連載
» 2009年09月28日 10時00分 公開

セキュリティTips for Today(8):ファイル名は「左から右に読む」とは限らない?! (3/3)

[飯田朝洋,@IT]
前のページへ 1|2|3       

RLO偽装をちょっとしたTipsで対策

 では、ここからは、RLOによるファイルの拡張子偽装の対策についてTipsをご紹介したいと思います。

 今回の対策の発想は至って単純で、ファイル名にUnicodeの制御文字RLOが含まれている場合には、ファイルの実行を禁止してしまおうということです。この対策を実施することで、ファイルの拡張子偽装を見破れなかったとしても、システム上でファイルの実行を防ぐことができるため、結果としてウイルスの感染を間逃れることができます。

 では、実際にどのような設定をWindowsに対して実施すればよいのかという次のような手順となります。

  • 1. スタートメニューより、「ファイル名を指定して実行」を選んでください。
図5 スタートメニューを開く 図5 スタートメニューを開く
  • 2. 「secpol.msc」と入力して、「OK」ボタンをクリックしてください。ローカルセキュリティポリシーが起動されます【注3】
図6 セキュリティポリシーを設定するためsecpol.mscを実行 図6 セキュリティポリシーを設定するためsecpol.mscを実行

【注3】

ローカルセキュリティポリシーの開き方はこれ以外にも方法がありますので、お好みの方法で開いてください。


  • 3. 「ソフトウェア制限のポリシー」から「新しいポリシーの作成」を選択します。
図7 ソフトウェア制限のポリシーを新規作成する 図7 ソフトウェア制限のポリシーを新規作成する
  • 4. 「追加の規則」を選択し右クリックしてください。右クリックのメニューより「新しいパスの規則」を選択します。
図8 パスの規則を作成 図8 パスの規則を作成
  • 5. 「パス」欄に「**」(アスタリスクを2つ)と入力してください。「*」と「*」の間にカーソルを合わせ右クリックし、「Unicode制御文字の挿入」→「RLO Start of right-to-left override」を選択します。「OK」ボタンをクリックし画面を閉じてください【注4】
図9 *と*の間にRLO制御文字を入れる 図9 *と*の間にRLO制御文字を入れる
図10 RLOが含まれるファイル名では実行を許可しない 図10 RLOが含まれるファイル名では実行を許可しない

【注4】

セキュリティレベルが「許可しない」になっていることを確認してください。


  • 6. 先ほど作成したRLOの「move_exe.wmv」を実行すると次のようなエラー画面が表示され、ローカルセキュリティポリシーによってファイルの実行を防いでくれます【注5】
図11 新規に作成したローカルポリシーにより、実行が許可されない 図11 新規に作成したローカルポリシーにより、実行が許可されない

【注5】

グループポリシーを使用して「ソフトウェア制限のポリシー」を集中管理することも可能です。


参考:[Windows XP におけるソフトウェア制限のポリシーの説明]http://support.microsoft.com/kb/310791/ja


 なお、今回のTIPSでご紹介した対策は、ローカルセキュリティポリシーを利用した対策となっています。

教育だけでは対応不可、知ってても気付けないレベルの偽装

 本連載を通じて、これまでウイルスが持つ人を欺く手法についていくつかご紹介してきましたが、今回のRLOによるファイル拡張子偽装についても、ユーザー教育だけではなかなか対応していくことが難しいと感じていただけましたでしょうか。

 私の身近にも、RLOによる拡張子偽装という手法自体は知っているという人は多いのですが、対策まで実施している人は少ないように感じています。セキュリティを高めるということは、知識を詰め込むことも大切ですが、それ以上に重要なことは、対策を確実に実施していくことが重要なのです。

 セキュリティ管理者がいざ対策を取ろうとしたときに、過剰にその対策の副作用を考えてしまう傾向にあると感じることがあります。もちろん、何か対策を取る際には、その副作用についてまで考慮し、さまざまリスクを考えていく必要があります。しかし、私がここでいっている真意は、「過剰」になり過ぎているということです。

 セキュリティ管理者の方には、ぜひセキュリティレベルの向上を目指し、それに役立つ対策を力強く実施していっていただきたいと願っています。

Index

ファイル名は「左から右に読む」とは限らない?!

Page 1

偽装された拡張子とアイコン、それはだましの第一歩
世界は広く、常識もさまざまだから

Page 2

こんなに簡単にできてしまう偽装ファイル
「9件しかない」ではなく「1件以上ある」ことに注目すべき

Page 3

RLO偽装をちょっとしたTipsで対策
教育だけでは対応不可、知ってても気付けないレベルの偽装


Profile

飯田 朝洋

飯田 朝洋(いいだ ともひろ)


トレンドマイクロ株式会社

サポートサービス本部
コアテクノロジーサポートグループ
Threat Monitoring Center アシスタントマネージャー


トレンドマイクロへ入社後、企業向け有償サポート(プレミアムサポートセンター)のテクニカルアカウントマネージャとして、主に大企業へのセキュリティサポート・コンサルティングおよび、感染被害発生時のインシデント・オペレーションに従事。


その後、インターネットの脅威動向に関する監視・調査を行うThreat Monitoring Centerの設立と同時に、Senior Threat Research Engineerとして不正プログラムの収集・傾向分析の専門家としての活動を開始する。


現在は、米国ニュージャージー州で不正プログラムの傾向分析に加え、インシデント対応のサポートを行う。


[an error occurred while processing this directive]
前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。