「.zip」ドメインは危険？　セキュリティ研究者が青ざめた理由：トレンドマイクロも注意喚起

Googleが2023年5月10日に一般提供を開始した「.zip」ドメインを巡り、セキュリティ研究者やコミュニティーの間で「技術に精通したユーザーでさえ正規URLと見分けられない悪意のあるURLが作成される」と懸念の声があがった。

» 2023年06月02日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleは2023年5月3日（米国時間、以下同）、「.zip」や「.mov」を含む8つの新たなジェネリックトップレベルドメイン（gTLD）を発表し、5月10日に「Google Domains」を通じて一般提供を開始した。

　Googleが新たに提供を開始したgTLDは次の通り。

「.dad」
「.phd」
「.prof」
「.esq」
「.foo」
「.zip」
「.mov」
「.nexus」

　「.zip」はGoogleが2014年にICANN（Internet Corporation for Assigned Names and Numbers）に申請、受理されていたgTLDで、Googleの一般提供を通じて誰でもドメインを購入して利用できるようになった。

　Googleの発表に対し、セキュリティ研究者やコミュニティーの間では、技術に精通したユーザーでさえ見分けられない悪意のあるURLの構築が可能になると懸念が指摘されている。

「.zip」ドメインと「＠」を使って悪意のあるURLに誘導できると再現

　セキュリティ研究者のボビー・ローキ（Bobby Rauch）氏は、.zipドメインとUnicode文字（U+2044〈∕〉とU+2215〈∕〉）と「@」を用いて正しいURLと見分けづらい悪意のあるURLを作成する手口をMedium記事で公開し、注意喚起している。

　「https://google.com@bing.com」というURLをクリックすると「bing.com」にアクセスする。これは「RFC 3986」に基づき、@の前にある「google.com」がユーザー情報として、@の後ろにある「bing.com」がホスト名として認識されるためだ。一方、「https://google.com/search@bing.com」のように、@の前にフォワードスラッシュがある場合、ブラウザはそれ以降の「/search@bing.com」をPathとして認識するため、「google.com」にアクセスする。

　ローキ氏は上記の仕組みを利用し、KubernetesのGitHubパッケージをダウンロードするリンクのように見せかける悪意のあるURLを以下のように作成した。またv1271.zipドメインを取得し、evil.exeをダウンロードさせるデモも公開した。

https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

上はホスト名である「v1271.zip」にアクセスする（Unicode文字を利用してフォワードスラッシュを利用しているURLに見せかけている。実際には、フォワードスラッシュを利用していないため、RFC 3986に基づき「github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕」がユーザー情報として扱われる）。下は正規のURLだ。

ローキ氏によるデモ。メールクライアント上で「@」のフォントサイズを1に変更し、より判別が難しいURLに偽装している

Rauch氏によるデモ。メールクライアント上で「@」のフォントサイズを1に変更し、より判別が難しいURLに偽装している

　ローキ氏は、知らない相手から送られてきたURLをクリックする際には、URLにカーソルをあわせてブラウザ下部に表示されるURLのプレビューを確認することを推奨している。

　トレンドマイクロはローキ氏の投稿を引用したアドバイザリーを5月23日に公開し、23日時点で新たなgTLDを使用する攻撃キャンペーンに関する情報は社内および顧客から得られていないとした一方で、次のように注意喚起している。

　「ZIPファイルは、サイバー攻撃チェーンの初期段階の一部で使用されることが多く、通常、ユーザが悪意のあるURLにアクセスしたり、電子メールの添付ファイルを開いたりした後にダウンロードされる（EmotetやQakbotなどのマルウェアで顕著に採用されている）。攻撃者が『.zip』を用いたURLを使用してマルウェアをダウンロードさせようとする可能性がある。またマルウェアの配信以外にも、コマンド＆コントロール（C&C）サーバなど他の手段で利用されるリスクもある。新たなマルウェアや技術に対応したユーザー意識を向上させるためのトレーニングの導入を検討すべきだろう」

「パスワード付きZIP」廃止、じゃあどうすりゃいいのか（OneDrive編）
パスワードを付けた暗号化ZIPファイルをメールに添付してファイルを送るのは、もう廃止!?　でも代替の方法は？　Windows 10標準のオンラインストレージ「OneDrive」でファイルを送信する手順とセキュリティ上の注意点について解説する。
全世界の組織の48％が影響を受けた「ディレクトリトラバーサル脆弱性」とは　チェック・ポイント
チェック・ポイント・ソフトウェア・テクノロジーズは、2023年4月のGlobal Threat Index（世界脅威インデックス）を発表した。それによると2023年4月に国内で発生した脅威ランキングのトップは「Emotet」だった。
DNS水責め攻撃、食らっちゃいました
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第37列車は「DNS水責め攻撃」です。※このマンガはフィクションです。