".Zip"トップレベルドメインが情報漏洩の可能性を引き出す

Cisco Talos Blog

blog.talosintelligence.com

".Zip"トップレベルドメインが情報漏洩の可能性を引き出す

By Guilherme Venere Tuesday, June 13, 2023 08:06

レーダー上の脅威

  • Googleが最近提供した“.zip”トップレベルドメインTLD)は、セキュリティ研究者と脅威アクターがそれぞれレッドチーミングとフィッシング攻撃のために多数のドメインを登録するようになり、組織やサイバーセキュリティの専門家に新たな課題をもたらしています。
  • ユーザーのアプリケーションが実際の“.zip”ファイルをURLとして登録するようになった結果、これらのファイル名は意図しないDNSクエリやウェブリクエストを引き起こす可能性があり、ファイル名内の可能性のある機密性または内部企業データを関連するDNSサーバーを監視するアクターに漏洩する可能性があります。
  • 漏洩したファイル名は、高度な敵対者にとって非常に価値があり、内部の会社文書やアーカイブを装ってソーシャルエンジニアリングを行ったり、ターゲットに感染させたりするための囮など、様々な方法でこの情報を利用する可能性があります。

    トップレベルドメインとファイル拡張子

  • Googleが新たに販売を開始した、一般的なファイル拡張子形式でもある新しいTLDにより、脅威アクターが被害者を妨害するための新しいベクトルを開発するリスクが増大しています。2023年5月初旬、Googleは8つの新しいTLDをリリースし、“.zip”ドメインを“速く、効率的で、行動に移せる”というオーナーのメッセージを伝える手段としてマーケティングしています。しかし、この動きは“.zip”ファイル名形式を使用するドメインが正当なファイル名と混同され、またその逆もあるという深刻な懸念を提起しています。これは、ユーザーが潜在的なフィッシング試行を認識する問題を増大させます。 Googleの新しい“.zip” TLDを対象としたドメインページで、新しいドメインを取得するための価格を表示しています。
  • “.zip” TLDの一般的な利用可能性が急速に高まった結果、内部の会社のファイル名に似た幅広いドメインが登録される疑わしく高いボリュームにつながっています。これらのドメインを所有し、管理することは、自動的なDNS解決を通じてファイル名を漏洩させるか、またはこれらのドメイン潜在的なエクスプロイトやマルウェアアーティファクトの発射点として利用することで、攻撃者に利益をもたらす可能性があります。CiscoのUmbrellaテレメトリとオープンソースの研究は、これらのドメインの多くが将来的に悪意のある攻撃に利用される可能性があることを示しています。
  • Googleが2023年5月3日以降に提供したTLDのもとで新たに登録されたドメインの集計データは、“.zip”が大きな差をつけて最も人気のある拡張子であることを示しています: Googleが2023年5月3日以降に提供した新しいTLDごとに登録された新しいドメインの統計を示すDomaintools。

    ファイル名に基づくURLがどのように情報を漏洩するか

  • Talosは、“.zip”やそれに類するTLDを使用するドメインが、意図しないDNSクエリやウェブリクエストを通じて機密情報の公開の可能性を高めると評価しています。新しい“.zip” TLDの利用可能性が広がるにつれて、Telegramのようなメッセージングアプリケーションやインターネットブラウザーは“.zip”で終わる文字列をURLとして読み取り、自動的にハイパーリンク化するようになりました。これは特にチャットアプリケーションでは問題となります。これらのアプリケーションでは、リンクされたページのサムネイルを表示するためにDNSリクエストやウェブリクエストがトリガーされることがあります。例えば、次のチャットアプリケーションでは、ファイルの名前“update[.]exe[.]zip”がURL“https[://]update.exe[.]zip”を指すハイパーリンクに変更されました: ファイル名をURLに変更するチャットアプリケーション。

    情報漏洩のシナリオ

  • この場合、チャットで有効なファイル名を言及するだけで、DNSルックアップを引き起こし、そのドメインDNSサーバーを制御している者に内部のファイル名が漏洩する可能性があります。また、他のケースでは、ユーザーがWindows Explorerで存在しない“.zip”ファイルを検索した場合、アプリケーションがファイルをオンラインで検索し、代わりにドメインに到達する可能性があります。 Windows Explorerが“.zip”ファイルをURLとして開く問題を明らかにする研究者。
  • 情報漏洩のシナリオでは、悪意のあるユーザーが“.zip”ドメインDNSサーバーを制御して、対象としている企業のネットワークによるリクエストをフィルタリングし、内部のファイル名を収集して、実際の攻撃時にレバレッジとして利用する可能性があります。MITREは、ATT&CKフレームワークの一部である偵察戦術に、これらの活動の一部を説明しています。例えば、T1589やT1591では、ターゲットのユーザーや企業自体についての情報を収集する方法を説明しています。

    実際の観察結果

  • Googleが2023年5月初旬にその提供を発表したとき、Talosは“.zip”の使用がURLで発生するテレメトリーデータの監視を開始しました。我々は、“.zip”ドメイン名に対する多数のファイル名のクエリが発生することを観察しました。この情報はすべての種類の情報を含んでいます。例えば、Cisco UmbrellaのDNSデータは、多くのファイル名がフィッシング試行を示している可能性があることを明らかにしています。ドメイン“secure-access-4a907q5xsg5q5354[.]fbmsg[.]xyz[.]zip”や、マルウェアキャンペーンで使用されるファイル名に類似した多くのファイル名(例:“report_[.]pdf[.]zip”)などです。 24時間以内の“.zip”ドメインへのDNSリクエストのデータを提供するCisco Umbrella。

    最終的な警告

  • これは組織とそのセキュリティチームに対する深刻な脅威であり、対応が必要です。Googleの新たなTLDの提供により、他の類似したサービスも引き続き進行しており、新たなリスクを引き起こす可能性があります。例えば、Microsoftは現在、.docと.docxのドメインを提供していますが、これらのドメインには似たようなリスクが関連しています。我々は、組織が自身のインフラストラクチャでこのようなTLDの使用を注意深く監視し、その利用を適切に管理することを強く推奨します。