2023年5月25日木曜日

.zip および .mov ドメインに関する危惧...



みなさん、こんにちは。

COVID がかなり収まり、季節も梅雨前の、一年の中で最も気持ちの良い時期になりました。心地よい日が一日でも多くやってくると良いですね。

さて、

ネット犯罪の 60% 以上は「詐欺的なもの」という統計が出ています。「詐欺的な犯罪」はテクニカルなものではなく、むしろ心理的な要素を利用したものですね。
「オレオレ詐欺」の話術が進化し、被害が終息しないことと似ています。

今回は、

【フィッシングやマルウェア攻撃に利用される可能性がある.zipおよび.movドメイン】

について、検討、予測してみたいと思います。

(この記事は、2023年5月18日にJoshua Long(https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたExpect .zip and .mov domains to be used in phishing and malware attacks をベースに作成したものです)



2014年に Google はいくつかの新しい “トップレベル・ドメイン(TLD)” の所有者になりました。TLDとは、ドメイン名で.comや.netのように “dot何とか” になっている最後の部分のことです。

Googleが登録したいくつかのTLDの中に.zipと.movという2つのドメイン名があります。

.zipについては、インターネットからダウンロードしたソフトウェアが.zipアーカイブに入っている場合に使われるファイル名の拡張子と同じなので見たことがあるでしょう。

また.movについても、Apple QuickTimeに対応する形式の動画ファイルで使われるファイル名の拡張子と同じなのでやはり見たことがあるでしょう。

Googleがその時に何を考えていたのかを知る術はありませんが、同社に好意的な想像をするならば、何か社会に役立つ目的があったのでしょう。将来犯罪者がこうしたTLDを買って悪用することを防ぐために、2014年の時点で先んじて登録を行った可能性も考えられます。しかし、今週になってGoogleはこうしたTLDを使った独自ドメインを誰でも登録できるように一般に開放してしまいました。

こうしたドメインが危険であるとする根拠はあるのでしょうか? 

.zipや.movドメインが皆さんをフィシングやマルウェア攻撃の危険に晒す可能性について考えてみます。







.zipあるいは.movファイル名を自動リンクに変換するアプリおよびサイトの存在


こうしたTLDにおける最大の問題は、電子メールの確認に使っているアプリやサイトによっては、あるいはお使いのフォーラム、ソーシャルネットワーク、またはメッセージアプリによっては、ファイル名を入力すると意図せずその単なる文字列を受信者がクリックしたりタップできるリンクに変換してしまう場合があるということです。

Twitterを例に挙げるならば、誰かにダイレクトメッセージ(DM)で別途 invoices.zip というファイルを送ったことを知らせようとすると、Twitterはそのファイル名を自動的にhttp://invoices.zipというリンクに変換してしまいます — この時、事前の確認はありませんしリンクを除去する選択肢も用意されていません。送信者あるいは受信者が使っているのがTwitterアプリでもWebブラウザでも、どちらの場合も同様です。あるいは、家にいる家人にホームシアターのライブラリにあるencanto.movのような名前の動画ファイルを開いて欲しいとDMで伝えた場合も同様にTwitterはファイル名をhttp://encanto.movというリンクに変換してしまいます

次の画像は、TwitterのDMが.zipおよび.movファイル名を自動的にクリック可能なリンクとして表示する例です。これって危険な香りがプンプンしませんか?

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/05/twitter-dm-examples-zip-mov-domains.png

多くの人はこのようなドメインの所有者を判別できませんし、こうしたリンクをクリックあるいはタップした際に何が起きるか予想することもできません。メッセージを受け取った人がコンテンツの内容を確認しようと、疑いもなくリンクをタップすると考えるべきでしょう。








そのURLがリンクするのは.zipファイルなのか、.zipドメインなのか


セキュリティ研究者のRobert Graham氏によると( https://twitter.com/erratarob/status/1658983638455779328 )、Web標準仕様を間違って解釈した結果としてブラウザはusername:password@domain.tld形式が含まれたhttp://およびhttps://リンクを容認しているそうです。Graham氏によれば、この仕様を書いた人たちはWebリンクにユーザ名とパスワードを含むことを想定していませんでした。にも関わらず、ほとんどのブラウザがこの形式のリンクを許可しているのです。

このURL形式の問題と.zipおよび.movドメインと何の関係があるのか、不思議に思われたでしょう。研究者、Bobby Rauch氏によれば( https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5 )、このURL形式と見た目が似た文字を組み合わせて悪用すれば、攻撃者が.zipで終わるURLをGitHubのような著名なサイト上のURLのように見せかけて被害者に開かせることができるそうです。ファイル名の一部であるように表示される“.zip”が、実際にはドメインである可能性があるわけです。ユーザが気づくこともなく、リンクを開くだけで.zipファイルを自動ダウンロードさせるように.zipドメインのサイトが設計されている可能性もあるわけです。

結果として、実はトロイの木馬マルウェアをダウンロードしているのに、GitHubから問題のないファイルをダウンロードしているとユーザに思い込ませることができるのです。

次の画像は、.zipドメインに誘導する偽のダウンロードURLの例です。Credit: Hussein Nasser。

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/05/fake-download-url-leading-to-zip-domain-by-hnasr.png

URL内のusername:password@domain.tld形式がセキュリティ上の危険となり得るのは、これが初めてではありません。iOS 11の頃、QRコードをスキャンするとカメラAppがドメインの解釈を間違い、スキャンプレビューで間違ったドメインを表示するということがありました( https://twitter.com/theJoshMeister/status/985303880819916801?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E985303880819916801%7Ctwgr%5E4ccaa48e060b5dc069bc560edb505633dca6110c%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fwww.intego.com%2Fmac-security-blog%2Fexpect-zip-and-mov-domains-to-be-used-in-phishing-and-malware-attacks%2F )。





これは本当の危険なのか、考えすぎなのか


ここ一週間程の間に登録された.zipドメインの多くはおふざけを目的としていますが、別のセキュリティ研究者が指摘している通りmicrosoft-office.zipは実際にフィッシングサイトでした。

次の画像はMicrosoftを騙るフィッシングサイトである可能性がある、.zipドメインで提供されるサイトの例です。Credit: Germán Fernández。

https://twitter.com/1zrr4h/status/1657807143393689601


そのほとんどが冗談で登録されたと考えられる他のドメイン( https://twitter.com/1zrr4h/status/1657747300339384320 ):


chrome-installer.zip

csgo.zip [Counter-Strikeゲームを想起させる]

gta6.zip [Grand Theft Autoゲームを想起させる]

honeymoonpictures.zip

hunterbidenlaptop.zip

keygen.zip

microsoftwindows.zip

photoshop-cracked.zip

picsofyourwife.zip

setupwizard.zip

statementsofwork.zip

taylorswiftnudes.zip

terminationletter.zip

trumpclassifieddocuments.zip

windowsinstaller.zip



繰り返しますが、上に挙げた特定のドメインおよび似たような他のドメインは、冗談で登録されたものと考えられます。しかし言うまでもなく、今後数週間から数ヶ月の間に.zipあるいは.movドメインを使ったフィッシングサイトやマルウェアをダウンロードさせる実例が登場する可能性はあるでしょう。リンクには注意し、警戒を怠らないに越したことはありません。今後登場する可能性のある危険に備えるために、この記事を知り合いや同僚と共有しておくのも良い考えだと思います。



■お使いのMacは安全ですか?

Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://www.act2.com/intego




文責:

MK
投稿者 時刻:
ラベル: , ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)