ファイル名の文字が左右逆転したファイルに注意
「EXEファイルをPDFに見せかける」、拡張子偽装のウイルスが猛威 (ITPro)
これは敵さんながら見事な仕掛けですね。素晴らしいアイデア!
アラビア語などの表現で利用される制御文字(見えないけど役割を持った文字のことです)である、「RLO(Right-to-Left Override)」を使って文字の流れを左右逆転させてしまう仕掛けを使ってるようです。
つまり、「fdp.elpmas」 と入力された文字が、このRLOを使うと「sample.pdf」として表現されてしまうので、右端の3文字を見てPDFと思ってしまうといくことだそうです。
たしかにこれでアイコンまでPDFだったりすると、ダブルクリックしてしまうかも。
実際に名前がRLOなファイルを作ってみよう(Windows版)
何事も脅威を知るためには実体験から。
実はこの名前が左右逆転のファイルは以外に簡単に作れます。
以下手順。
1)メモ帳を開きます
2)テキスト入力エリアで右クリックをして、「Unicode制御文字の挿入」⇒「RLO Start of reight-toleft override」を選択
特にメモ帳の上では大きな変化はないですが、このまま文字の入力をすると何が起こったかよく分かります。
一度、IMEをアルファベット直接入力モードにして、試しに「fdp.elpmas」と入力してみましょう。
すると…
画面上は、「sample.pdf」になりましたか?
ではこの左右逆転した文字を全て選択して丸ごとコピーしておいて、何でもいいので適当なファイルの名前変更でこの文字を貼り付けてみましょう。
ちゃんとファイル名としても左右逆転した状態が保持されて、なんちゃってPDFが完成しました。
残念ながらアイコンは不明ファイルのものですけどね
RLTrapに引っかからないための対策
見知らぬ人から怪しいファイルは開かないというのが鉄則なのですが、Windowsのローカルセキュリティポリシーを設定変更することで、このような名前の左右逆転の小細工を行なっているファイルを開けないようにすることができます。
詳しい手順は以下のIPAのページで細かく解説されておりす。
「 ファイル名に細工を施されたウイルスに注意! 」(独立行政法人 情報処理推進機構)
アラビア語圏の方にあまり友達のいない皆さんはぜひ対策を!
RSS配信中…ご利用のRSSリーダーにご登録お願いします。
»»トラックバックURL⇒ http://blog.itoy.jp/security/rltrap.html/trackback
»»RSSでこの記事のレスポンスをチェック
ホーム
先頭に移動