一般登録が始まった「.zip」ドメインは取り消されるべきなのか?
2023年5月、Googleのドメインレジストリサービス「Googleレジストリ」が、新たに8つのトップレベルドメイン(TLD)の一般登録受け付けを開始しました。8つの中には、ファイルの拡張子としてよく用いられる「zip」「mov」が含まれているのですが、これは無用な混乱を招くとして、ただちに取り消されるべきだという主張が出ています。
The .zip TLD sucks and it needs to be immediately revoked.
New TLDs: Not Bad, Actually - text/plain
https://textslashplain.com/2023/05/13/new-tlds-not-bad-actually/
プログラマーのカレンさんは、「financialstatement.zip」というドメイン名を取得し、「zip」TLDを取り消すよう主張するサイトを開設しました。
「financialstatement」は決算報告書、財務諸表のことで、もし「financialstatement.zip」という名前のファイルが大事なビジネス相手からのメールに添付されていたら開く人もいるはず。
ネットサービスやウェブアプリでは、URLがあったときに自動的にリンクして、クリックやタップするだけで移動できるようにしてくれる機能を搭載しているケースがありますが、今回のドメインの場合、「financialstatement.zip」というファイルが開くと思ったら「https://financialstatement.zip/」に移動した、ということが発生する可能性があります。
この種の心配をしているのはカレンさんだけではありません。
セキュリティ専門家のSwiftOnSecurity氏は、「フィッシングなどの攻撃に用いられ、不必要な混乱を招くもの」と指摘。
Regarding the .zip domains I complained about - I think it's dumb and unnecessarily creates confusion and will leave to various minor phishing schemes/tricks/address-confusion attacks... but it's just going to get forced into being another TLD. It just feels uniquely unneeded.— SwiftOnSecurity (@SwiftOnSecurity) May 12, 2023
そして、そもそも「zip」というTLD自体が「もともとファイルの拡張子として知られていたものがドメインにできたのでしてみた」という、面白半分で売り出されたようなものなので、これが唯一無二の恐怖ではなかったとしても、管理者精神としていい行動とはいえず心配だと続けました。
The only reason there's a .ZIP TLD is because it's funny to confuse people, it markets off the "this used to just be a file extension and now we changed it because we could." So even if it's not a uniquely horrific, it's just not a good action of stewardship and that's worrying.— SwiftOnSecurity (@SwiftOnSecurity) May 12, 2023
こうした「zip」TLDに懸念を示す意見がある一方で、パケットキャプチャツールのFiddlerやコマンドライン支援ユーティリティ・SlickRunの作者であるエリック・ローレンス氏は、確かに自動リンクで意図しないドメインにアクセスさせることは可能であるものの、攻撃のベクトルとしてそれほど魅力的ではないと言及。
また、有名なファイル拡張子がTLDになることでURLの混乱のもとになるという意見に対しては、「議論に説得力がない」と切り捨てました。これは、そもそも「zip」TLDの導入以前からURLのコンポーネント内に「.zip」を紛れ込ませることはできていて、ホスト名が「.zip」で終わるようになったという事実はなんら興味深いものではないからだとのこと。
このほかに懸念されていることとして、Google Chromeのオムニボックス(検索ボックスとアドレスバーが一体になったもの)のことも挙げられます。オムニボックスは、与えられた文字列がURLなのか検索リクエストなのかを一定のコードで判断しています。その1つは既知のTLDかどうかで、「example.zi」という入力だと検索リクエストと判断します
一方、「example.zip」だと「https://example.zip/」を開こうとしていると解釈されます。
これを避けるには、検索時には先頭に「?」を、URL入力時には先頭に「//」を入力入力し、明示的にモードを切り替える必要があります。ただ、このオムニボックスのあいまいな動作については「zip」ドメイン以前から、実行ファイルの拡張子としても用いられる「.com」、Perlで書かれたプログラムの拡張子であると同時にポーランドの国別コードでもある「.pl」などで発生しているものだとローレンス氏は指摘しています。
「新しいTLDはそれほど悪いものではない」という持論のローレンス氏は、「zip」「mov」を含めた40種類のTLDは、セキュリティ面で優れていると説明。たとえばHSTSプリロードにより、これらのTLDでは「http://」を指定して入力しても自動的に「https://」に変換されます。TLD全体でHTTPSを要求するということは、TLD内のすべてのサイトが証明書を求められるということで、それだけセキュリティが考慮されているといえます。
なお、ローレンス氏は懸念を示す側の意見のうち、1479あるTLDのいずれかの文字列が入っていたときに自動的にリンクする機能そのものは導入されるべきではないと述べました。余談として、自動リンクライブラリの制作者と話をしたところ、ライブラリのほとんどは「example.com」を安全な「https://example.com」ではなく「http://example.com」に変換しているという事実があったことをローレンス氏は示しています。
