アクセス解析サービスにて廃止されたドメインが悪意のある者の手に渡り、WEBスキミングなどに悪用されている危険性があるとして注意喚起がなされました。
NTTコミュニケーションズ様より、5月18日付けで「【注意喚起】セキュリティリスク回避のため、旧Visionalistをご利用いただいていた法人のお客さまにおける”tracer.jp”タグ削除のお願い」が報告されました。
長年に渡り、同社が無償でアクセス解析を提供していましたが、サービスを昨年終了し、ドメインが廃止されました。そのドメインが悪意あるものに入手され、以前サービスされていたタグと同一名称のファイルを悪意ある者が別の目的で作成し、サーバで提供。それにより、サービスが終了したアクセス解析のためのタグを残していた様々なサイトで、WEBスキミングなど、リスクのあることに活用された可能性があるとのことです。
サイト運営者は、様々なタグを解析目的で設置します。サイト運営者が変わると、なんのためのタグであったかが分からなくなったタグが残ったままにされているサイトも少なからずあるのではないでしょうか。
サービスが終了し、廃止されたドメインが悪意ある者の手に渡り、それが悪用された今回の事例では、ECサイトにそれが残っていた場合、WEBスキミングなどが行われるリスクがあると推測されます。
どのような悪用があったかは、リリース文からは明らかになっていませんが、可能性としてはWEBスキミングが一番可能性としては高いのではないかと弊社では推測しています。
WEBスキミングは、昨今インターネット上で問題となっている悪意ある者による手法で、ハッキングした航空会社やECサイトへサイト運用者や利用者が気がつかないようにタグのみを設置するというものです。jQueryに偽装したものが多く発見されています。
WEBスキミングでは、JavaScriptなどにより、ブラウザー内で入力されたクレジットカード情報を含む情報を目的とするサーバへ勝手に伝送し、それをダークウェブ上でその情報を販売したり、仲間によって現金化するスキームに利用されます。
パソコンにセキュリティソフトを導入していても、https暗号化された航空会社やECサイトへブラウザーでいつもと同じように入力しているだけで、クレジットカード情報がスクリプトによって悪意ある者のサーバに平行して伝送されてしまいます。パソコン内のマルウェアではないからです。
こうしたWEBスキミングに対処する方法としては、『ブラウザー拡張機能によりハイジャックされたドメインからの情報を無効化する』『セキュリティ企業のVPNなどにより、ハイジャックされたドメインの通信を遮断』『DNSFilterなどによりドメインを引けなくする」などの様々な方法で対処することができます。
PC Maticのお客様は、IE11,Firefox,Chrome,Edge用に提供している「WebShield」を導入することで、こうした既知のハイジャックされたドメインに関して防御することが可能になります。
WebShieldでは、「EasyPrivacy」フィルターにて、今回問題となったtracer.jpからのタグ無効化処置を即時実施いたしました。PC Maticのお客様でない場合は、uBlock Originをブラウザー拡張機能として導入し、「EasyPrivacy」フィルターを適用することでtracer.jpへは対処することが可能です。
サイト管理者が不必要なタグに気をつけていればよいのですが、利用者も自己防衛を怠らないことが大切ではないでしょうか。
