Tweet

第8回 ファイル名は「左から右に読む」とは限らない?!

　こんなに簡単にできてしまう偽装ファイル

　RLOを利用したファイルの拡張子偽装と言葉で聞いても、その偽装方法のイメージがわかないと思いますので、実際にどのような手法なのかお見せしたいと思います。本記事では、ウイルスバスター2009のインストーラを使った検証を行いたいと思います。

1. ウイルスバスター2009のインストーラをダウンロードし、「move_vmw.exe」というファイル名に変更いたします。このポイントは、拡張子「.exe」の前に「vmw」としていることです。

   図1　ポイントは「vmw」の文字

   
   
2. RLOを利用してファイル名を変更するため、ファイルを選択状態にし「F2」ボタンを押してください。
   
   
3. ファイル名の「_（アンダースコア）」と「vmw」の間にカーソルを移動し、右クリックから「Unicode 制御文字の挿入」→「RLO Start of right-to-left override」を選択してください。

   図2　Unicode制御文字であるRLOを挿入

   
   
4. ファイル名が「move_exe.wmv」と変換されます。
   拡張子「.wmv」は、Windows Media Playerで再生可能なファイル形式ですので、一見、このファイル名だけを見てしまえば、Windows Media Video（WMV）形式のファイルと見間違えてしまいます。
   　 また、注目すべきポイントはもう1点あります。ファイルのアイコンとして、元のアイコンが使われているということです。見た目上は拡張子が変換されているように見えますが、システム上は「.exe」として認識しているため、このようなことが起きます。

   図3　アイコンは実行ファイル、拡張子はwmvに見える

   
   
5. 実際にファイル「move_exe.wmv」を実行すると、ウイルスバスター2009のインストーラが正常に起動されます（Windows Media Playerが実行されるわけではありません）。

   図4　ダブルクリックで実行してしまう

　このように、RLOを利用すれば、いとも簡単にファイルの拡張子を偽装することができてしまうのです。

　「9件しかない」ではなく「1件以上ある」ことに注目すべき

　 RLOによる拡張子偽装についてポイントを整理すると、次の3つの要素に集約することができます。

1. 実行形式（EXE形式）のファイルを、ほかの拡張子として偽ることができてしまう
2. アイコンを偽装しておくことで、拡張子偽装の効果を最大化することができる
3. Windowsの標準機能としてRLOを利用することができる

　冒頭でもお話しましたが、この手法は目新しい手法ではなく、数年前にも話題となった手法です。

　しかし、いまだにこの手法を悪用したウイルスがあとを絶ちません。このRLOによる拡張子偽装とアイコン偽装の2つの手法を組み合わせる手口は、ウイルスの常とう手段となっています。注意深くエクスプローラ上で表示されるファイルの「種類」やファイル名に残されるわずかな違和感を察知しない限り、日常の中で気付くことは困難でしょう。

　実際に、弊社のハニーポットで収集された不正プログラムから、ランダムに100個を抽出してみたところ、9個の不正プログラムがこのRLOの手法を用いた拡張子偽装が施されていました。

表3　RLO手法は1割程度

　私がこのデータから伝えたいことは、「9」という数の大小ではなく、不正プログラムがユーザーを欺く手法として、RLOによる拡張子偽装を利用しているという事実です。

　ウイルス対策レベルを向上させるということは、ウイルス感染の可能性を削っていく、地道な作業といえます。少しでもウイルス感染のリスクが残っている場合には、そこを削り落とし、感染というリスクを排除していくことが重要なのです。

2/3

Index
ファイル名は「左から右に読む」とは限らない?!
	Page 1 偽装された拡張子とアイコン、それはだましの第一歩 世界は広く、常識もさまざまだから
	Page 2 こんなに簡単にできてしまう偽装ファイル 「9件しかない」ではなく「1件以上ある」ことに注目すべき
	Page 3 RLO偽装をちょっとしたTipsで対策 教育だけでは対応不可、知ってても気付けないレベルの偽装

セキュリティTips for Today! 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード