日々サイバー攻撃の手法が巧妙になってきている昨今、インターネットを利用している人々全員がその攻撃方法について正しく理解し、インターネットリテラシーを高めていく必要があります。
今回は、RLO拡張子偽装攻撃に代表される拡張子偽装攻撃について解説し、攻撃の事例や手法、対策について解説します。ぜひ最後までご覧ください。
また、RLO拡張子偽装をはじめとした手段で企業のセキュリティを脅かす標的型攻撃メールの事例・サンプルがわかる資料を無料で配布しています。より一層の理解にお役立てください。
RLO拡張子偽装攻撃とは
RLO拡張子偽装攻撃とは、拡張子偽装攻撃の中でも、OSの文字設定表示を変更して拡張子を偽装し、ユーザに悪意のプログラムを実行させる攻撃手法です。
RLO制御コード (U+202E) とはアラビア語など右から左に向かう文字のための制御コードで、これを悪用して拡張子偽装することができます。
例えば、「readmetxt.exe」という文字列をメモ帳で作成し、readmeとtxtの間にカーソルを移動して、メモ帳を右クリックし、「Unicode 制御文字の挿入」「RLO Start of Right-to-Left Override」を選択すると、文字列が「readmeexe.txt」と表示されます。
この文字列をコピーして、エクスプローラなどのファイル名変更でこの文字列をファイル名として使用することができます。つまり、実際にはexeの拡張子になっているにもかかわらず、ユーザにはtxt拡張子として表示されることになります。
文字の表示順を変える制御文字を利用して、ファイル名の拡張子を偽装する手法も存在するので、一見しただけではウイルスかどうかを判断できません。
そのため、txtファイルだと思って開いてみたらexeファイルになっていて、マルウェアが起動してしまいます。
これがRLO拡張子偽装攻撃の恐ろしいところです。
拡張子偽装攻撃の偽装方法と事例
拡張子偽装攻撃は、ここまでにご紹介したRLO拡張子偽装攻撃のほかにもいくつかの手法があります。
- 二重拡張子による拡張子偽装
- Windowsの標準設定では拡張子が表示されません(例:lrm.jpgの場合、lrmとしか表示されない)。
これを逆手に取って悪用し、ファイル名に偽の拡張子を含めて本当の拡張子を隠す方法です。
例えば、「lrm.jpg.exe」というファイル名にすると、標準設定では「lrm.jpg」と表示されてしまいます。 - 空白文字の多数挿入による拡張子偽装
- 「example.txt .exe」のように、ファイル名と本当の拡張子の間に空白を多数挿入し、エクスプローラーでファイルを表示した際の名前を偽装するものです。
ファイル名表示の幅が狭い場合「.txt」以降が省略されてしまい、もともとの拡張子が隠されてしまう特性を悪用した偽装方法となります。 - RLOを用いる拡張子偽装
- このRLOを用いたものが冒頭でもお伝えしたものです。文字が右から左に向けて書かれている言語が存在するため、その制御コードを利用して、ファイル名を逆に表示させます。
例えば、「123txt.exe」というファイル名を「123exe.txt」に見せかけます。
この制御コードの頭文字を取ってRLO(Right-to-Left Override)と言います。
また、RLOに関する拡張子偽装の具体例には以下のようなものがあります。
ダウンロードファイル名偽装によるスプーフィング
2009年10月、Mozilla Foundationは、同社が開発しているウェブブラウザ「Mozilla Firefox」にて、ファイル名に右から左への上書き文字(RTL)をファイル名に含むファイルをダウンロードした場合、ダイアログのタイトルバーに表示されるファイル名とダイアログ本体に表示されるファイル名が競合するといった脆弱性問題を公表しました。
この脆弱性を利用すると、ダウンロードしたファイルの名前と拡張子を難読化され、ファイルを開くつもりがウィルスが仕込まれた実行ファイルを起動して、スプーフィングされてしまう可能性があったようです。
ちなみに、被害報告は特になく発表があった年に問題は修正されたようです。
そのため、現在のバージョンではRLOを使用してファイルをダウンロードしても競合を起こすことはありません。
拡張子偽装攻撃の対策
ここまで、拡張子偽装攻撃の概要を解説してきました。
では、拡張子偽装攻撃はどのようにして対策すればよいのでしょうか。
拡張子を表示する設定にする
Windowsでは初期設定で拡張子は表示されないようになっていますが、設定を変更すれば拡張子を表示することが可能です。
拡張子を表示すれば、「〇〇〇.jpg.exe」のようなおかしな表示の場合、違和感に気づきやすくなります。
また、スペースを多数挿入する方法も同じく、拡張子までに不自然なスペースが出るため、違和感に気づきやすいでしょう。
設定方法は、「エクスプローラーのオプション」の「表示」タブを選択→詳細設定の一覧から「登録されている拡張子は表示しない」のチェックを外すことで、拡張子が表示できます。
信頼できる相手から送られたメール以外の添付ファイルは開封しない
そもそも、メールに添付されているファイルの実態は、ダウンロードして開くまでは完全に判断するのは困難です。
そのため、そもそも信頼できる相手以外からの受信メールに添付されたファイルは開封しない、ということを徹底すれば、マルウェア感染のリスクを大きく低減できます。
セキュリティソフトの導入
セキュリティソフトを導入することで、プライベートファイアウォール機能が怪しい通信をブロックします。
また、メールに添付されているファイルやメール本文に対してウイルスチェックを行うことで、検知・隔離・駆除することも可能なので、ウイルス感染のリスクを大幅に下げることができます。
まとめ
RLO拡張子偽装攻撃の概要や対策、その他の拡張子偽装攻撃について、解説しました。
RLO拡張子偽装攻撃は、あたかもexeファイルではないように見せかけて送信されるため、ウイルス感染のきっかけになってしまいます。
基本的なセキュリティ対策に加え、適切なセキュリティツールの導入、定期訓練や教育を実施して、対策をしておきましょう。
また、RLO拡張子偽装攻撃については、こちらの記事で解説していますので、あわせてご覧ください。
また、LRMの「セキュリオ」の標的型攻撃メール訓練では、豊富なテンプレートでの訓練実施に加えて、eラーニングやミニテストとの組み合わせで従業員のセキュリティリテラシーを向上します。まずは無料ではじめましょう。