旧「アトレカード」のQRコード読むと“不審なサイト”に、注意呼び掛け　ドメイン管理の不備か

　JR東日本の子会社で、駅ビルの商業施設を運営するアトレ（東京都渋谷区）は6月27日、旧「アトレカード」の裏面に記載しているQRコードをスマホなどで読み込まないようにユーザーに呼び掛けた。不審なサイトにつながるという。

【その他の画像】

　対象のカードは、2013年の10月から16年2月までに発行されたアトレカード。裏面には、同社が「アトレクラブ」会員向けに提供していたWebサービス「マイアトレ」で2015年度まで使用していたドメイン「atre-club.jp」のURLをQRコードにして記載していた。

　しかしatre-club.jpはサービス終了後になんらかの理由で失効し、第三者の手に渡ったとみられる。アトレは「アクセスすると不審なWebサイトへ誘導されることを確認している」として注意喚起した。

　なお編集部で確認したところ、当該URLはアクセスできない状態になっていた（7月2日午前11時現在）。

●ドロップキャッチの危険性

　企業や団体が使用済みドメインの管理を怠り、失効した後で悪意ある第三者の手に渡る事例が後を絶たない（ドロップキャッチと呼ばれる）。例えば23年には岡山県が過去に使っていた5つのドメインが第三者に再取得され、県は「無関係」と広く注意を呼び掛けた。

　24年には、NTTドコモが21年まで提供していたウォレットサービス「ドコモ口座」のドメイン「docomokouza.jp」がオークションに掛けられて話題に。その後402万円で落札され、落札者は不明ながらも当該ドメインはドコモの管理下に戻った。

　同じく24年の年末には、セキュリティ企業のマカフィーが技術ブログに使用していたドメインがいつの間にか「パパ活アプリ」のアフィリエイトブログサイトに変わっていると話題になった。

　業界団体の日本DNSオペレーターズグループは、安易なドメインの廃止はリスクが大きいと指摘。一度休眠させて検索エンジンや被リンクサイトへの削除依頼などの“逆SEO対策”を行い、DNSクエリ数があらかじめ定めたしきい値を下回ってから判断する、といった運用方法を推奨している。