において、ドロップキャッチが発生してマルウェアの拡散等の影響が発生し得るドメイン名がブロック対象となるようなコンセンサスがとられるよう期待したいものです