RLO拡張偽装攻撃について

セキュリティ情報セキュリティ

記事内に広告が含まれています。
ウイルスが仕込まれている実行ファイル(exeファイル)を含んだメールが送られてくる場合があります。
基本的には知らないメールに添付されているファイルは何が入っているか分からないので開かずに削除するのがセキュリティの基本です。
しかし、悪意のある手口であたかも実在する企業のなりすましでファイルを開かせようとする手口があります。
今回、紹介する内容はRLO(Right-to-Left Override)というUnicodeの制御機能を使った手口について紹介します。

RLOとは

RLO(Right-to-Left Override)とはUnicodeの制御記号の一つで、文字を右から左へ読む言語に対応するため、文字の流れを右から左の向きに書き換える制御記号になります。
Unicodeの制御文字は16進数で「202E」で表されるコードです。
Windows標準のメモ帳でもRLO機能は使用することができ、「アイウエオ」と書いた文字で、ウとエの間にカーソルを置いた状態で右クリックすると「Unicode制御文字の挿入」という項目があります。
この際にRLOを選択すると、「アイウオエ」という表示に変わります。

RLO拡張偽装攻撃とは

このUnicodeの特殊制御文字を使うことで、本来なら実行ファイル(exeファイル)の物に対して、別のファイルと誤認識させる手口です。
悪意のあるファイル「見積もりfdp.exe」という本来のファイル名を「見積もり[特殊文字:202E]fdp.exe」とさせることで、ファイルの見た目は「見積もりexe.pdf」と表示されます。
この様に実行ファイルをあたかもPDFファイルのように見せかけて実行させてウイルス感染させるような方法をRLO拡張偽装攻撃と呼びます。

対策

基本的には、信頼できるメール以外の添付されているファイルは実行しないことです。
しかし、なりすましメール等に気づかずにファイルを実行してしまう可能性はあります。
そこで、パソコンにローカルセキュリティポリシーを設定する項目があり、文字と文字の間にRLOが含まれていた場合はセキュリティポリシーによりブロックさせることができます。
下記手順にてローカルセキュリティポリシーの設定方法を記載します。
①Windowsキー+Rを押してファイル名指定して実行を呼び出し、「secpol.msc」と記入してOKを押す
②ローカルセキュリティポリシーの画面が出た後、左側ツリーにある「ソフトウェアの制御のポリシー」を右クリックし、「新しいソフトウェアの制限のポリシー」をクリック
③ローカルセキュリティポリシーの画面右側にある「追加の規則」を右クリックして、「新しいパスの規則」をクリック
④パスの部分に「**」(アスタリスク2つ)入力し、その後にアスタリスクの間にカーソルをあわせて右クリックして、Unicode制御文字の挿入を選択し、RLOをクリックする。
⑤セキュリティレベルが「許可しない」に設定されていることを確認してOKを押して、パソコンを再起動する。
この手順を実施することで、RLOが仕込まれているファイルを実行しようとすると、セキュリティポリシーに引っかかってエラーを出すため、未然に防ぐことができます。
システムトラストでは一緒に働いていただける仲間を募集中です。
記事内に広告が含まれています。
株式会社システムトラスト

システムトラストでは、システムエンジニア、プログラマーなどを随時募集中です。気軽にご相談ください。

お問合せ