JR東日本グループの駅ビル商業施設「アトレ」がかつて使用していたドメイン「atre-club.jp」が、第三者によって取得され、不審なWebサイトへ誘導される事態が発生していることが明らかになった。
問題のドメインは、旧アトレカード裏面のQRコードからアクセスできる形で印刷されており、該当カードを持つ利用者に向けて「QRコードを読み取らないように」と注意喚起が行われている。
■ 該当カードは2013年10月~2016年2月発行分
「アトレ」は、2025年6月27日、公式サイトを更新。「【お知らせ】旧アトレカードをご利用のお客さまへ」と題した告知を通じて、旧アトレカードのQRコードによる不審サイト誘導のリスクについて注意喚起を行った。
問題のカードは、2013年10月から2016年2月にかけて発行された旧アトレクラブ会員向けカードで、当時提供されていた会員Webサービス「マイアトレ」へアクセスするためのQRコードが裏面に印刷されている。
このQRコードは「atre-club.jp」というドメインにリンクしているが、同ドメインは2015年度をもってアトレ側の運用を終了。現在は全く関係のない第三者により取得され、アクセスすると不審なサイトに転送される状況が確認されたという。
アトレ側は、当該カードは現在もJRE POINTカードとして使用可能であるものの、裏面のQRコードは読み取らないよう強く注意を呼びかけている。
■ SNSでは「企業ドメイン管理の責任」問う声も
本件はネット上でもすでに話題となっており、特に「一度使った企業ドメインは、たとえ利用を終えても第三者に取得されないよう管理すべき」という指摘が相次いでいる。
ドメインが乗っ取られ、不正サイトへの誘導に悪用される例は過去にもあり、今回のように物理的にQRコードが印刷されて流通しているケースでは、より一層のリスク管理が求められる。
アトレは「お客さまにはご不便とご心配をおかけし誠に申し訳ございません」と謝罪し、引き続き理解と協力を求めている。
<参考・引用>
アトレ「【お知らせ】旧アトレカードをご利用のお客さまへ」(6月27日)
