アクセスログ解析サービスVisionalistで利用していたドメイン（tracer[.]jp）の脅威分析と注意喚起 - NTT Communications Engineers' Blog

はじめに イノベーションセンターの神田です。 みなさんはVisionalistというサービスをご存じでしょうか。 VisionalistはNTTコミュニケーションズのグループ会社であるNTTコム オンライン・マーケティング・ソリューション（以下 NTTコム オンライン）が提供していたアクセスログ解析サービスです。 2020年7月にサービスを終了しましたが、2022年5月にこのサービスで利用していたドメインを第三者が再登録し、セキュリティ上問題があるスクリプトを設置している可能性が確認されました（以下 本件）。 本件について、NTTコム オンラインは広く注意を呼びかけています。 本件に対して、イノベーションセンターでは事象が確認された直後からそのリスクの有無や程度について詳細な調査を実施してきました*1。 本記事は、本件におけるリスクがこれ以上拡大しないようにこれまでに我々が確認した事実とそ

[prograti]

ドメイン廃止にあたってはトラフィックを監視して影響がないと判断されるまで維持するのが通常だと思うけど、本件も同様のプロセスを経た上での廃止だったのだろうか？

[dekaino]

過ぎたコスト削減意識のなせる業

[masatomo-m]

なるほど。長期運営を想定するようなサイトでNTTコム系列のWebサービスを使うのはセキュリティ面でリスクと考えた方がよさそう。企業としてはユーザーの責任でなんとかしてくれというノリのようだ

[yamasta]

　第三者が書いたかのような表現の記事だが、よく見るとほぼ当事者の記事だった。おそらくそのように書かざるを得ない事情があると思われるが、ちょっと怖い。

[shogochiba]

👮👨😊

[yosida95]

恒例のやつだ…… > "サービスを終了しましたが、2022年5月にこのサービスで利用していたドメインを第三者が再登録し、セキュリティ上問題があるスクリプトを設置"

[retore]

"今回の事例がドメインの取得やライフサイクル管理を改めて考えるきっかけとなれば幸いです。"　お前が言うんかい

[SENRI5070]

発表したのは良かった。インポートするタイプのタグにはセキュリティリスクがあることを再認識させられる。

[mztns]

なんで他人事なんだろう

[sc3wp06ga]

サービス終了しても長期にわたってドメインを維持する確固たる社内規定がないなら、安易にサービス独自ドメインを取るな。会社のドメインのサブドメインでやってくれ。

[field_combat]

ドメイン手放すの早すぎだろ

[prozorec]

「今回の事例がドメインの取得やライフサイクル管理を改めて考えるきっかけとなれば幸いです」と書いてあるが、ドメインを放棄する前に社内で影響範囲を考えなかったのだろうか？無責任な言質に見える