『.zip』ドメインが誰でも取得可能に、アーカイブファイルに誤認させられる恐れ 29
ストーリー by nagazou
悪用禁止 部門より
悪用禁止 部門より
Googleが保有するトップレベルドメイン「.zip」が、gTLDとして費用さえ払えば誰でも取得可能になっているそうだ(.zip ドメインについて)。このドメインは圧縮ファイルの拡張子であるzipと紛らわしいことから、URLを圧縮ファイルと誤認させてクリックさせる手口に使われることが懸念されていた。すでに文書ファイルなどの拡張子を意味する文字列に「.zip」をつなげたドメイン名が多数取得されている模様(INTERNET Watch)。
zipでくれ (スコア:2, おもしろおかしい)
がそのサイト経由でのファイルのやりとりみたいになるんだな
Re:zipでくれ (スコア:3, 興味深い)
https://rclone.zip/ [rclone.zip]
が
https://rclone.org/downloads/ [rclone.org]
にリダイレクトされるみたいに、ダウンロード系のサイトはドメイン取ったほうがいいかもな。
さっそく「添付ファイル.zip」というドメイン名でYouTubeのリック・アストリーの動画に飛ばされるリックロールやってるのもあった。
ttps://attachment.zip/
notavirus.zipっていう怪しいファイルがダウンロードされてるのでこのページは見てはいけない。
ttps://revenge.day/
Re: (スコア:0)
Re: (スコア:0)
日本テレビに送ると朝のニュースワイド番組で放送してくれるんじゃないのか
Re: (スコア:0)
Re: (スコア:0)
えっ、ZIPディスクでやりとりするんじゃないんですか!?
もうドライブ持ってないよ・・・
Re: (スコア:0)
Jazディスクでもいいぞ
#さらに絶望的
Re: (スコア:0)
セキュリティ上全く問題がない (スコア:2, 興味深い)
まず、一般人の多くは、URLの文字列を意識していない(TLDの意味も分かっていない)し、拡張子を理解していないので、zipというTLDによるセキュリティ被害は生じません(Windowsはデフォルトでzipの拡張子を表示しません)。
そして、URLの文字列を意識してセキュリティ上の判断に使用しており、かつ拡張子も同様にセキュリティ上の判断に使用しているような逸般人は、TLDと拡張子を混同することはありません。
というか、テキストメールだと https://example.zip/ [example.zip] のように http や https などのスキーム名が表示されるのでweb上にあるデータだということは分かるし、仮に example.zip というファイル名(zipが拡張子)だと誤認したとしても、そもそもインターネット上のファイルの扱いは拡張子ではなくhttpヘッダーのMIMEタイプで決まるので拡張子でセキュリティリスクを判断すること自体がおかしいです。
HTMLメールならばそもそもリンク文字列とリンク先が異なる設定ができるので追加のセキュリティリスクは生じません。
Re: (スコア:0)
インターネット上にあるzipファイルをダウンロードしようとしている時点でセキュリティリスクは変わらんよねえ。
Re: (スコア:0)
一般登録が始まった「.zip」ドメインは取り消されるべきなのか?
https://gigazine.net/news/20230515-zip-tld/ [gigazine.net]
Re: (スコア:0)
Re: (スコア:0)
まぁ、.zipをまとめてブロックするのはやりやすいし、そこに悪意のある人が集まってくれたら逆にセキュリティは向上しそうだ。
# .cn はDNSレベルでブロックしてます。
Re: (スコア:0)
チャットツールで「ファイルはsecret[.]zipをDLして展開して下さい」
でsecret[.]zipがリンクになっていた時、
・メッセージの投稿者が社内ネットワークに該当のファイルを設置してそのリンクを親切に設定した
・メッセージの投稿者は該当ファイルは既に所持していると思っていて名前を書けば意図が伝わると思ってリンクを設定してないが、チャットツールがおせっかいでevilなドメインにリンクを貼ってしまった
のかの判断なんて瞬時に不可能だろ。
フォーカス当ててブラウザのツールチップ見ても、今どきのSPAアプリだとクソ長くて省略される事もザラだし
専用のWUPアプリだとリンクを右クリックからコピーして確認する必要があるし。
そんなチャットツール有る? (スコア:0)
http:// (自動リンク回避のため全角にしました) や https:// を書かずに、
example.zip と書いただけで勝手に http:// や https:// が補完された形でのリンクになるチャットツールってあります?
