インターネットサービス企業のNetcraftは5月17日(米国時間)、「Phishing attacks already using the .zip TLD|Netcraft News」において、2023年5月3日にGoogleが一般の登録を開始した新しいトップレベルドメイン(TLD: top-level domain)のうち、「.zip」が悪用されていることを観測したと報じた。

Phishing attacks already using the .zip TLD|Netcraft News

これまでも、ドメイン名がサイバー攻撃に悪用されることはあった。.comは代表的なドメインだが、実行形式を示す拡張子でもある。.plはポーランドを意味するがPerlスクリプトの拡張子でもあり、.shはセントヘレナを意味するがシェルスクリプトの拡張子でもある。

先日Googleが一般登録を開始した.zipも同様だ。この新しいドメインの悪用に関しては複数のサイバーセキュリティ研究者が指摘していたが、Netcraftはその証拠を観測したと伝えた。

Netcraftが記事を公開した時点で登録されている.zipドメインは5,000未満であり、それらのうち5つはフィッシング詐欺で悪用される証拠を発見したと伝えている。悪用の証拠が確認されたドメインは次のとおり。

report2023[.]zip

microsoft-office[.]zip

microsoft-office365[.]zip

e-mails[.]zip

login.payment-statement[.]zip

また、まだ確約したわけではないが疑わしいドメインとして、以下も挙げられている。

microsoft[.]zip

microsoft-windows-update[.]zip

microsoftteams[.]zip

microsoftedgesetup[.]zip

microsoftinstaller[.]zip

chromeupdatex64[.]zip

browser-update[.]zip

firefoxinstaller[.]zip

driver-update[.]zip

updatediscord[.]zip

urgent-update[.]zip

zoom-installer[.]zip

winrar-installer[.]zip

bankofamericasecurities[.]zip

pay-statements[.]zip

paystub[.]zip

photos[.]zip

attachment[.]zip

eicar[.]zip

疑わしいドメインはすでにGoogleに報告が行われており、名前解決はできなくなっていると説明されている。また、同時にGoogleが一般登録を開始した.movは今のところフィッシング詐欺などへの悪用は確認されていないという。