« Intel、Penrynベンチマーク結果を公開 | Main | Google Mapsで「from: ベルリン to: ニューヨーク」をルート検索 »

2007.04.20

Unicode制御文字で拡張子をごまかす

ITproに「Winnyネットワークはやっぱり真っ黒,NTTコミュニケーションズの小山氏に聞く」という記事が載っています。
Winny自体の問題よりも、Winnyのネットワークでマルウェアが大量に流れていることを懸念しているというのが主題ですが、このなかで注目したいのはUnicode制御文字「RLO」を使った拡張子偽装ですね。

Unicodeの主題として「世界のすべての言語を一つのコード体系で表す」というのがあり、アラビア語のように右から左へ横書きする文字への対応も含まれています。
その中の一つに「RLO(=Right-To-Left OVERRIDE)」という制御文字があり、これを使うと、文字の方向が逆方向になるため、一番右端にある文字が拡張子ではない、という現象が発生します。

例えば、「1.exe」というファイル名の一番最初にRLOを挿入すると、表示上は「exe.1」となってしまい、ぱっと見の拡張子が「.1」と言う風に勘違いしてしまいます。
Windowsでは、Windows ExplorerからUnicode制御文字を簡単に入力できますから、「だれでも、簡単に」拡張子の偽装が行えることになります。
対策としては、グループポリシーエディタを使ってRLOを拒否する方法があるようです。

WinnyのネットワークではRLOを使った拡張子偽装も多数見受けられる上、ウィルス対策ソフトが検知できるマルウェアも半分と、非常に危険な状態のようです。
少なくとも「誰もが簡単にひっかかり、上級者もかなり危険」な状態と考えて良さそうですね。

今日の夕飯:コンビニ(笑)
ファミマでチャーシューマンとうなぎおにぎりでした(笑)

|

« Intel、Penrynベンチマーク結果を公開 | Main | Google Mapsで「from: ベルリン to: ニューヨーク」をルート検索 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27186/14781311

Listed below are links to weblogs that reference Unicode制御文字で拡張子をごまかす:

« Intel、Penrynベンチマーク結果を公開 | Main | Google Mapsで「from: ベルリン to: ニューヨーク」をルート検索 »