はじめに
イノベーションセンターの神田です。
みなさんはVisionalistというサービスをご存じでしょうか。
VisionalistはNTTコミュニケーションズのグループ会社であるNTTコム オンライン・マーケティング・ソリューション(以下 NTTコム オンライン)が提供していたアクセスログ解析サービスです。
2020年7月にサービスを終了しましたが、2022年5月にこのサービスで利用していたドメインを第三者が再登録し、セキュリティ上問題があるスクリプトを設置している可能性が確認されました(以下 本件)。
本件について、NTTコム オンラインは広く注意を呼びかけています。
本件に対して、イノベーションセンターでは事象が確認された直後からそのリスクの有無や程度について詳細な調査を実施してきました*1。
本記事は、本件におけるリスクがこれ以上拡大しないようにこれまでに我々が確認した事実とそれに基づく分析の結果を社外に広く共有するものです。 また、今後同様の事象が起きないように本件を教訓としてドメインのライフサイクル管理を今一度見直していただくきっかけとなることも期待しています。
社内に向けても先日開催された勉強会において情報共有・啓発しており、本記事はその発表内容をベースとして再編集しています。
目次
アクセスログ解析サービス(Visionalist)の仕組み
アクセスログ解析サービスに詳しくない方のために、Visionalistがどのような仕組みでアクセスを計測していたかを簡単に説明します。
(すでにご存じの方は読み飛ばしてください)
Visionalistでは、サービス利用者が予め自分のWebサイトにタグ(tracer[.]jpへのリンク)を埋め込んでおきます。
訪問者がWebサイトにアクセスすると(上図①)、タグを介して計測用スクリプトがWebブラウザにダウンロードされ(上図②)、Webブラウザ上で計測用スクリプトが実行されることでログが生成、収集されます(上図③)。
図のようなアクセス解析サービスの形態は「ビーコン型」と呼ばれます。 Visionalistに限らずビーコン型のアクセス解析サービスは基本的に同様の仕組みでアクセスを計測しています。
経緯
発生日 | イベント |
---|---|
2020年7月31日 | Visionalistのサービス終了 |
2022年4月30日 | tracer[.]jpが完全に失効 |
2022年5月5日 | 第三者がtracer[.]jpを再登録 |
〜2022年5月17日 | 不審なスクリプト配置 |
2022年5月18日 | NTTコム オンラインによる注意喚起 |
Visionalistでは、アクセスログ解析に用いるタグとしてtracer[.]jpを利用していました。
このドメインはサービス終了後、2022年4月30日に期限を迎え、先願による登録が可能な状態となりました。
2022年5月5日になってNTTコム オンラインではない第三者がtracer[.]jpを再度登録しました。
その後、不審なスクリプトが配置されていることが発見され、報告されています。
(ご無沙汰しております、、、)
— tike (@tiketiketikeke) 2022年5月10日
2020年にサービス提供を終えたVisionalist ASPで使用されていたドメイン名 ( tracer[.]jp ) が数日前に第三者に再登録され、不審なスクリプトが配置されています。
タグの消し忘れが結構ありそうです。
ご注意ください! pic.twitter.com/QWMd6SI6PD
tracer[.]jpに不審なスクリプトが配置されたということは、タグが残置されたままのWebサイトにアクセスしたWebブラウザ上で不審なスクリプトが実行される状態にあることを意味します。
不審なスクリプトが配置された状況はしばらく続きましたが、2022年5月17日に権威DNSサーバが切り替わったタイミングでDNSレコードが削除され、tracer[.]jpは名前解決のできない、どこにもつながらない状態となりました。
以後、2022年6月7日現在までその状況が続いています。
2022年5月18日にはNTTコム オンラインが注意を喚起するニュースリリースを公開しました。
脅威分析
事象を認識した2022年5月10日頃から2022年5月17日にDNSレコードが削除されるまでの間tracer[.]jpに不審なスクリプトが配置されていた事実を確認しています。
スクリプトが実行されると、2種類のハッシュ値やタイムスタンプ値などがWebブラウザからtracer[.]jpに送信されます。
スクリプト上ではその後tracer[.]jpからの応答に応じてWebブラウザのページを別URLに遷移させるようなコードとなっています。
