皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。
その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論することができ、少し懐かしさを感じるとともに、あらためてユーザーが惑わされやすい手法ということを再認識いたしました。

Windowsではファイル名やフォルダ名に、このアラビア語のように右から左へ流れる名前をつけることができることをご存じでしょうか。正確にはUnicodeで定義されている制御文字RLO（Right-to-Left Override）を利用することで、簡単に右から左へ流れる文字を作ることができます。
本日の本題となるUnicodeの制御文字とは、まさにこのRLOを指しています。実は、このRLOの特性を利用することで、ファイルの拡張子を偽装することが容易にできてしまうのです。この手法は数年前に注目され、さまざまな記事でも取り上げられてきましたので、ご存じの方も多いのではないでしょうか。

ファイル名は「左から右に読む」とは限らない?! (1/3)：セキュリティTips for Today（8） - ＠IT

RLOによる拡張子偽装についてポイントを整理すると、次の3つの要素に集約することができます。
1. 実行形式（EXE形式）のファイルを、ほかの拡張子として偽ることができてしまう
2. アイコンを偽装しておくことで、拡張子偽装の効果を最大化することができる
3. Windowsの標準機能としてRLOを利用することができる
冒頭でもお話しましたが、この手法は目新しい手法ではなく、数年前にも話題となった手法です。
しかし、いまだにこの手法を悪用したウイルスがあとを絶ちません。このRLOによる拡張子偽装とアイコン偽装の2つの手法を組み合わせる手口は、ウイルスの常とう手段となっています。注意深くエクスプローラ上で表示されるファイルの「種類」やファイル名に残されるわずかな違和感を察知しない限り、日常の中で気付くことは困難でしょう。
実際に、弊社のハニーポットで収集された不正プログラムから、ランダムに100個を抽出してみたところ、9個の不正プログラムがこのRLOの手法を用いた拡張子偽装が施されていました。

ファイル名は「左から右に読む」とは限らない?! (2/3)：セキュリティTips for Today（8） - ＠IT