ひょっとすると .com ならあるかもしれないけど、
example.reit とか example.pub とか example.coop のようなマイナーTLDでリンクになるチャットツールなんて見たことがないですが。
(上記の3つのTLDは実在するTLDです)
Re: (スコア:0)
現状有るかどうかは知らないけど、今後作るなら気を付けようね、というポイントが増えちゃったという話ではあるわな。
自動でリンクするやつを実装しようぜ、面倒くさいから最後が.とTLDになってる文字列は全部変換だ、という安直な実装はダメ、と。
既存のライブラリを使う場合でも、そのライブラリの仕様をちゃんと注意しようね、と。
何がどう繋がるとTLDと拡張子の混乱が起こるのかさっぱり理解出来てなかったけど、そういうコンボなんだ! という気付きは得られた。
Re: (スコア:0)
拡張子をデフォルトは表示しないけど、zipが有名なので、
hogehoge.zip.lnk みたいなショートカットが横行したり、httpsを勝手に埋めちゃうブラウザとかアシスタントとかが勝手にアクセスしたり。
拡張子表示してもショートカットは拡張子が出ないし。
アクセスしてzipファイルがダウンロードされるならそこで一旦止まるけど、
アクセスするだけで感染する様なサイトを開ける可能性がグッと上がる。
MIMEタイプできまる〜の前にアクセスさえしてくれればいいというケースなら、そんな単語が出てきた時点でだめでしょうよ。
zipファイルをダウンロードさせたいだけとは限らないわけで。
クラウドなのでブラウザに貼り付けて!ってメールきたら貼り付ける人割といそうに思う。
過剰に心配するのも問題だけど、過剰に「問題ありません」って言うのも問題じゃないかね。
悪い奴らは裏をかこうとあの手この手でくるのだし、PCについてわかってない人のなかにも怖いもの知らずにクリックしまくる人もいるでしょうし。
Re: (スコア:0)
自分の想像力の上を行く手口があるかもしれないのに「全く問題が無い」と言い切る自信はどこから。
h+tps://wwww.boo.comVupdate.zip をクリックし、update.zipをダウンロードしてクリックして解凍してください。
と説明して virus.exe をダウンロードさせてたら?
ま、www.boo.info/Asoftware.com とかしてAsoftware.comを実行させるみたいなのと同じなので、.zipが現れてもバリエーションが増えるだけに過ぎないけど。
システムの問題じゃなくて人間を騙す手口に使われる可能性がある限り「全く問題ない」というわけでもない。
httpの仕様を知らないのなら黙っていたら? (スコア:0)
元コメには「そもそもインターネット上のファイルの扱いは拡張子ではなくhttpヘッダーのMIMEタイプで決まるので拡張子でセキュリティリスクを判断すること自体がおかしい」とあるでしょ。
https://www.example.com/hoge.html [example.com] にアクセスした際にリダイレクト無しで exe や zip をダウンロードさせることが可能なの。
https://www.example.com/hoge.zip [example.com] が zipだと思ったらexeファイルからもしれないし、逆も有り得る。
ダウ
その大昔 (スコア:2)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
コマンドプロンプトに (*´Д`)ハァハァ を入力するのを思い出した
Re: (スコア:0)
じゃあ何で作ったんだよ (スコア:0)
紛らわしいならそもそも何で作った。
Re: (スコア:0)
そりゃーgoogleだから。
広告的効果があると見込んでのことだろう。
素人の目くらましにはちょうどいい。
Re: (スコア:0)
リストラでしょうな。返すわけにはいかないから、せめて小銭を稼ぐことにした。ということでは。
Re: (スコア:0)
TLD一個運用するだけでも年数億円かかるのに辞めちゃえば。
こんな予算あるのに、gmai.com [srad.jp]をまだ買取できてないのかよ。
Re: (スコア:0)
ドメインを認可する方はどうせルートドメインの設定ファイルに1行追加するだけで何億円だからボロい商売だよな
実際のインフラ維持を自分達でする訳でもないし
Re: (スコア:0)
DNSのルートサーバーの1つL.ROOT-SERVERS.NETはICANN自身が運用しているのだから、自身で物理的なインフラも多少は担っているとは言えるだろう。ボロい商売だというところは同意するけど。
取ったのがGoogleなので (スコア:0)
URLにある.zipが拡張子なのかドメイン名なのかは、Chromeの方でよろしく処理するんじゃないですかね?
世の中のブラウザシェアではもはや圧倒的なので、事実上それほど問題は起きない気がします。