インターネットサービス企業のNetcraftは5月17日(米国時間)、「Phishing attacks already using the .zip TLD|Netcraft News」において、2023年5月3日にGoogleが一般の登録を開始した新しいトップレベルドメイン(TLD: top-level domain)のうち、「.zip」が悪用されていることを観測したと報じた。
-
Phishing attacks already using the .zip TLD|Netcraft News
これまでも、ドメイン名がサイバー攻撃に悪用されることはあった。.comは代表的なドメインだが、実行形式を示す拡張子でもある。.plはポーランドを意味するがPerlスクリプトの拡張子でもあり、.shはセントヘレナを意味するがシェルスクリプトの拡張子でもある。
先日Googleが一般登録を開始した.zipも同様だ。この新しいドメインの悪用に関しては複数のサイバーセキュリティ研究者が指摘していたが、Netcraftはその証拠を観測したと伝えた。
Netcraftが記事を公開した時点で登録されている.zipドメインは5,000未満であり、それらのうち5つはフィッシング詐欺で悪用される証拠を発見したと伝えている。悪用の証拠が確認されたドメインは次のとおり。
- report2023[.]zip
- microsoft-office[.]zip
- microsoft-office365[.]zip
- e-mails[.]zip
- login.payment-statement[.]zip
また、まだ確約したわけではないが疑わしいドメインとして、以下も挙げられている。
- microsoft[.]zip
- microsoft-windows-update[.]zip
- microsoftteams[.]zip
- microsoftedgesetup[.]zip
- microsoftinstaller[.]zip
- chromeupdatex64[.]zip
- browser-update[.]zip
- firefoxinstaller[.]zip
- driver-update[.]zip
- updatediscord[.]zip
- urgent-update[.]zip
- zoom-installer[.]zip
- winrar-installer[.]zip
- bankofamericasecurities[.]zip
- pay-statements[.]zip
- paystub[.]zip
- photos[.]zip
- attachment[.]zip
- eicar[.]zip
疑わしいドメインはすでにGoogleに報告が行われており、名前解決はできなくなっていると説明されている。また、同時にGoogleが一般登録を開始した.movは今のところフィッシング詐欺などへの悪用は確認されていないという。
Microsoft TeamsやOneDrive悪用するサイバー攻撃に注意、マルウェアを配布
