「.zip」「.mov」などファイルの拡張子と紛らわしいトップレベルドメインが登場して悪用されそうなドメインの取得が増加

GoogleのドメインレジストリサービスであるGoogleレジストリが2023年5月、新たに8つのトップレベルドメイン(TLD)の一般登録受付を開始しました。ところが、新たに登録受付が開始された8つのドメインの中にファイルの拡張子としてよく用いられる「.zip」「.mov」が含まれており、すでに悪用されそうなドメインが多数取得されていることも報告されています。

New ZIP domains spark debate among cybersecurity experts
https://www.bleepingcomputer.com/news/security/new-zip-domains-spark-debate-among-cybersecurity-experts/

The Dangers of Google’s .zip TLD. Can you quickly tell which of the URLs… | by Bobbyr | May, 2023 | Medium
https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5

Google's .zip and .mov domains aren't the end of the world • The Register
https://www.theregister.com/2023/05/17/google_zip_mov_domains/

TLDはドメインの中でもURLの末尾に付くもので、有名なものには「.com」「.net」「.org」などがあります。新たにGoogleレジストリは、「.dad」「.esq」「.prof」「.phd」「.nexus」「.foo」「.zip」「.mov」というTLDの登録受付を開始し、一般の人々や企業がウェブサイトやメールアドレスをホストするために購入できるようになりました。

ところが、このうち「.zip」は圧縮データやアーカイブのファイルフォーマットであるZIPの拡張子として、「.mov」は動画などのマルチメディアファイル用の拡張子として広く使用されています。

一部のネットサービスやウェブサービスでは、メッセージにURLが含まれている時に自動でリンクを付け、クリックやタップでウェブサイトへ移動できるようにする機能が搭載されています。今回のケースでは、ZIPファイルやMOVファイルを開こうとしたらウェブサイトに飛ばされてしまい、フィッシング詐欺に遭ったりマルウェアをインストールしたりするリスクがあるとのこと。

試しにTwitterのダイレクトメッセージで「まずはtest.zipファイルを開いて、次にtest.movファイルを探してください。test.movファイルを見つけたら、ダブルクリックで動画が視聴できます。」というメッセージを送信してみたところ、「test.zip」「test.mov」という文字列がURLだと認識されてリンクが付与され、クリックするとウェブサイトに移動するようになっていました。

このような形で文章中にURLが含まれていると、「このリンク先でファイルがダウンロードできるのか？」と誤認しかねません。もし悪意のある人物が「test.zip」「test.mov」などのドメインを取得し、悪意のあるウェブサイトを運営していた場合、セキュリティ上のリスクが生じる可能性があると指摘されています。

一般登録が始まった「.zip」ドメインは取り消されるべきなのか？ - GIGAZINE

すでにサイバーインテリジェンス企業のSilent Push Labsは、「microsoft-office.zip」というドメインが取得されており、フィッシング詐欺を狙ったと思われるウェブサイトが運営されていると報告しています。

セキュリティ研究者のGermán Fernández氏は、すでに「chrome-installer.zip」「documents-buckup.zip」「google-analytics.zip」「microsoftoutlook.zip」「office365-update.zip」など、実在のサービスやソフトウェアと混同しやすく悪用されそうなドメインが多数取得されていることを報告しました。

また、セキュリティ研究者のBobby Rauch氏は、「/」のように見えるが実はそうではないUnicode文字を利用してChromeを欺くフィッシングリンクを生成したり、URLに「@」を挿入することでファイルダウンロード用に偽装したURLからウェブサイトに誘導できたりと、さまざまな悪用のリスクがあると説明しました。

しかし、Microsoft Edgeの主要開発者であるエリック・ローレンス氏や、メールアドレスの流出確認サービス「Have I been Pwned?」の開発者であるトロイ・ハント氏など、専門家の中にも「.zip」や「.mov」がTLDになっても大きな問題はないと主張する人々もいます。

ローレンス氏は、以前からURL内に「.zip」を紛れ込ませることは可能であり、ウェブサービスやアプリで「.zip」がURLだと認識されてしまう問題についても、Perlで書かれたプログラムの拡張子であると同時にポーランドの国別コードでもある「.pl」などで以前から発生していたと指摘。確かに自動リンクで意図しないウェブサイトにアクセスさせることは可能なものの、攻撃ベクトルとしてそれほど魅力的ではないとしています。

また、ハント氏はそもそも人間が「どのURLが正当なものでどのURLがそうでないか」を見分けるのは難しく、「.zip」がTLDになったところで大きな違いはないと指摘しました。

Googleはテクノロジー系メディアのBleepingComputerへの声明で、「ドメイン名とファイル名の混同は新しいリスクではありません」「アプリケーションにはこれに対する緩和策(Googleセーフブラウジングなど)があり、これは『.zip』などのTLDにも当てはまります。Googleはフィッシングとマルウェアの問題を真剣に受け止めており、Googleレジストリには『.zip』を含むすべてのTLDで、悪意のあるドメインを一時停止または削除するための既存のメカニズムがあります。『.zip』やその他のTLDの使用状況を引き続き監視し、新たな脅威が発生した場合はユーザーを保護するために適切な措置を講じます」と述べています。

BleepingComputerは、「誰もが知っている通り、信頼できない人やウェブサイトから送られてきたリンクをクリックしたり、ファイルをダウンロードしたりすることは危険です。他のリンクと同様に、メッセージに『.zip』や『.mov』リンクが表示された場合は、クリックする前に調べてください。それでもリンクが安全かどうかわからない場合は、クリックしないでください。これらの簡単な手順に従うことで、新しいTLDの影響は最小限に抑えられ、リスクが大幅に増加することはありません」と述べました。