Googleが2023年5月10日に一般提供を開始した「.zip」ドメインを巡り、セキュリティ研究者やコミュニティーの間で「技術に精通したユーザーでさえ正規URLと見分けられない悪意のあるURLが作成される」と懸念の声があがった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Googleは2023年5月3日(米国時間、以下同)、「.zip」や「.mov」を含む8つの新たなジェネリックトップレベルドメイン(gTLD)を発表し、5月10日に「Google Domains」を通じて一般提供を開始した。
Googleが新たに提供を開始したgTLDは次の通り。
「.zip」はGoogleが2014年にICANN(Internet Corporation for Assigned Names and Numbers)に申請、受理されていたgTLDで、Googleの一般提供を通じて誰でもドメインを購入して利用できるようになった。
Googleの発表に対し、セキュリティ研究者やコミュニティーの間では、技術に精通したユーザーでさえ見分けられない悪意のあるURLの構築が可能になると懸念が指摘されている。
セキュリティ研究者のボビー・ローキ(Bobby Rauch)氏は、.zipドメインとUnicode文字(U+2044〈∕〉とU+2215〈∕〉)と「@」を用いて正しいURLと見分けづらい悪意のあるURLを作成する手口をMedium記事で公開し、注意喚起している。
「https://google.com@bing.com」というURLをクリックすると「bing.com」にアクセスする。これは「RFC 3986」に基づき、@の前にある「google.com」がユーザー情報として、@の後ろにある「bing.com」がホスト名として認識されるためだ。一方、「https://google.com/search@bing.com」のように、@の前にフォワードスラッシュがある場合、ブラウザはそれ以降の「/search@bing.com」をPathとして認識するため、「google.com」にアクセスする。
ローキ氏は上記の仕組みを利用し、KubernetesのGitHubパッケージをダウンロードするリンクのように見せかける悪意のあるURLを以下のように作成した。またv1271.zipドメインを取得し、evil.exeをダウンロードさせるデモも公開した。
ローキ氏は、知らない相手から送られてきたURLをクリックする際には、URLにカーソルをあわせてブラウザ下部に表示されるURLのプレビューを確認することを推奨している。
トレンドマイクロはローキ氏の投稿を引用したアドバイザリーを5月23日に公開し、23日時点で新たなgTLDを使用する攻撃キャンペーンに関する情報は社内および顧客から得られていないとした一方で、次のように注意喚起している。
「ZIPファイルは、サイバー攻撃チェーンの初期段階の一部で使用されることが多く、通常、ユーザが悪意のあるURLにアクセスしたり、電子メールの添付ファイルを開いたりした後にダウンロードされる(EmotetやQakbotなどのマルウェアで顕著に採用されている)。攻撃者が『.zip』を用いたURLを使用してマルウェアをダウンロードさせようとする可能性がある。またマルウェアの配信以外にも、コマンド&コントロール(C&C)サーバなど他の手段で利用されるリスクもある。新たなマルウェアや技術に対応したユーザー意識を向上させるためのトレーニングの導入を検討すべきだろう」
Copyright © ITmedia, Inc. All Rights Reserved.