- 最近 Google 社がトップレベルドメイン(TLD)「.zip」の提供を開始したところ、膨大な数の「.zip」ドメインが登録されました。セキュリティ研究者はレッドチーム演習のため、攻撃者と思われる人物はフィッシング攻撃に利用するために登録していると考えられます。このドメインは、組織とサイバーセキュリティ専門家に新たな課題を突きつけています。
- ユーザーアプリケーションが本物の「.zip」ファイルを URL として登録する例が増えてきており、意図せず DNS クエリや Web リクエストが送信される可能性があります。そうなった場合、ファイル名に含まれている機密情報や社内データが、関連する DNS サーバーを監視している攻撃者に漏洩する恐れがあります。
- 漏洩したファイル名は、高度な技術を持つ攻撃者にとって極めて有用な情報になり得ます。企業の内部文書やアーカイブを装ったおとりのファイルを作成してソーシャルエンジニアリングや標的とするマシンへの感染を実行するなど、さまざまな形での利用が考えられます。
トップレベルドメインとファイル拡張子
一般的なファイル拡張子形式にも使われている新しい TLD「.zip」の販売を Google 社が発表して以来、「.zip」ドメインの展開に伴うリスクが高まっています。このドメインを利用した新たな攻撃ベクトルが開発され、被害者が発生する恐れがあるのです。2023 年 5 月初旬、Google 社は 8 つの TLD を新たにリリースしました。その中の 1 つ「.zip」については、「高速、効率的、即対応」をアピールできるドメインだと謳われています。ですが、このドメインには重大な懸念があります。ファイル拡張子と同じ「.zip」をドメインに使うと、正規のファイル名と混同される可能性があります。また、それとは逆にユーザーがフィッシングの可能性を認識するのが難しくなる恐れもあるのです。
Google Domains ページ、新しい TLD「.zip」のドメイン取得にかかる料金を掲載
TLD「.zip」の提供が開始されると、ごく短期間のうちに、さまざまな社内のファイルの名前に類似したドメインが不審なほど大量に登録されました。こうしたドメインを所有、管理しておけば、DNS の自動解決によりファイル名を漏洩させることが可能です。また、潜在的なエクスプロイトやマルウェアアーティファクトの起動ポイントとしてドメインを使用することもできるため、攻撃者にとってメリットは大きいはずです。Cisco Umbrella テレメトリとオープンソースリサーチの結果も、これらのドメインの多くが将来的に攻撃に使用される可能性があることを示唆しています。
Google 社が提供する TLD で登録された新規ドメイン数の集計データ(2023 年 5 月 3 日以降)によると、「.zip」は他のドメインに大差をつけて一番人気となっています。
Domaintools 社の統計データ、Google 社が新たに提供を開始した各 TLD の新規ドメイン登録数(2023 年 5 月 3 日以降)、「.zip」が突出して多い
「.zip」の人気が突出しているのは、「.zip」がフィッシング攻撃やマルウェアの配布でよく使われるファイル形式であるためではないかと考えられます。最近登録された「.zip」TLD のドメインのうち、フィッシング攻撃でよく使われるドメイン名を持つものが、セキュリティ研究者によりすでに複数指摘されています。
セキュリティ研究者または攻撃者が登録したと思われるドメインのリスト、フィッシングドメインとして攻撃者に使用される可能性がある
フィッシングに利用される可能性のあるドメインの例をセキュリティリサーチ グループの VX-Underground が指摘
ファイル名に基づく URL によって情報漏洩が起きる仕組み
「.zip」や類似した TLD のドメインを使うと、意図しない DNS クエリや Web リクエストによって機密情報が漏出する可能性が高くなると Talos は考えています。「.zip」TLD が新たに利用できるようになると、Telegram などのメッセージング アプリケーションやインターネットブラウザが、「.zip」で終わる文字列を URL として読み取り、自動的にハイパーリンクを作成するようになりました。特に問題となるのが、チャットアプリケーションです。この種のアプリケーションは、DNS リクエストや Web リクエストを送信してリンク先のページのサムネイルを表示させることがあります。たとえば以下のチャットアプリケーションでは、「update[.]exe[.]zip」というファイル名が「https[://]update.exe[.]zip」という URL へのハイパーリンクに変換されています。
ファイル名を URL に変換するチャットアプリケーション
