GoogleによってgTLDに.zipや.movなどが追加されたことで何が懸念されているか

gTLD

Googleによって、いくつかのgTLD(Generic Top Level Domain)が追加された

2023年5月3日、Google Registryは、新しい複数のgTLDが登録されたことを紹介しました。

具体的には以下の8つのgTLDが追加されました。

  • .dad
  • .phd
  • .prof
  • .esq
  • .foo
  • .zip
  • .mov
  • .nexus

これらのgTLDを含むドメインは既に提供が開始されており、5月10日からは一般での取得が可能になっています。

Googleのブログでは、「.dad」は父に関すること、「.esq」「.prof」「.phd」は自身のポートレートに、「.foo」「.zip」「.mov」「.nexus」はコードの学習やツールのデプロイ、ポートフォリオの構築におすすめだと紹介しています。

しかしながら、これについて問題があるという話題が出ているようです。

まずgTLDとは何か

gTLDとは、ドメイン名のトップレベルドメイン(TLD)のうち、汎用的に使われるものを指します。例えば、.com、.org、.netなどが挙げられます。

gTLDは、ICANN(Internet Corporation for Assigned Names and Numbers)によって管理されています。ICANNは、インターネットに関する様々な規則や手続きを管理する非営利団体であり、gTLDの追加や管理において重要な役割を担っています。

ICANNによって管理され、申請されたTLDを審査し、承認を行っていますが、gTLDの追加は定期的に行われており、増え続けています。(今では1500個以上のTLDが存在するそうです)

TLDは特定の業界や分野向けに狭く提供され、厳格な審査が行われたり、企業名やブランドなどの権利者のみに提供される場合があります。承認された後の利用範囲も異なります。

しかし、今回の8つのgTLDは全て、一般向けに広く提供され、実際に誰でも取得・利用することが可能です。つまり、今後誰でも「example.dad」や「example.zip」などのドメイン名を取得・利用できるようになります。

何が問題視されているか

この中で、.zipや.movなどはファイル拡張子と同じです。

.zipや.movは余程PCに疎い人でなければ、一度は見かけた事があるでしょう。 今回、このファイル拡張子との一致による、危険性や懸念が指摘されています。

file.zipは取得されている

xlsx.zipも取得されている

gpt.zipまでもが取得されている

現在、「xlsx.zip」や「file.zip」、「gpt.zip」などのドメインがすでに登録されています。これにより、ファイルへのリンクだと思ってクリックした場合、悪意のある危険なサイトに誘導される可能性があります。また、開発者やユーザーにとっても混乱を招く恐れがあります。

技術者であれば、ドメイン名とファイル名を区別することは難しくないかもしれませんが、一般の方にとっては見分けることが困難です。例えば、メールのリンクで「example.zip」というファイルを添付してやり取りしているとして、その中に「詳細は添付の「example.zip」をご確認ください」という文章を記載して案内をするような運用は珍しくありません。

また、example.zipへのリンクだと思ったら自動生成されたexample.zipサイトへのリンクである、といったことも考えられます。このような場合、ユーザーが技術者でない場合、example.zipというリンクを誤って辿る可能性が高く、また、このありがちなファイル名をコピーしていることを忘れてブラウザのアドレスバーに入力してしまうと、前述のサイトにアクセスしてしまう危険性があります。

ファイル.zipのような国際文字・日本語ドメインは取得できない

ちなみに、日本語ドメインには対応していないようです。(ファイル.zip)

対策はあるのか?

ここまでの懸念点は、一種のソーシャルエンジニアリング攻撃に繋がると言えます。ソーシャルエンジニアリング攻撃とは、人々の信頼を利用して、機密情報を盗み出すために行われる攻撃のことです。攻撃者は、偽のドメイン名を作成するだけで、他者同士の信頼を利用して、不正なサイトへ誘導する事が出来るわけです。

普段やり取りするファイル名に一貫性を持たせず、ランダムな性質を持たせたり、ドメインに含められない、特殊文字・全角文字を含めたりすることで自動リンクや悪質なサイトへのアクセスは止められるかもしれませんが、その場しのぎの対策であり、無理があるかもしれません。

最も大切なのは、その可能性を認識して、リンクが正しいものであるか、意図したものであるかを毎回確認することです。

また、企業レベルであれば、ユーザーのセキュリティリテラシーが高くないことを前提に、リンクをクリックしてしまうことは避けられないとして、セキュリティアプライアンスや統合サンドボックスアプライアンスの導入が必要になるでしょう。

まとめ

Googleによって追加された8つのgTLDには、.zipや.movなどのファイル拡張子と同じ名前が含まれていて、悪意のあるサイトへ誘導される可能性があり、開発者やユーザーに混乱を招く可能性があるので危険だよ、というのが今回の話でした。

勉強になりますね。(gTLDの一覧ってどこかで見れないんですかね。)

追記(2023年5月15日)

あった

(15 September 2014    ZIPとあるように登録されたの自体は2014年だった。広範に取得できるようになったのが先日なのか。)

参考にしたサイトや記事