パスワードを忘れた? アカウント作成
16589841 story
Google

『.zip』ドメインが誰でも取得可能に、アーカイブファイルに誤認させられる恐れ 29

ストーリー by nagazou
悪用禁止 部門より
Googleが保有するトップレベルドメイン「.zip」が、gTLDとして費用さえ払えば誰でも取得可能になっているそうだ(.zip ドメインについて)。このドメインは圧縮ファイルの拡張子であるzipと紛らわしいことから、URLを圧縮ファイルと誤認させてクリックさせる手口に使われることが懸念されていた。すでに文書ファイルなどの拡張子を意味する文字列に「.zip」をつなげたドメイン名が多数取得されている模様(INTERNET Watch)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • zipでくれ (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2023年05月16日 16時06分 (#4460969)

    がそのサイト経由でのファイルのやりとりみたいになるんだな

    • Re:zipでくれ (スコア:3, 興味深い)

      by Anonymous Coward on 2023年05月16日 16時16分 (#4460974)

      https://rclone.zip/ [rclone.zip]

      https://rclone.org/downloads/ [rclone.org]
      にリダイレクトされるみたいに、ダウンロード系のサイトはドメイン取ったほうがいいかもな。

      さっそく「添付ファイル.zip」というドメイン名でYouTubeのリック・アストリーの動画に飛ばされるリックロールやってるのもあった。
      ttps://attachment.zip/

      notavirus.zipっていう怪しいファイルがダウンロードされてるのでこのページは見てはいけない。
      ttps://revenge.day/

      親コメント
    • by Anonymous Coward
      ギガファイル.zipみたいなのは出てくる気がする
    • by Anonymous Coward

      日本テレビに送ると朝のニュースワイド番組で放送してくれるんじゃないのか

      • by Anonymous Coward
        関テレだと、 指定された郵便番号(ZIPコード)の地域を捜索してくれる
    • by Anonymous Coward

      えっ、ZIPディスクでやりとりするんじゃないんですか!?
      もうドライブ持ってないよ・・・

      • by Anonymous Coward

        Jazディスクでもいいぞ

        #さらに絶望的

  • by Anonymous Coward on 2023年05月16日 17時24分 (#4461009)

    まず、一般人の多くは、URLの文字列を意識していない(TLDの意味も分かっていない)し、拡張子を理解していないので、zipというTLDによるセキュリティ被害は生じません(Windowsはデフォルトでzipの拡張子を表示しません)。

    そして、URLの文字列を意識してセキュリティ上の判断に使用しており、かつ拡張子も同様にセキュリティ上の判断に使用しているような逸般人は、TLDと拡張子を混同することはありません。

    というか、テキストメールだと https://example.zip/ [example.zip] のように http や https などのスキーム名が表示されるのでweb上にあるデータだということは分かるし、仮に example.zip というファイル名(zipが拡張子)だと誤認したとしても、そもそもインターネット上のファイルの扱いは拡張子ではなくhttpヘッダーのMIMEタイプで決まるので拡張子でセキュリティリスクを判断すること自体がおかしいです。
    HTMLメールならばそもそもリンク文字列とリンク先が異なる設定ができるので追加のセキュリティリスクは生じません。

    • by Anonymous Coward

      インターネット上にあるzipファイルをダウンロードしようとしている時点でセキュリティリスクは変わらんよねえ。

    • by Anonymous Coward

      一般登録が始まった「.zip」ドメインは取り消されるべきなのか?
      https://gigazine.net/news/20230515-zip-tld/ [gigazine.net]

    • by Anonymous Coward
      そういうオレは大丈夫だと慢心してる奴に限って引っかかるのは歴史が証明してる。
    • by Anonymous Coward

      まぁ、.zipをまとめてブロックするのはやりやすいし、そこに悪意のある人が集まってくれたら逆にセキュリティは向上しそうだ。

      # .cn はDNSレベルでブロックしてます。

    • by Anonymous Coward

      チャットツールで「ファイルはsecret[.]zipをDLして展開して下さい」
      でsecret[.]zipがリンクになっていた時、
      ・メッセージの投稿者が社内ネットワークに該当のファイルを設置してそのリンクを親切に設定した
      ・メッセージの投稿者は該当ファイルは既に所持していると思っていて名前を書けば意図が伝わると思ってリンクを設定してないが、チャットツールがおせっかいでevilなドメインにリンクを貼ってしまった
      のかの判断なんて瞬時に不可能だろ。

      フォーカス当ててブラウザのツールチップ見ても、今どきのSPAアプリだとクソ長くて省略される事もザラだし
      専用のWUPアプリだとリンクを右クリックからコピーして確認する必要があるし。

      • http:// (自動リンク回避のため全角にしました) や https:// を書かずに、
        example.zip と書いただけで勝手に http:// や https:// が補完された形でのリンクになるチャットツールってあります?

