叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

拡張子はしっかり確認しよう

Emdivi(エンディビ)

2015年5月9日、日本年金機構は自身の管理する機器が新種のマルウエアに感染されていたことを把握しました。そして12日、そのマルウエアは「トロイの木馬」型であることを確認しました。

このマルウエアは「Emdivi(エンディビ)」と呼ばれている遠隔操作ウイルスでした。事件の渦中、セキュリティ対策企業のラックはマルウエアの特徴を発表しています。
ascii.jp

このマルウエアの特徴は、攻撃相手が不正なプログラムと気がつきにくくするため、添付ファイルのアイコンをOfficeファイル等、安心感のあるものに偽装していたことです。

f:id:slowtrain2013:20200417124532p:plain
アイコンの偽装

アイコンに騙されることなく、ファイル名の拡張子をしっかりと確認することがセキュリティ対策上、極めて重要であることが分かる事例ですね。

拡張子をしっかり確認しよう

しかし、不可解なことにWindowsの標準は拡張子が表示されていないのです!これはセキュリティ対策上、変な仕様だと思うのです。このような仕様となった背景は、パソコンを操作する人がファイル名を変更する際に誤まって拡張子を消してしまうと、そのファイルが使えなくなるので、使い勝手が悪くなるからだと思います。はじめから拡張子が表示されていなければ、拡張子が消えてしまう心配がありません。

そもそも、セキュリティ対策である「安全の重さ」と、使い勝手である「利便の重さ」はトレードオフの関係にあります。たとえば、パスワードが4桁の数字でOKのシステムであれば、使い勝手は良いですが、安全ではありません。パスワードが12桁の英数字混合にしなければならないとしたら、安全かもしれませんが、覚えるのが大変そうです。

ただ、わたしは情報セキュリティの視点にたって森羅万象を見てしまう傾向があるからかもしれませんが、全体として「安全の重さ」が軽く見られているように感じます。

f:id:slowtrain2013:20200417144447p:plain:w400
安全と利便の重さ

が、しかし「ファイル名の拡張子」に関しては、絶対に表示させることをおすすめします。Windows10を手にしている方は「エクスプローラ」を確認しましょう。そして「ファイル名拡張子」にチェックが入っていないのであれば、チェックを入れるようにしましょう。

f:id:slowtrain2013:20200417132011p:plain
「ファイル名拡張子」にチェックを入れる

なお、アイコンを偽装する以外にも攻撃者はこのようなテクニックを使ってわたしたちを騙そうとします。拡張子をしっかり確認しましょう。

長いファイル名で二つの拡張子

ファイル名に安全に見える拡張子をつけたあと、長いスペースを挿入し、最後に危険な .exe を追加するとファイル名の全てが表示されず、ごまかされやすくなります。

f:id:slowtrain2013:20200417150747p:plain
長いスペースを入れたファイル名

RLO拡張子偽装

RLOは本来アラビア圏など文章を右から左に読む人向けに反転させる仕様ですが、ファイル名に使用すると拡張子の偽装に使えます。図のような方法でファイル名にRLO制御文字を含めて拡張子を偽装する手口があります。

f:id:slowtrain2013:20200417153541p:plain
RLO拡張子偽装

Windows10でもRLOで文字の表示順序を逆にすることが可能のようですが、なぜ、この機能が必要なのかいまいち謎です・・・。