具体的には、JSON形式の応答を受け取った場合に応答データ内の情報を元に parent.top.window.location.href
の値を書き換える動作をします。
観測の範囲内ではJSON形式の応答は確認されませんでしたが、応答によって任意のURLに遷移させるリダイレクタとして動作することから、潜在的に悪意のあるURLに誘導される可能性が考えられます。
不審なスクリプトが配置されていたインフラではtracer[.]jpの他に少なくとも数百のドメインが紐づけられていることを確認しています。 これらのドメインの中には2022年5月18日以降も引き続き名前解決できる状態のものがあり、tracer[.]jpで確認されたスクリプトと同一のスクリプトが配置されているドメインも複数存在しています。 ドメインに紐づくIPアドレスの追加も行われていることから、当該スクリプトが配置されているインフラは依然として稼働状態にあると考えられます。
関連事例
本件と関連する事例が過去にセキュリティベンダから報告されています。
2021年にESETは中東をターゲットとした水飲み場攻撃*2を報告しています*3。
この事例で水飲み場攻撃としてWebサイトに埋め込まれたリンクの先に配置されていたスクリプトの1つはtracer[.]jpで確認されたスクリプトと同一のものでした。 当該スクリプトが配置されていたインフラも共通していることから、高い確度で同一のグループであると考えられます。
2020年にはPalo Alto NetworksがCOVID-19関連ドメインについて報告しています*4。
この事例で複数のコロナウイルス関連ドメインが多数ホスティングされていた不審なパーキングページ*5に関連するスクリプトとして、tracer[.]jpで確認されたスクリプトと類似のスクリプトが報告されています。 確度はあまり高くありませんが、関数名やリダイレクトロジックの共通性から、何らか関係している可能性が考えられます。
影響範囲
2022年6月7日現在、調査した範囲ではおよそ800のWebサイトにtracer[.]jpへのリンクが残存している可能性があります。 現時点ではtracer[.]jpはどこにもつながっていないため、当該Webサイトにアクセスしても不審なスクリプトが実行されることはありません。 しかし、再び不審なスクリプトが配置された際には、当該WebサイトにアクセスしたWebブラウザ上で任意のスクリプトが実行されうる状態であることに変わりはありません。
おわりに
本記事では、Visionalistで利用していたタグドメインtracer[.]jpが第三者によって再登録された件について確認できている事実とそれに基づく分析の結果を共有しました。
今回の事例がドメインの取得やライフサイクル管理を改めて考えるきっかけとなれば幸いです。
また、tracer[.]jpタグが残置されているWebサイトの管理者さまにおかれましては、リスク回避のためにも当該タグをサイトより削除していただけますよう改めてお願いします。
謝辞
本件を代表するような立場ではありませんが、まがりなりにもセキュリティに携わる一人の人間として、本件について警鐘を鳴らし、各方面に注意を呼びかけてくださった皆さまに感謝をお伝えしたいと思います。
特に、本件を発見し初めに広く注意を呼びかけてくださったtikeさん(@tiketiketikeke)、各方面に積極的に働きかけてくださった坂本一仁さん(@_taka_sakamoto)に心より感謝します。
ありがとうございました。
IoC
- *.tracer[.]jp
- 45[.]77.192.33
- 68[.]183.47.155
- 165[.]232.142.149
- 206[.]81.5.96
*1:調査結果については社内関連部署にも報告し、対応に活用してもらっています。
*2:ターゲットが日頃アクセスしているWebサイトを改ざんし不正なコードを設置することで、ターゲットのWebアクセスをトリガーにして攻撃を仕掛ける手法。ライオンが水飲み場の近くで獲物を待ち伏せて狩る様子になぞらえて名付けられました。
*3:ESET, "Strategic web compromises in the Middle East with a pinch of Candiru"
*4:Palo Alto Networks, "新型コロナウイルス感染症につけこむサイバー攻撃者たち:関心の高いドメイン名登録で収益化"
*5:ドメインパーキングサービスに用いられるWebページ。ドメインパーキングサービスとは使用していないドメインを管理するサービスのことで、当該ドメインへのアクセスを「現在ドメインが使用されていない」旨を伝えるページに誘導したり、広告を掲載したページに誘導したりします。