        ひょっとすると .com ならあるかもしれないけど、
        example.reit とか example.pub とか example.coop のようなマイナーTLDでリンクになるチャットツールなんて見たことがないですが。
        (上記の3つのTLDは実在するTLDです)

        • by Anonymous Coward

          現状有るかどうかは知らないけど、今後作るなら気を付けようね、というポイントが増えちゃったという話ではあるわな。
          自動でリンクするやつを実装しようぜ、面倒くさいから最後が.とTLDになってる文字列は全部変換だ、という安直な実装はダメ、と。
          既存のライブラリを使う場合でも、そのライブラリの仕様をちゃんと注意しようね、と。

          何がどう繋がるとTLDと拡張子の混乱が起こるのかさっぱり理解出来てなかったけど、そういうコンボなんだ! という気付きは得られた。

    • by Anonymous Coward

      拡張子をデフォルトは表示しないけど、zipが有名なので、
      hogehoge.zip.lnk みたいなショートカットが横行したり、httpsを勝手に埋めちゃうブラウザとかアシスタントとかが勝手にアクセスしたり。

      拡張子表示してもショートカットは拡張子が出ないし。

      アクセスしてzipファイルがダウンロードされるならそこで一旦止まるけど、
      アクセスするだけで感染する様なサイトを開ける可能性がグッと上がる。
      MIMEタイプできまる〜の前にアクセスさえしてくれればいいというケースなら、そんな単語が出てきた時点でだめでしょうよ。
      zipファイルをダウンロードさせたいだけとは限らないわけで。
      クラウドなのでブラウザに貼り付けて!ってメールきたら貼り付ける人割といそうに思う。

      過剰に心配するのも問題だけど、過剰に「問題ありません」って言うのも問題じゃないかね。
      悪い奴らは裏をかこうとあの手この手でくるのだし、PCについてわかってない人のなかにも怖いもの知らずにクリックしまくる人もいるでしょうし。

    • by Anonymous Coward

      自分の想像力の上を行く手口があるかもしれないのに「全く問題が無い」と言い切る自信はどこから。

      h+tps://wwww.boo.comVupdate.zip をクリックし、update.zipをダウンロードしてクリックして解凍してください。
      と説明して virus.exe をダウンロードさせてたら?

      ま、www.boo.info/Asoftware.com とかしてAsoftware.comを実行させるみたいなのと同じなので、.zipが現れてもバリエーションが増えるだけに過ぎないけど。

      システムの問題じゃなくて人間を騙す手口に使われる可能性がある限り「全く問題ない」というわけでもない。

  • by asano_nagi (37547) on 2023年05月16日 17時36分 (#4461011) ホームページ
    ms-dos の実行ファイルの拡張子に、.com が存在していた頃、世の中は、「ドットコム」がはやっていて、「何ちゃら.comと入力してごらん」といって、トラブルケースがあったような気がする。
    --
    ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
    • by Anonymous Coward

      コマンドプロンプトに (*´Д`)ハァハァ を入力するのを思い出した

    • by Anonymous Coward
      http://command.com/ ってまだあるのかなと思ったらドメインパーキングになってた……
  • by Anonymous Coward on 2023年05月16日 16時14分 (#4460972)

    紛らわしいならそもそも何で作った。

    • by Anonymous Coward

      そりゃーgoogleだから。
      広告的効果があると見込んでのことだろう。
      素人の目くらましにはちょうどいい。

    • by Anonymous Coward

      リストラでしょうな。返すわけにはいかないから、せめて小銭を稼ぐことにした。ということでは。

      • by Anonymous Coward

        TLD一個運用するだけでも年数億円かかるのに辞めちゃえば。
        こんな予算あるのに、gmai.com [srad.jp]をまだ買取できてないのかよ。

        • by Anonymous Coward

          ドメインを認可する方はどうせルートドメインの設定ファイルに1行追加するだけで何億円だからボロい商売だよな
          実際のインフラ維持を自分達でする訳でもないし

          • by Anonymous Coward

            DNSのルートサーバーの1つL.ROOT-SERVERS.NETはICANN自身が運用しているのだから、自身で物理的なインフラも多少は担っているとは言えるだろう。ボロい商売だというところは同意するけど。

  • by Anonymous Coward on 2023年05月16日 22時38分 (#4461212)

    URLにある.zipが拡張子なのかドメイン名なのかは、Chromeの方でよろしく処理するんじゃないですかね?
    世の中のブラウザシェアではもはや圧倒的なので、事実上それほど問題は起きない気がします。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...