連載
» 2009年02月09日 10時00分 公開

いつものアイコンを“オリジナル”にして先手を打てセキュリティTips for Today(2)(2/3 ページ)

[飯田朝洋,@IT]

あなたはそれを「不審」と判断できますか

 不正プログラムの脅威が年々クローズアップされている昨今においては、社員に対するセキュリティ教育の需要も高まっており、不審なファイルはむやみにクリックしないという教育が浸透してきていると感じています。

 しかし一方で、ユーザーのクリックによるウイルス感染被害がゼロにならず、企業のセキュリティ管理者を悩ませている事実もあります。この1つの要因として、ユーザーが不正プログラムを“不審なファイル”だと気付かないことが挙げられます。

 誰が見ても不審なファイルと見分けられれば、セキュリティ教育を受けたほとんどのユーザーであればクリックしないでしょう。しかし、ウイルス作者もそれを黙って見ているわけではなく、不審なファイルと悟られないようにすべくアイコンを偽装する手法を取った不正プログラムが世に出回っています。

 ここで例として、不正プログラムのアイコンがWindows標準のアイコンと同一のもので偽装されていたらどうでしょう。恐らくクリックしてしまうユーザーが数人はいるのではないでしょうか。

 セキュリティ関連に従事している人であれば、ファイルをクリックする前に拡張子とアイコンの関連性を確認し、アイコンが偽装されていることを見破れるでしょう。しかし、ウイルス感染の被害に遭うユーザーは、得てして不正プログラムに関する知識が不足している人、また、コンピュータに詳しくない人が多い傾向があります。コンピュータに詳しくない人にファイルの拡張子とアイコンの関連性を確認したうえでファイルを実行しようといってもなかなかできないものです。

 今回は、フォルダのアイコンに偽装した不正プログラムを紹介したいと思います。

図3 なんの問題も見受けられないフォルダだが…… 図3 なんの問題も見受けられないフォルダだが……

 まずは図3を見てください。ここでは便宜上、フォルダオプションの設定で拡張子を表示していません。また、不正プログラムのファイル名を「WORM_VB.HYB.exe」(ただし、拡張子は非表示)として、本当のフォルダと並べて表示しています。この「WORM_VB.HYB.exe」は実際のウイルスの不正プログラムであり、トレンドマイクロでは「WORM_VB.HYB」として検出いたします。

 ここでは不正プログラムのファイル名をウイルス名と同じにしていますが、企業のファイルサーバの共有フォルダ内に、業務に関連しそうな名称でこの不正プログラムが存在していた場合に、皆さんは不正プログラムとして見分けることができるでしょうか。

図4 詳細表示では、フォルダに見えたものがアプリケーションであると表示された 図4 詳細表示では、フォルダに見えたものがアプリケーションであると表示された

 図4では、フォルダオプションの設定で拡張子を表示するように変更し、表示モードも変更してみました。このように表示形式を変更するだけでも、不正プログラムとして見分けることができるユーザーも増えてくるのではないでしょうか。

 フォルダと比較すると、拡張子が「.exe」になっていたり、ファイルの種類が「アプリケーション」となっていたりと違いを確認することができます。コンピュータに詳しい人ならこの状態に違和感を覚え、不審なファイルとして認識できます。

 しかし、実際の被害に遭っているユーザーは、コンピュータに詳しくないユーザーが多いのです。Windowsをアイコンなどによって視覚的に直感による操作をしているユーザーにはこれでもまだ不審なファイルとして認識することは難しいでしょう。

逆転の発想、偽装される前に“偽装”せよ?

 このような不正プログラムのアイコンをフォルダに偽装した手口に、どのように対処すればよいのか、Tipsをご紹介したいと思います。

 実はこの対処方法の発想はいたって単純なものです。アイコンを偽装する行為では、ウイルス作者が事前に不正プログラムで利用するアイコンイメージをファイル内部に設定する必要があります。そのため、フォルダのアイコンイメージへ偽装する場合には、Windows標準のフォルダアイコンを利用しています。独自のフォルダアイコンにOSをカスタマイズしているユーザーはまれと思いますので、この手口に引っ掛かってしまいます。

 裏を返せば、フォルダのアイコンを企業独自のものにカスタマイズしてしまえば、アイコンが偽装されていたとしても不正プログラムを見分けることが可能となるのです。

図5 標準のフォルダアイコンを特別なものに変更 図5 標準のフォルダアイコンを特別なものに変更

 図5は、弊社のロゴを入れたフォルダアイコンを作成し、Windowsに設定したものです。これならば、「WORM_VB.HYB」が不審なファイルとして見分けることができるのではないでしょうか。事前に社員に対し企業のロゴが入ってないフォルダを見つけた場合には、不審なファイルとしてセキュリティ管理者へ報告するように周知徹底しておけば、ウイルス感染被害を抑えることができます。

 すべてのフォルダのアイコンを変更するには、次の手順を実施することで実現できます。

  • 1. レジストリエディタを起動して、次のレジストリキーを開きます【注2】
[レジストリキー]
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell  Icons

【注2】

「Shell Icons」キーが存在しない場合には新規に作成します。


  • 2. 「Shell Icons」キー内の「3」と「4」の値に、指定したいICOファイルを設定します。
例:3 =  "C:\Icon\trendmicro.ico"
 4 = "C:\Icon\trendmicro.ico"
図6 変更すべきレジストリ 図6 変更すべきレジストリ
 「3」は、フォルダの閉じた状態のアイコンを設定します
 「4」は、フォルダの開いた状態のアイコンを設定します
  • 3. アイコンキャッシュファイルを削除して再起動します【注3】
[アイコンキャッシュファイル]
Windows XPの場合
%USERPROFILE%\Local Settings\Application  Data\IconCache.db
 
Windows Vistaの場合
%USERPROFILE%\AppData\Local\IconCashe.db

【注3】

キャッシュファイルの削除およびコンピュータの再起動を実施したくない場合には次のマイクロソフト社のサイトで公開しているTweak UIを使用することで、アイコンキャッシュファイルの再作成を行ってくれます。


Microsoft PowerToys for Windows XP

http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx


 このアイコンを独自にカスタマイズする方法は、ターゲット型トロイの木馬の対応にも応用することができると考えています。特定の企業や団体などを狙うターゲット型トロイの木馬では、ドキュメントファイルのアイコンに偽装した不正プログラムが多いようです。ドキュメントファイルで使用しているアイコンを独自のアイコンに変更しておけば、不正プログラムということを見分ける手助けとなります。

Index

いつものアイコンを“オリジナル”にして先手を打て

Page 1

「不審なファイルをクリックするな」への違和感
「見慣れた」を攻撃の糸口にするアイコン偽装

Page 2

あなたはそれを「不審」と判断できますか
逆転の発想、偽装される前に“偽装”せよ?

Page 3

拡張子に関連付けられたアイコンを変更しよう
今日行える“Yet Another”な対策として


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。