■Googleの「.zip」ドメインに懸念の声 ～フィッシングに悪用されかねない問題

5月3日に発表はされていましたが、日本ではImpressやGigazineなどで日本語の記事が書かれるまでほとんど知られておらず、昨日今日からようやくTwitterで話題になり始めています。

「.zip」というドメインをGoogleが発表・発売し始め、今では実際に買うことができます。

「.zip」ドメインによるフィッシング詐欺に注意

「installer.zip」などよく見かけるファイル名だと思いきや、押したらフィッシングサイト。

という事件事故を起こすだろうことが容易に想像できます。というより「.zip」ドメインはフィッシング以外の使い道はないんじゃないかとも考えてしまいます。

ドキュメントの中の文章に「.zip」という文言があると自動的にハイパーリンクに変換してしまう問題も懸念されます。文章中で「archive.zip」の文字列が押せるようになっていたら、ファイルをダウンロードできるのかと勘違いして押してしまうとフィッシングサイトにつながる、ということも起きるでしょう。

ちなみに「archive.zip」は既に取得されています。

もし「archive.zip」がフィッシングサイトだったら被害に遭う人はいるでしょう。

おそらく重要なサイトに「.zip」ドメインが使われることはないでしょうから、可能ならルーターの設定で「.zip」ドメインすべてをブロックした方が安全です。

「.zip」はリンク元の信頼性に頼れない

「.mov」はユーザーの多いスマホからパスワードなどを抜き出す被害が懸念されますが、悪徳リンクを仕込むWebサイト自体の信頼性に気を付けることで回避することもできます。

しかし「.zip」は自分が手元に持っているファイルの中の文字列が勝手にリンクに変わってしまう可能性があり、リンク元の信頼性で安全かどうかを判断することができません。

「.mov」にも要注意

「.zip」以外にも全部で8つのドメインが作られています。
「.zip」だけでなく「.mov」も要注意です。

動画を再生したいとクリックしたらフィッシングサイトということも起こり得ます。

「.zip」はPCでしかアクセスしないでしょうが「.mov」はスマホでも押しがちです。
「.mov」はエンタメニュースと相性が良いのも被害を拡大しそうです。

アニメ「推しの子」の主題歌としても話題のYOASOBI「アイドル」がオリコン史上最速で1億回再生を突破というニュースをブログなどで紹介しつつ

[動画]YOASOBI「アイドル」.mov

とあったら押してしまう人はいるでしょう。
（この例だと「.mov」を付けなくても押してしまうとは思いますが）

「.zip」「.mov」詐欺の対策

被害を防ぐにはまず「.zip」「.mov」というドメインが新規に作られたということを知ることが重要です。

「.com」がドメインであることはさすがに知っているとして、Perlのプログラムソース「.pl」がポーランドの国別コード（「.jp」にあたる部分）と同じだということも、知っていれば被害に遭わずに済む場合もあります。

「.zip」「.mov」というドメインがあり、勝手にリンクに変換される・押したら詐欺サイト。ということがあることを知っておくことがまずは重要です。

そして可能なら「.zip」「.mov」にアクセスできないようにルータやセキュリティソフトなどで制限をすればより安全です。

Googleがなぜ「.zip」「.mov」をドメインにしてしまったのか、詐欺被害に考えが及ばなかったのか、こんなドメインでの売上が欲しかったのか、「Don't be evil」の規範はどこに行った、などなど甚だ疑問ではありますが、まずは周りの人にもこのことを共有つつ被害に遭わないように自己防衛しましょう。