「.zip」ドメインの悪用サンプルをセキュリティ研究者が公開 WinRARを模倣

Googleが新しく登録を開始した「.zip」ドメインが詐欺の対象になり得るとセキュリティ研究者が警告している。ある研究者はこのドメインを悪用する例としてWinRARを模したWebページを作成して情報とともに公開した。

[後藤大地，有限会社オングス]

　Googleは2023年5月、「.dad」「.phd」「.prof」「.esq」「.foo」「.zip」「.mov」「.nexus」と新たに8つのジェネリックトップレベルドメイン（以下、gTLD）を導入した。特に追加ドメインの中でも「.zip」が問題視されており、ファイル拡張子と同じ名前のドメインを悪用した詐欺が懸念されている。

　セキュリティ研究者のmr.d0xは2023年5月22日（現地時間）、「WinRAR」を模倣したWebページを作成して実際に詐欺に悪用可能であることを指摘した。作成されたHTMLなどはGitHub.comに公開されている。

WinRARを模倣する「.zip」ドメインの具体的悪用例

　セキュリティ研究者のmr.d0xは、「.zip」ドメインを悪用したサンプルをGitHub.comに公開した。

　mr.d0xは.zipの悪用が可能であることを示すために、Webページを作成した。これを開くとWinRARを模倣した画面に遷移し、アーカイブの中にはPDFファイルがあるかのように表示される。開こうとしてクリックすると実行ファイルがダウンロードされる。

mr.d0xが作成したWinRARを模倣したWebページ（出典：Mr.D0xのWebサイト）

　このWebページを悪用するユースケースは幾つか考えられる。mr.d0xは攻撃ベクトルとしてファイルエクスプローラの検索フィールドを使う方法を取り上げている。

　まず標的にフィッシングメールを送信する。フィッシングメールには、請求書を探す方法としてファイルエクスプローラで「◯◯.zip」というファイルを検索して欲しいという説明が掲載されている。ユーザーがファイルエクスプローラでこれを検索した場合、ファイルエクスプローラはそのファイルを探しにいくが見つからなかった場合には該当するドメインをWebブラウザで開こうとする。

　Webブラウザで開いた先は、サイバー攻撃者が用意したWinRARを模倣したWebページになっており、そのページを本物のWinRARだと勘違いしたユーザーが実行ファイルをダウンロードする可能性がある。この方法はファイルエクスプローラを操作させてそこから表示されるWebブラウザであるため、ユーザーが無条件に信頼してしまう可能性がある。

　「.zip」ドメインの悪用に関してはすでに既存の拡張子と同じドメインが存在するという状況を取り上げてそれほど深刻な問題ではないと指摘する声がある一方、今回取り上げたようにサイバーセキュリティのリスクになるという向きも存在している。すでに.zipがフィッシング詐欺に悪用されていることも確認されていることから、基本的に.zipを使う場合にはこれまで同様に注意していくことが望まれている。