【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷
セキュリティTips for Today!


第8回 ファイル名は「左から右に読む」とは限らない?!


飯田 朝洋
トレンドマイクロ株式会社
サポートサービス本部
コアテクノロジーサポートグループ
Threat Monitoring Center アシスタントマネージャー
2009/9/28
私たちの常識が世界では通用しないことがあります。攻撃者はそんな心のすきを狙って、落とし穴を仕掛けます。今回はそれを再認識させるかのような手法と、その対策Tipsを解説します(編集部)

 皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。

 その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論することができ、少し懐かしさを感じるとともに、あらためてユーザーが惑わされやすい手法ということを再認識いたしました。

 本連載で取り上げるにはうってつけの内容ですので、早速、このUnicode【注1】の制御文字を利用したファイルの拡張子偽装について、その手法と対策についてご紹介したいと思います。

【注1】
Unicodeとは、端的に説明すると多言語の文字を単一の文字コードで取り扱うための規格です。

 偽装された拡張子とアイコン、それはだましの第一歩

 まず初めに、皆さんは拡張子偽装やアイコン偽装という手口が、どのくらい不正プログラムに使われているのかご存じでしょうか。

 ここで、弊社のハニーポットで収集した不正プログラム【注2】を使って統計データを取りましたので、お見せしたいと思います。このデータは、直近6カ月間で収集された不正プログラムのアイコン偽装有無を示したグラフです。
表1 不正プログラム全体でのアイコン偽装の割合

【注2】
OSの脆弱性を突いて侵入するタイプのウイルスは、本データより省いています。

 このデータから、実に8割以上もの不正プログラムに、アイコン偽装の手法が取られているということが分かります。これは、多くの不正プログラムが、アイコン偽装によってユーザーを欺き、不正プログラムを実行させようとしていることがうかがえるデータといえるでしょう。

 また、表2は、ファイルの拡張子偽装の割合について月別で示したグラフです。
表2 不正プログラム全体での拡張子偽装の割合の推移

 拡張子偽装が行われている割合としては全体の約2割程度にとどまっているため、アイコン偽装と比較すると数値的には見劣りいたしますが、この6カ月間、常に拡張子偽装が行われている不正プログラムが全体の約2割を占めています。この結果から、ファイルの拡張子偽装は、不正プログラムがユーザーを欺くための常とう手段として定着しているといっても過言ではありません。

 世界は広く、常識もさまざまだから

 少しここで話はそれますが、皆さんもご存じの通り、世界にはさまざまな言葉が存在します。私たちの母国語である日本語もその中の1つです。しかし、日本社会も至るところでグローバル化の波が押し寄せており、外国語を使う機会が多くなってきていると実感いたします。とりわけ、ビジネスにおいては、英語がデファクトスタンダードになっている方も多いでしょう。

 世界中の言語を見渡してみると、その多さに実に驚かされます。一説によると、数千種類の言語がこの世の中に存在しているようですが、専門家の間でも意見が分かれているようです。さらに驚くべきことは、その言語の持つ特徴も実にユニークだということです。私たちが常日ごろから親しんでいる日本語や英語では、横書きの場合、左から右へ言葉を並べていきますが、アラビア語では逆に右から左へ記述していきます。アラビア語を知らない人にとっては、とても違和感を覚えるはずです。

 Windowsではファイル名やフォルダ名に、このアラビア語のように右から左へ流れる名前をつけることができることをご存じでしょうか。正確にはUnicodeで定義されている制御文字RLO(Right-to-Left Override)を利用することで、簡単に右から左へ流れる文字を作ることができます。

 本日の本題となるUnicodeの制御文字とは、まさにこのRLOを指しています。実は、このRLOの特性を利用することで、ファイルの拡張子を偽装することが容易にできてしまうのです。この手法は数年前に注目され、さまざまな記事でも取り上げられてきましたので、ご存じの方も多いのではないでしょうか。


 1/3 次のページへ

Index
ファイル名は「左から右に読む」とは限らない?!
→ Page 1
偽装された拡張子とアイコン、それはだましの第一歩
世界は広く、常識もさまざまだから

Page 2
こんなに簡単にできてしまう偽装ファイル
「9件しかない」ではなく「1件以上ある」ことに注目すべき

Page 3
RLO偽装をちょっとしたTipsで対策
教育だけでは対応不可、知ってても気付けないレベルの偽装

セキュリティTips for Today! バックナンバー


セキュリティTips for Today! 連載インデックス

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