Netcraftはこのほど、「.zip TLD: six months on, and still rollin'|Netcraft」において、2023年5月3日にGoogleが一般の登録を開始した新しいトップレベルドメイン(TLD: top-level domain)の「.zip」が悪用されていることを報じてから半年が経過したが、現在も悪用が継続しているとして注意を呼びかけた。これまでにも.zipドメインの危険性や悪用の事例について、小誌では、以下のように伝えている。

  • .zip TLD: six months on、and still rollin'|Netcraft

    .zip TLD: six months on, and still rollin'|Netcraft

Netcraftによると.zipドメインは一般の登録を開始して以来、新規登録率は減少を続けているという。現在の.zipドメインの状況は次のとおり。

  • 登録された.zipドメインは16,705件
  • Aレコードを持つ.zipドメインは8,432件
  • MXレコードを持つ.zipドメインは4,421件で、そのうちAレコードを持たないドメインは619件
  • .zipドメインのIPアドレスは4,196件
  • ドメイン名に「installer」または「update」を含むものは417件
  • .zipドメインの月間新規登録件数の推移 - 提供:Netcraft

    .zipドメインの月間新規登録件数の推移 引用:Netcraft

Netcraftはこれまでに56の.zipドメインを悪意のあるドメインとしてブロックしている。これらドメインのほとんどはMicrosoft、Google、Steamになりすましているが、他にも次のようなサイトが確認されたという。

  • Apecoin[.]zip - 2023年8月9日に存在を確認。暗号資産プラットフォームになりすました詐欺サイト。暗号資産エアドロップ(イベント等により無料で配布される暗号資産)の配布を装い、ユーザーのすべての資産(暗号資産、NFTなど)の窃取を試みる
  • Sledgehammer[.]zip - 2023年7月11日に存在を確認。Discordボットの公式Webサイトに偽装したWebサイト。ブラウザに悪意のあるJavaScriptを実行するブックマークレットを登録させ、ユーザーのDiscordアカウントを乗っ取る
  • Tronox[.]zip - 2023年5月28日に存在を確認。Microsoftのサインイン画面になりすまし、氏名、住所、クレジットカード情報などを窃取する
  • V0464309[.]zip - 2023年5月31日に存在を確認。法律事務所になりすまして訪問者をだまし、Google Chromeの脆弱性を修正するとうたう偽のセキュリティアップデートをインストールさせる。インストールを行うと電子メールの資格情報を窃取するマルウェアがインストールされる。このドメイン名はソフトウェアのバージョン番号に見せかける意図があるとみられる

なお、.zipドメインの潜在的な危険性について意識を高める Web サイトも引き続き見られ、セキュリティ研究者に多少の安心感を与えてくれるが、Netcraftはこれらサイトの技術やアイデアは脅威アクターの戦術と同種のものであり悪用される危険性があると指摘している。

.zipドメインの新規登録件数は減少傾向にあるものの、悪用は継続している。インターネットを活用するユーザは引き続き.zipドメインを悪用した攻撃に注意し、ブラウザやメールクライアントの保護機能の付いたアンチウイルスソフトウェアを導入するなど、必要な対策を講じることが望まれている。