新ドメイン「.zip」でフィッシングへの悪用が確認 研究者らの懸念が現実に

NetcraftはGoogleの新ドメイン「.zip」がフィッシング詐欺に悪用されたことを確認したと報じた。今後同様の傾向が続く可能性がある。

[後藤大地，有限会社オングス]

　Googleは2023年5月、新たに8つのジェネリックトップレベルドメイン（以下、gTLD）を導入した。これらのgTLDの中には「.zip」と「.mov」が含まれているが、複数のセキュリティ研究者やベンダーがこれらのドメインを悪用したサイバー攻撃のリスクがあると警告していた。

　セキュリティ企業のNetcraftは2023年5月17日（現地時間）、「.zip」ドメインに関する調査結果を公開し、最近追加された5000弱のドメインのうち5つが明らかにフィッシング詐欺を目的としたものであると発表した。同社はさらに、疑わしいとされるドメインもリストアップしている。今後悪用が続く可能性がありリスクの存在を認識しておくことが望まれる。

フィッシング詐欺を目的とした「.zip」ドメインが確認された（出典：NetcraftのWebサイト）

新ドメイン「.zip」がフィッシング詐欺に悪用　注意すべきドメイン名は

　ドメイン名とファイルの拡張子が同じであり、特に一般的なドメイン名であるほどサイバー攻撃に悪用されるリスクは高い。ただし、こうしたリスクの指摘は今回に始まったことではなく、「.zip」と「.mov」に関する指摘は過剰反応だとする意見もある。

　しかしサイバー犯罪者は可能性があるものであれば何でも試しているようだ。Netcraftは最近追加された5000弱ほどの「.zip」ドメインを調査した結果、明らかにフィッシング詐欺での悪用を目的として確保されたものを5つ特定したと報じた。次の5つのドメインはフィッシング詐欺への利用、または利用を想定した概念実証（PoC）で使われたと考えられている。

• report2023[.]zip
• microsoft-office[.]zip
• microsoft-office365[.]zip
• e-mails[.]zip
• login.payment-statement[.]zip

　さらにNetcraftは疑がわしいドメインとして以下を挙げている。

• attachment[.]zip
• bankofamericasecurities[.]zip
• browser-update[.]zip
• chromeupdatex64[.]zip
• driver-update[.]zip
• eicar[.]zip
• firefoxinstaller[.]zip
• microsoft[.]zip
• microsoftedgesetup[.]zip
• microsoftinstaller[.]zip
• microsoftteams[.]zip
• microsoft-windows-update[.]zip
• pay-statements[.]zip
• paystub[.]zip
• photos[.]zip
• updatediscord[.]zip
• urgent-update[.]zip
• winrar-installer[.]zip
• zoom-installer[.]zip

　今後「.zip」がどのようにサイバー攻撃に悪用されていくのかは動向を観測する必要がある。なお、Netcraftはすでにこの情報をGoogleに報告しており、悪用が確約しているドメインに関してはすでに名前解決が停止されていると報告されている。

　なお、「.zip」と同時に悪用が懸念された「.mov」に関してはまだ悪用は確認されていないと報告されている。