「.zip」ドメインは危険? セキュリティ研究者が青ざめた理由トレンドマイクロも注意喚起

Googleが2023年5月10日に一般提供を開始した「.zip」ドメインを巡り、セキュリティ研究者やコミュニティーの間で「技術に精通したユーザーでさえ正規URLと見分けられない悪意のあるURLが作成される」と懸念の声があがった。

» 2023年06月02日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Googleは2023年5月3日(米国時間、以下同)、「.zip」や「.mov」を含む8つの新たなジェネリックトップレベルドメイン(gTLD)を発表し、5月10日に「Google Domains」を通じて一般提供を開始した。

 Googleが新たに提供を開始したgTLDは次の通り。

  • 「.dad」
  • 「.phd」
  • 「.prof」
  • 「.esq」
  • 「.foo」
  • 「.zip」
  • 「.mov」
  • 「.nexus」

 「.zip」はGoogleが2014年にICANN(Internet Corporation for Assigned Names and Numbers)に申請、受理されていたgTLDで、Googleの一般提供を通じて誰でもドメインを購入して利用できるようになった。

 Googleの発表に対し、セキュリティ研究者やコミュニティーの間では、技術に精通したユーザーでさえ見分けられない悪意のあるURLの構築が可能になると懸念が指摘されている。

「.zip」ドメインと「@」を使って悪意のあるURLに誘導できると再現

 セキュリティ研究者のボビー・ローキ(Bobby Rauch)氏は、.zipドメインとUnicode文字(U+2044〈∕〉とU+2215〈∕〉)と「@」を用いて正しいURLと見分けづらい悪意のあるURLを作成する手口をMedium記事で公開し、注意喚起している。

 「https://google.com@bing.com」というURLをクリックすると「bing.com」にアクセスする。これは「RFC 3986」に基づき、@の前にある「google.com」がユーザー情報として、@の後ろにある「bing.com」がホスト名として認識されるためだ。一方、「https://google.com/search@bing.com」のように、@の前にフォワードスラッシュがある場合、ブラウザはそれ以降の「/search@bing.com」をPathとして認識するため、「google.com」にアクセスする。

 ローキ氏は上記の仕組みを利用し、KubernetesのGitHubパッケージをダウンロードするリンクのように見せかける悪意のあるURLを以下のように作成した。またv1271.zipドメインを取得し、evil.exeをダウンロードさせるデモも公開した。

  • https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
  • https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
上はホスト名である「v1271.zip」にアクセスする(Unicode文字を利用してフォワードスラッシュを利用しているURLに見せかけている。実際には、フォワードスラッシュを利用していないため、RFC 3986に基づき「github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕」がユーザー情報として扱われる)。下は正規のURLだ。
ローキ氏によるデモ。メールクライアント上で「@」のフォントサイズを1に変更し、より判別が難しいURLに偽装している Rauch氏によるデモ。メールクライアント上で「@」のフォントサイズを1に変更し、より判別が難しいURLに偽装している

 ローキ氏は、知らない相手から送られてきたURLをクリックする際には、URLにカーソルをあわせてブラウザ下部に表示されるURLのプレビューを確認することを推奨している。

 トレンドマイクロはローキ氏の投稿を引用したアドバイザリーを5月23日に公開し、23日時点で新たなgTLDを使用する攻撃キャンペーンに関する情報は社内および顧客から得られていないとした一方で、次のように注意喚起している。

 「ZIPファイルは、サイバー攻撃チェーンの初期段階の一部で使用されることが多く、通常、ユーザが悪意のあるURLにアクセスしたり、電子メールの添付ファイルを開いたりした後にダウンロードされる(EmotetやQakbotなどのマルウェアで顕著に採用されている)。攻撃者が『.zip』を用いたURLを使用してマルウェアをダウンロードさせようとする可能性がある。またマルウェアの配信以外にも、コマンド&コントロール(C&C)サーバなど他の手段で利用されるリスクもある。新たなマルウェアや技術に対応したユーザー意識を向上させるためのトレーニングの導入を検討すべきだろう」

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。