ファイル名は「左から右に読む」とは限らない?!：セキュリティTips for Today（8）（3/3 ページ）

» 2009年09月28日 10時00分公開

RLO偽装をちょっとしたTipsで対策

　では、ここからは、RLOによるファイルの拡張子偽装の対策についてTipsをご紹介したいと思います。

　今回の対策の発想は至って単純で、ファイル名にUnicodeの制御文字RLOが含まれている場合には、ファイルの実行を禁止してしまおうということです。この対策を実施することで、ファイルの拡張子偽装を見破れなかったとしても、システム上でファイルの実行を防ぐことができるため、結果としてウイルスの感染を間逃れることができます。

　では、実際にどのような設定をWindowsに対して実施すればよいのかという次のような手順となります。

1. スタートメニューより、「ファイル名を指定して実行」を選んでください。

図5　スタートメニューを開く

2. 「secpol.msc」と入力して、「OK」ボタンをクリックしてください。ローカルセキュリティポリシーが起動されます【注3】。

図6　セキュリティポリシーを設定するためsecpol.mscを実行

【注3】

ローカルセキュリティポリシーの開き方はこれ以外にも方法がありますので、お好みの方法で開いてください。

3. 「ソフトウェア制限のポリシー」から「新しいポリシーの作成」を選択します。

図7　ソフトウェア制限のポリシーを新規作成する

4. 「追加の規則」を選択し右クリックしてください。右クリックのメニューより「新しいパスの規則」を選択します。

図8　パスの規則を作成

5. 「パス」欄に「**」（アスタリスクを2つ）と入力してください。「*」と「*」の間にカーソルを合わせ右クリックし、「Unicode制御文字の挿入」→「RLO Start of right-to-left override」を選択します。「OK」ボタンをクリックし画面を閉じてください【注4】。

図9　*と*の間にRLO制御文字を入れる

図10　RLOが含まれるファイル名では実行を許可しない

【注4】

セキュリティレベルが「許可しない」になっていることを確認してください。

6. 先ほど作成したRLOの「move_exe.wmv」を実行すると次のようなエラー画面が表示され、ローカルセキュリティポリシーによってファイルの実行を防いでくれます【注5】。

図11　新規に作成したローカルポリシーにより、実行が許可されない

【注5】

グループポリシーを使用して「ソフトウェア制限のポリシー」を集中管理することも可能です。

参考：[Windows XP におけるソフトウェア制限のポリシーの説明]http://support.microsoft.com/kb/310791/ja

　なお、今回のTIPSでご紹介した対策は、ローカルセキュリティポリシーを利用した対策となっています。

教育だけでは対応不可、知ってても気付けないレベルの偽装

　本連載を通じて、これまでウイルスが持つ人を欺く手法についていくつかご紹介してきましたが、今回のRLOによるファイル拡張子偽装についても、ユーザー教育だけではなかなか対応していくことが難しいと感じていただけましたでしょうか。

　私の身近にも、RLOによる拡張子偽装という手法自体は知っているという人は多いのですが、対策まで実施している人は少ないように感じています。セキュリティを高めるということは、知識を詰め込むことも大切ですが、それ以上に重要なことは、対策を確実に実施していくことが重要なのです。

　セキュリティ管理者がいざ対策を取ろうとしたときに、過剰にその対策の副作用を考えてしまう傾向にあると感じることがあります。もちろん、何か対策を取る際には、その副作用についてまで考慮し、さまざまリスクを考えていく必要があります。しかし、私がここでいっている真意は、「過剰」になり過ぎているということです。

　セキュリティ管理者の方には、ぜひセキュリティレベルの向上を目指し、それに役立つ対策を力強く実施していっていただきたいと願っています。