アキラのＩＴメモ：Unicode制御文字RLOとファイル名

まずは、この記事を「こんなにお手軽な、ファイル拡張子の偽装方法が・・・Unicode 制御文字の挿入（RLO）- nut security」。Unicodeの制御文字の中に、文字の並びをright-to-left文字（右から読む文字）に強制的に変更するRLOという制御文字があるようなのですが、それを使うとファイル名の偽装ができてしまうようです。アイコン偽装までされると見た目には判別できなさそうで怖いですね。ファイルは安易にダブルクリックしないのが吉なのかも。

調べてみたところ、「Unicodeで拡張子を偽装された実行ファイルの防御方法」という記事を見つけ、どうやらWindowsのセキュリティポリシーに、RLOを含む文字を実行しないという規則を追加することで、回避できるようです。件のページから引用＋追記すると以下のとおりでできました。

1. メモ帳を開き"**"と入力。
2. "*"と"*"の間にカーソルを合わせ右クリック、「Unicode制御文字の挿入」から「RLO Start of right-to-left override」を選択する。
3. Ctrl-A（Ctrlを押しながらAを押す）で全てを選択し、Ctrl-Cでクリップボードにコピーする。（マウスで選択してコピーしてもできるかも）
4. 「コントロールパネル」（スタートメニューから設定を選択する）から「管理ツール」を開き「ローカルセキュリティポリシー」を開く。
5. 初めてポリシーを作る場合は「ソフトウェア制限のポリシー」から「新しいポリシーの作成」を選択する。
6. 「ソフトウェア制限のポリシー」から「追加の規則」を選択し、右クリック、「新しいパスの規則」を選択する。
7. 「パス」欄でCtrl-Vをしてメモ帳に入力した内容を貼り付ける。（マウスで選択した場合は貼り付けを選択すればできるかと）
8. 「適用」を押す。ただし、セキュリティレベルが「許可しない」となってることを確認しておく。

いずれの記事も結構最近の記事なんですが、原理的にはかなり昔からできた方法だろうなあという気もしていて、どれくらい昔から使われていた手法なんでしょうかね？ちなみにUnicode関係の話としては上の解決法を書いておられる方の資料「それ Unicode で」も結構面白い内容でしたので是非一読あれ。

コメントを投稿