この場合、有効なファイル名をチャットに入力しただけで DNS 探索が起動し、ドメインの DNS サーバーを管理している人物に社内のファイルの名前が漏れる可能性があります。また、Windows Explorer で存在しない「.zip」ファイルを検索した場合、アプリケーションがその名前のファイルをオンライン検索し、ファイルではなくドメインにアクセスしてしまうという危険性もあります。
「.zip」ファイルを URL として開いてしまう Windows Explorer の問題を研究者が公開
情報漏洩のシナリオとしては、「.zip」ドメインの DNS サーバーを管理する悪意のあるユーザーが、標的とする企業のネットワークから送信されたリクエストをフィルタして社内のファイルの名前を収集し、実際の攻撃に利用するということも考えられます。MITRE も、ATT&CK フレームワークの「偵察戦術」でこうした活動の一部を挙げています。標的のユーザーや企業の情報を収集する手法について言及している T1589 や T1591 などです。
実際に確認されている状況
2023 年 5 月初旬に Google 社が「.zip」の提供を発表したため、Talos はテレメトリデータをモニタリングして URL での「.zip」の使用状況の把握を開始しました。その結果、あらゆる情報を含む多様な「.zip」ドメイン名に対して、さまざまなファイル名が大量に照会されていることが確認されました。たとえば Cisco Umbrella の DNS データでは、フィッシングを試みている可能性のあるファイル名が多数確認されています。「secure-access-4a907q5xsg5q5354[.]fbmsg[.]xyz[.]zip」などです。また、マルウェア攻撃で使用されるものに似たファイル名(「report_<random_numbers>[.]pdf[.]zip」など)も数多く確認されています。
24 時間内に発生した「.zip」ドメインに対するクエリを示す Cisco Umbrella の DNS データの一部
DNS クエリのデータを見ると、プロジェクト名、個人識別情報(PII)、地域、注文や契約の名称と番号など、内部情報や機密情報が含まれている可能性のある実際のファイル名の解決が行われていることがわかります。そうした情報は、今後の攻撃で被害者をおびき寄せるための罠として効果的に利用できます。
ファイル名 | 漏洩する可能性のある情報 |
Expressvpn_windows_12.49.0.4_release.***.zip | 企業ネットワーク内で旧バージョンのアプリケーションが使用されていること |
Hsbc_tradinghub_equity_orders_20230511.***.zip | 取引関係の可能性 |
Sx_corporateaction_id000xxxxxxx_0.***.zip | 従業員/ユーザー ID |
Djsb_labour_market_data_-_employment_data_summary_sa4_2018.***.zip | 企業情報 |
fitbitcofceva_000xxxxxxx_20230303_xxxxxxxxxx.***.zip | 個人のユーザー ID 情報 |
DNS クエリデータで見つかったファイル名の例(個人を特定できる情報である可能性があるため、一部を伏字化)
考えられる対処方法
現在、多くのサイバーセキュリティ専門家が、「.zip」ドメインをファイアウォールで完全にブロックすることを推奨しています。ただ、今はまだ「.zip」TLD の使用が広まっていないのでこれでよいとしても、今後も通用するとは限りません。「.zip」ドメインを採用する企業が増えれば、TLD を丸ごとブロックするわけにはいかなくなります。いずれにせよセキュリティ担当者は、「.zip」ドメインを使った情報漏洩やフィッシングの危険性を認識し、現在利用しているツールをそうしたイベントを監視できるように調整しておく必要があります。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからお申し込みください。Cisco Umbrella をご利用のお客様は、接続先リストでワイルドカードを使用して「.zip」TLD をブロックし、ユーザーのニーズに応じてケースごとに特定のドメインのブロックを解除することができます。詳しくは、Umbrella のドキュメントをご参照ください。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
この脅威を検出する Snort SID は、61861 ~ 61864 です。
本稿は 2023 年 06 月 13 日に Talos Group のブログに投稿された「“.Zip” top-level domains draw potential for information leaks」の抄訳です。