「.zip」ドメインは危険？　セキュリティ研究者が青ざめた理由：トレンドマイクロも注意喚起

　セキュリティ研究者のボビー・ローキ（Bobby Rauch）氏は、.zipドメインとUnicode文字（U+2044〈∕〉とU+2215〈∕〉）と「@」を用いて正しいURLと見分けづらい悪意のあるURLを作成する手口をMedium記事で公開し、注意喚起している。

　「https://[email protected]」というURLをクリックすると「bing.com」にアクセスする。これは「RFC 3986」に基づき、@の前にある「google.com」がユーザー情報として、@の後ろにある「bing.com」がホスト名として認識されるためだ。一方、「https://google.com/[email protected]」のように、@の前にフォワードスラッシュがある場合、ブラウザはそれ以降の「/[email protected]」をPathとして認識するため、「google.com」にアクセスする。

　ローキ氏は上記の仕組みを利用し、KubernetesのGitHubパッケージをダウンロードするリンクのように見せかける悪意のあるURLを以下のように作成した。またv1271.zipドメインを取得し、evil.exeをダウンロードさせるデモも公開した。

Rauch氏によるデモ。メールクライアント上で「@」のフォントサイズを1に変更し、より判別が難しいURLに偽装している

　ローキ氏は、知らない相手から送られてきたURLをクリックする際には、URLにカーソルをあわせてブラウザ下部に表示されるURLのプレビューを確認することを推奨している。

　トレンドマイクロはローキ氏の投稿を引用したアドバイザリーを5月23日に公開し、23日時点で新たなgTLDを使用する攻撃キャンペーンに関する情報は社内および顧客から得られていないとした一方で、次のように注意喚起している。

　「ZIPファイルは、サイバー攻撃チェーンの初期段階の一部で使用されることが多く、通常、ユーザが悪意のあるURLにアクセスしたり、電子メールの添付ファイルを開いたりした後にダウンロードされる（EmotetやQakbotなどのマルウェアで顕著に採用されている）。攻撃者が『.zip』を用いたURLを使用してマルウェアをダウンロードさせようとする可能性がある。またマルウェアの配信以外にも、コマンド＆コントロール（C&C）サーバなど他の手段で利用されるリスクもある。新たなマルウェアや技術に対応したユーザー意識を向上させるためのトレーニングの導入を検討すべきだろう」