ファイル名は「左から右に読む」とは限らない?!セキュリティTips for Today(8)(2/3 ページ)

» 2009年09月28日 10時00分 公開
[飯田朝洋@IT]

こんなに簡単にできてしまう偽装ファイル

 RLOを利用したファイルの拡張子偽装と言葉で聞いても、その偽装方法のイメージがわかないと思いますので、実際にどのような手法なのかお見せしたいと思います。本記事では、ウイルスバスター2009のインストーラを使った検証を行いたいと思います。

  • 1. ウイルスバスター2009のインストーラをダウンロードし、「move_vmw.exe」というファイル名に変更いたします。このポイントは、拡張子「.exe」の前に「vmw」としていることです。
図1 ポイントは「vmw」の文字 図1 ポイントは「vmw」の文字
  • 2. RLOを利用してファイル名を変更するため、ファイルを選択状態にし「F2」ボタンを押してください。

  • 3. ファイル名の「_(アンダースコア)」と「vmw」の間にカーソルを移動し、右クリックから「Unicode 制御文字の挿入」→「RLO Start of right-to-left override」を選択してください。
図2 Unicode制御文字であるRLOを挿入 図2 Unicode制御文字であるRLOを挿入
  • 4. ファイル名が「move_exe.wmv」と変換されます。
    拡張子「.wmv」は、Windows Media Playerで再生可能なファイル形式ですので、一見、このファイル名だけを見てしまえば、Windows Media Video(WMV)形式のファイルと見間違えてしまいます。
     また、注目すべきポイントはもう1点あります。ファイルのアイコンとして、元のアイコンが使われているということです。見た目上は拡張子が変換されているように見えますが、システム上は「.exe」として認識しているため、このようなことが起きます。
図3 アイコンは実行ファイル、拡張子はwmvに見える 図3 アイコンは実行ファイル、拡張子はwmvに見える
  • 5. 実際にファイル「move_exe.wmv」を実行すると、ウイルスバスター2009のインストーラが正常に起動されます(Windows Media Playerが実行されるわけではありません)。
図4 ダブルクリックで実行してしまう 図4 ダブルクリックで実行してしまう

 このように、RLOを利用すれば、いとも簡単にファイルの拡張子を偽装することができてしまうのです。

「9件しかない」ではなく「1件以上ある」ことに注目すべき

 RLOによる拡張子偽装についてポイントを整理すると、次の3つの要素に集約することができます。

  1. 実行形式(EXE形式)のファイルを、ほかの拡張子として偽ることができてしまう
  2. アイコンを偽装しておくことで、拡張子偽装の効果を最大化することができる
  3. Windowsの標準機能としてRLOを利用することができる

 冒頭でもお話しましたが、この手法は目新しい手法ではなく、数年前にも話題となった手法です。

 しかし、いまだにこの手法を悪用したウイルスがあとを絶ちません。このRLOによる拡張子偽装とアイコン偽装の2つの手法を組み合わせる手口は、ウイルスの常とう手段となっています。注意深くエクスプローラ上で表示されるファイルの「種類」やファイル名に残されるわずかな違和感を察知しない限り、日常の中で気付くことは困難でしょう。

 実際に、弊社のハニーポットで収集された不正プログラムから、ランダムに100個を抽出してみたところ、9個の不正プログラムがこのRLOの手法を用いた拡張子偽装が施されていました。

表3 RLO手法は1割程度 表3 RLO手法は1割程度

 私がこのデータから伝えたいことは、「9」という数の大小ではなく、不正プログラムがユーザーを欺く手法として、RLOによる拡張子偽装を利用しているという事実です。

 ウイルス対策レベルを向上させるということは、ウイルス感染の可能性を削っていく、地道な作業といえます。少しでもウイルス感染のリスクが残っている場合には、そこを削り落とし、感染というリスクを排除していくことが重要なのです。

Index

ファイル名は「左から右に読む」とは限らない?!

Page 1

偽装された拡張子とアイコン、それはだましの第一歩
世界は広く、常識もさまざまだから

Page 2

こんなに簡単にできてしまう偽装ファイル
「9件しかない」ではなく「1件以上ある」ことに注目すべき

Page 3

RLO偽装をちょっとしたTipsで対策
教育だけでは対応不可、知ってても気付けないレベルの偽装


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。