メールへの添付ファイルによるサイバー攻撃は非常に古典的手法であり、これまでも強く警鐘が鳴らされてきました。
企業や組織のユーザーは、メールへの添付ファイル(実行ファイル)は信頼できる相手からの場合以外は開いてはいけないことは、広く浸透しています。
しかし、受信したメールの拡張子が「txt」や「pdf」などの場合には、安心してファイルを開いてしまうかもしれません。
「txt」や「pdf」ならば実行ファイルではないから安全、と考える隙をつくのがRLO攻撃です。
メールを使い慣れている人でも、つい引っかかってしまう拡張子の偽装を施す手法なのです。
本記事では、RLO攻撃の概要、リスク、事例や対策法などを紹介します。
企業や組織で周知が必要な情報となります。
また、巧妙な手口で企業の従業員を騙し、ウイルス感染や不正アクセスを促す標的型攻撃メールの事例・サンプルをまとめた資料を無料で配布しています。
より一層の理解にお役立てください。
RLO攻撃とは
RLO攻撃は、ファイルの名称を偽装して安全なファイルに見せかけて、実行させマルウェアに感染させるサイバー攻撃です。
偽装したファイルはメールへの添付ファイルやWeb経由で配布します。
実は古典的な攻撃手法で、昔から存在しています。
例えば、独立行政法人情報処理推進機構(IPA)は 2011年時点の資料でもRLO攻撃に対する警鐘を鳴らしています。
RLO攻撃で使われるファイル名は、拡張子部分を反転させることにより実行形式のファイルには見えないようにしているため、このファイルを入手したユーザーは間違って実行してしまうという仕組みです。
ファイルの偽装の仕組みについては、次項でより詳しく紹介します。
RLO攻撃の手法
RLO攻撃はどのようにして偽装し、ユーザーを騙すのか、その仕組みを確認しておきましょう。
RLOとは
RLOとは、正確には「RLO制御コード (U+202E)」と呼ばれるコードです。
Right-to-Left Overrideを略してRLOといいます。
ここでいうコードは「文字や記号、数字などをコンピューターが識別するためにまとめられた符号である文字コード」であり、RLOコードはその中でも特殊なコードで文字や数字などを表しません。
Unicodeのなかでも、左右の文字表示設定を反転させる意味を持つコードであり、アラビア文字など右から左に文字を読む言語への対応などに利用されています。
拡張子とは
ファイルの拡張子(かくちょうし)についても確認しておきます。
拡張子はコンピュータ上のファイルの種類を示す文字列です。
ファイル名の末尾につけられることが一般的です。
例えば、「請求書.pdf」という PDF ファイルにおいて、「.pdf」が拡張子にあたります。
RLOをファイル名に組み込むと
RLOをファイル名に組み込むことで、拡張子を偽装することが可能です。
例えば、パソコン上で「無題 fdp」というファイル名のテキストファイル(拡張子「.txt」)を作成してみましょう。ファイル名「無題 fdp.txt」というファイルが出来上がります。
この「無題」と「fdp.txt」の間に RLO を入れると、「無題 txt.pdf」とパソコン上では表示されます。これはファイル名が変わってしまったのではなく、RLOコードに従って表示が反転しているのです。
RLOはファイル名をつける際に使ってはいけないコードとはされておらず、ファイル名に利用することが可能です。
しかしながら、日本語圏や英語圏ではファイル名には使うべきではないでしょう。
※Windows10の端末の場合、ファイル名の変更から右クリックを行うことで「Unicode制御文字の挿入」が可能です。
RLO攻撃を受けた場合のリスク
RLOにより攻撃を受けた際のリスクについて説明します。
メールへの添付ファイルを実行してしまうと
RLO攻撃はファイル名を偽装するものです。
この偽装されたファイルが、メールに添付されたり、Web上で配布されます。
このファイルを実行してしまった場合には、マルウェアへの感染が想定されます。
マルウェアとはコンピュータウイルスなどを含む悪意のあるプログラムの総称です。
マルウェア感染に感染してしまった場合に起こる事
マルウェアには多種多様なものが存在しており、いわゆるウイルスもマルウェアの一種です。
マルウェアの目的は、感染した端末からの情報の詐取、情報の改ざん、ランサムウェアによる脅迫などがありえます。
マルウェアへの感染はサイバー攻撃のひとつのステップとなっており、より大きな被害を受けることにつながります。
RLO攻撃の被害事例
RLO攻撃について、2011年9月にIPAは5万件以上の攻撃の検出を報告しています。
セキュリティソフトウェアなどを提供するカスペルスキー社は、2018年メッセンジャーアプリ「Telegram」の脆弱性をついたマルウェアを報告しています。
この攻撃は、RLOを利用したものでした。
サイバーセキュリティを提供する企業Vadeでも2022年の2週間で400件以上のRLO攻撃の観測を報告しています。Microsoft 365のユーザー情報をフィッシングすることを目的としていたとしています。
以前より、RLO攻撃によって非常に多くの攻撃が行われており、近年もその手法は利用されています。正確な被害の量は計り知れないものの、様々な影響が出ていると考えてよいでしょう。
RLO攻撃の対策
RLO攻撃はファイル名の偽装によりマルウェアへの感染を促す攻撃です。
この攻撃への対策は、基本的なマルウェア対策の一つでもあります。
信頼できない相手からの添付ファイルは実行しない
RLO攻撃の主な経路の一つはメールへの添付ファイルによるものです。
従来のマルウェアへの対策と同様、信頼できない相手からの添付ファイルは開かない、実行しないことが重要です。
また、もう一つの経路となるのがWebサイトからのダウンロードファイルです。
こちらも不審なWebサイトからはファイルをダウンロードしないようにすることが対策となります。
対策そのものはベーシックなのですが、RLO攻撃のファイルは偽装されている点に注意が必要です。
ファイル名および拡張子だけで判断してしまうと、被害に繋がってしまいます。
ファイル名だけでなく、送信元やダウンロード元を確認することが求められます。
また、Windowsの場合には、ファイルのアイコンについても注視しておきましょう。
ファイル名は偽装できても、ファイルアイコンは偽装されません。
Windowsの設定でファイル名にRLOを含むファイルの実行を禁止する
WindowsPCを利用している場合、セキュリティポリシーの設定によりRLOを含む名称のファイルの実行を禁止する対策が可能です。
下記のページを参考に設定してみてください。
また、こうした危険な攻撃がある、ということを従業員が適切に理解し、日常的に気を付けていることも対策としてかなり重要です。
LRMのセキュリオの標的型攻撃メール訓練は、ほんとうに成果を出し、開封率ゼロを目指すためのツールです。まずは無料ではじめましょう。
まとめ
RLO攻撃とは、ファイル名を偽装し、マルウェア感染を促す攻撃です。
安全なファイルに見せかけることで、マルウェアに感染するファイルをユーザーに実行させます。
基本的な対策は、ファイルが添付されたメールの送信元やファイルをダウンロードしたサイトが信頼できる相手かを確認してから、ファイルを実行することです。