Visionalistの計測サーバーのドメインを第三者が取得
いやあ、悪用されたらあかんなあと。
”Visionalist"は、私自身が以前に所属していたデジタルフォレスト社(後にNTTコム オンライン・マーケティング・ソリューション/ NTT COMS社)が提供していたアクセス解析のツールです。私自身が当時、同社の商品企画部におりました関係もありまして、当時はど真ん中の中の人でした。
念のためwhoisを引いてみますと
Domain Information: [ドメイン情報]
[Domain Name] TRACER.JP
[登録者名] XT Yaz?l?m Hizmetleri Ltd. ?ti.
[Registrant] XT Yaz?l?m Hizmetleri Ltd. ?ti.
[Name Server] ns-1355.awsdns-41.org
[Name Server] ns-310.awsdns-38.com
[Signing Key]
[登録年月日] 2022/05/05
[有効期限] 2023/05/31
[状態] Active
[最終更新] 2022/05/05 07:11:48 (JST)
Contact Information: [公開連絡窓口]
[名前] MARCARIA.COM
[Name] MARCARIA.COM
[Email] domains@marcaria.com
[Web Page]
[郵便番号] FL 33166
[住所] 8345 NW 66 ST #B1673,Miami
Florida
United States
[Postal Address] 8345 NW 66 ST #B1673,Miami
Florida
United States
[電話番号] ++1.3057227658
[FAX番号] まあ、実態はわかりませんねえ。
Visionalistの計測サーバー用のタグ(Javascriptのコード)が埋め込まれているWebページにアクセスしますと、計測条件に従ってJavaScriptのプログラムがブラウザに送られて実行されます。その実行結果をWebビーコンを経由して計測サーバーに送信するわけです。今どきのGoogle Analyticsと同じような動きです。
上記の@tike氏のTweetによると何らかのコードが送信されているようですが、先ほど私が試したところ、Webサーバーは動いていて、空白Webページのタグが送られてくるようでした。今のところは無害のようですが、今後、仮想通貨のマイニングコードを送られたり、怪しげな広告の表示、怪しげなサイトへのリンクなど、何らかの問題のある動きをするコードを送られてくる可能性もあります。
さすがにVisionalistのサービス停止に伴い、計測タグの削除依頼がなされていると思いますが、tracer.jp ドメインが含まれるJavaScriptコードを見かけましたらVisionalistの計測タグの取り忘れの可能性が高いと思います。サイトのオーナーさんに連絡して頂ければと思います。
(念のため、私がデジタルフォレスト社を退職したのは10年近く前になります。NTT COMS社との取引もありませんので、Visionalistのサービス停止に関しては全く情報を持っていません。守秘義務な事項もありますので、気になることがございましたら、NTT COMS社の方にお問い合わせいただくのが良いかと思います。)
[2022-5-18 追記]
NTT COMSに残っている元上司に本件を連絡したところ、改めての注意喚起のリリースを出して頂いたそうです。もし計測タグが残っているようでしたら、改めて削除をお願いします。
先程、同ドメインにリクエストを飛ばしてみたところ、DNS_PROBE_FINISHED_NXDOMAINが返ってきました。digしてみると返ってこないので、DNSからエントリーを削除されているのかもしれません。
とはいえ、今後、どのようになるか不明ですので念のための用心まで。
【注意喚起】セキュリティリスク回避のため、旧Visionalist をご利用いただいていた法人のお客さまにおける“tracer.jp”タグ削除のお願い
https://www.nttcoms.com/news/2022051801/