最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆Macを狙うドライブバイダウンロード攻撃発生~必ずアップデートを(2012/02/27) | メイン | ◆ゆうちょ銀行、「ゆうちょダイレクト」を装うフィッシングに注意呼びかけ(2012/03/01) »

2012/02/29

◆「RLO拡張子偽装」に注意~ワンクリックウェアが動画ファイルに見える(2012/02/29)

パソコンのデスクトップにアダルトサイトの料金請求画面を表示し続ける「ワンクリックウェア」は今年1月、これを仕掛けていた業者が不正指令電磁的記録供用容疑で摘発されてからは使用自粛が増えたが、その一方、ユーザーを欺くために新たな手口を導入するところも登場している。それが「RLO拡張子偽装」だ。

2月5日付けで一般の方のブログに投稿された、「RLO拡張子偽装のワンクリウェア WMV動画ファイルに見せかける」というエントリーが注目を集め、9日には、トレンドマイクロも同社の公式ブログで、このサイトの新たな手口を紹介している。

■RLO拡張子偽装とは

RLO(Right-to-Left Override)は、パソコンやスマートホンの多くが採用している、Unicode(ユニコード)呼ばれる文字コードに含まれる制御文字のひとつ。Unicodeは、世界各国の言語をサポートした文字コードで、対応する言語には、日本語や英語のように左から右に綴る言語のほか、アラビア語やヘブライ語のように右から左へ綴る言語も含まれている。Unicodeには、これら記述方向の異なる言語が混在しても、それぞれを正しい方向で扱えるようにするために、方向性を制御する文字がいくつか定義されている。

RLOはこの制御文字のひとつで、続く文字を右から左方向の文字として扱う。例えば、4文字目に制御文字<RLO>を入れた「Ann<RLO>fdp.exe」は、「fdp.exe」の部分が右から左方向に逆転するため、「Annexe.pdf」と表示される。本来の拡張子は、実行プログラムを示す「EXE」だが、「PDF」に見えてしまうのだ。

■RLO拡張子偽装を使ったワンクリックウェア

問題のアダルトサイトでは、「動画再生」ボタンを押すと、HTMLアプリケーション形式のワンクリックウェアを投下し、ユーザーにこれを実行させようとする。投下するHTMLアプリケーションの本来のファイル名は、次のような形式になっている。

MovieID_<識別子>%E2%80%AEvmw.EI_noisreV.hta

<識別子>の部分は、32文字の任意のID。それに続く「%E2%80%A」は、RLO制御文字(U+202E)をUTF-8という符号化形式で表したもの(E2 80 AE)を、さらにパーセントエンコーディング(URLエンコード)という、「%16進数」という形式で表わしたものである。結果的には、次の様なファイル名になることが想定されている。

MovieID_<識別子><RLO>vmw.EI_noisreV.hta

想定通りならば、ファイル名の表示は次のようになる。

MovieID_<識別子>ath.Version_IE.wmv

HTMLアプリケーションを表わす本来の拡張子「HTA」が、Windows Media Videoファイルの拡張子「WMV」に偽装されてしまうのだ。

■拡張子が偽装されるかどうかはアプリケーション次第

RLOを使った拡張子偽装は、それを扱うアプリケーションに強く依存する。サイトの閲覧にInternet Explorerを使用した場合には、先の想定通りの解釈か行われ、見た目の拡張子からは、WMVファイルに見えてしまう(ファイルの種類は、あくまでHTMLアプリケーションのまま)。ところが、FirefoxやChromeの場合には、URLエンコードされたUTF-8のRLO制御文字を解釈せず、「%E2%80%AE」という文字列として扱うため、拡張子偽装に失敗してしまう。

このRLO拡張子偽装は、昨年大量発生した、ZIPファイルを添付したウイルスメールでも多用された。ZIPファイルの中に、RLO拡張子偽装を施したEXEファイルが入っているのだ。このケースでは、ZIPを扱うアプリケーションが、攻撃者の想定通りに動作すると、偽装に成功する。

Windowsには、ZIPファイルを扱う機能が標準で組み込まれており、ZIPファイルは「圧縮フォルダ」として扱われる。ところが、Windows標準のZIP機能は、近年策定されたUnicode文字をUTF-8で扱うルールには対応しておらず、RLOを使った拡張子偽装は成功しない。偽装が成功するのは、ユーザーがUTF-8のZIPに対応したアーカイバソフトを使用している場合に限られるのだ。

RLO拡張子偽装については、下記IPAの記事でも詳しく解説されており、RLOを悪用するウイルスへの対策として、ポリシーエディタを使ってRLO偽装ファイルの実行を禁止する方法も解説している。ただし、ポリシーエディタは、家庭向けのWindowsには未搭載の機能なので、一般向けのパソコンでは利用することができない。

(2012/02/29 ネットセキュリティニュース)

【関連URL】
・標的型攻撃の手法をワンクリック詐欺に応用か - ファイル開封時に用心を(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/4796
・「ファイル名に細工を施されたウイルスに注意! 」~見た目でパソコン利用者をだます手口~(IPA)
http://www.ipa.go.jp/security/txt/2011/11outline.html

【関連記事:ネットセキュリティニュース】
・「請求画面が消えない」ワンクリックウェアの摘発相次ぐ(2012/01/26)

投稿情報: 09:01 |

|