Visionalistの計測サーバーのドメインを第三者が取得

2022年5月18日

いやあ、悪用されたらあかんなあと。

”Visionalist"は、私自身が以前に所属していたデジタルフォレスト社(後にNTTコム オンライン・マーケティング・ソリューション/ NTT COMS社)が提供していたアクセス解析のツールです。私自身が当時、同社の商品企画部におりました関係もありまして、当時はど真ん中の中の人でした。

念のためwhoisを引いてみますと

Domain Information: [ドメイン情報]
[Domain Name]                   TRACER.JP

[登録者名]                      XT Yaz?l?m Hizmetleri Ltd. ?ti.
[Registrant]                    XT Yaz?l?m Hizmetleri Ltd. ?ti.

[Name Server]                   ns-1355.awsdns-41.org
[Name Server]                   ns-310.awsdns-38.com
[Signing Key]                   

[登録年月日]                    2022/05/05
[有効期限]                      2023/05/31
[状態]                          Active
[最終更新]                      2022/05/05 07:11:48 (JST)

Contact Information: [公開連絡窓口]
[名前]                          MARCARIA.COM
[Name]                          MARCARIA.COM
[Email]                         domains@marcaria.com
[Web Page]                       
[郵便番号]                      FL 33166
[住所]                          8345 NW 66 ST #B1673,Miami
                                Florida
                                United States
[Postal Address]                8345 NW 66 ST #B1673,Miami
                                Florida
                                United States
[電話番号]                      ++1.3057227658
[FAX番号]                       

まあ、実態はわかりませんねえ。

Visionalistの計測サーバー用のタグ(Javascriptのコード)が埋め込まれているWebページにアクセスしますと、計測条件に従ってJavaScriptのプログラムがブラウザに送られて実行されます。その実行結果をWebビーコンを経由して計測サーバーに送信するわけです。今どきのGoogle Analyticsと同じような動きです。

上記の@tike氏のTweetによると何らかのコードが送信されているようですが、先ほど私が試したところ、Webサーバーは動いていて、空白Webページのタグが送られてくるようでした。今のところは無害のようですが、今後、仮想通貨のマイニングコードを送られたり、怪しげな広告の表示、怪しげなサイトへのリンクなど、何らかの問題のある動きをするコードを送られてくる可能性もあります。

さすがにVisionalistのサービス停止に伴い、計測タグの削除依頼がなされていると思いますが、tracer.jp ドメインが含まれるJavaScriptコードを見かけましたらVisionalistの計測タグの取り忘れの可能性が高いと思います。サイトのオーナーさんに連絡して頂ければと思います。

(念のため、私がデジタルフォレスト社を退職したのは10年近く前になります。NTT COMS社との取引もありませんので、Visionalistのサービス停止に関しては全く情報を持っていません。守秘義務な事項もありますので、気になることがございましたら、NTT COMS社の方にお問い合わせいただくのが良いかと思います。)

[2022-5-18 追記]

NTT COMSに残っている元上司に本件を連絡したところ、改めての注意喚起のリリースを出して頂いたそうです。もし計測タグが残っているようでしたら、改めて削除をお願いします。

先程、同ドメインにリクエストを飛ばしてみたところ、DNS_PROBE_FINISHED_NXDOMAINが返ってきました。digしてみると返ってこないので、DNSからエントリーを削除されているのかもしれません。
とはいえ、今後、どのようになるか不明ですので念のための用心まで。

【注意喚起】セキュリティリスク回避のため、旧Visionalist をご利用いただいていた法人のお客さまにおける“tracer.jp”タグ削除のお願い
https://www.nttcoms.com/news/2022051801/