2015年7月30日木曜日

偽装ファイル名に注意。 一見怪しくないファイル、実は…

こんにちは。近藤です。



メールの添付ファイルをクリックして情報漏えいというニュース、定期的に出てきます。
怪しい宛先からのメールを安易にクリックしないことは絶対ですが、怪しいファイルもクリックしてはいけません。

さて、この「怪しいファイル」、どのようなファイルを思い浮かべるでしょうか?
例えば…

  • プログラムなどが起動するファイル
    →exe, com, bat, cmd, scr, vbs, ps1, js, wsh…など
  • マクロが組み込めるファイル
    →doc, docm, xls, xlsm, ppt, pdf…など
  • 空白をたくさん入れ、本来の拡張子が見えないようにしているファイル
    →「hoge.txt                              .exe」のような

それ以外に、最近賑わしている偽装方法が下記のものです。


上記スクリーンショットの左側にある「hogeexe.txt」ファイル、拡張子がtxtなのでテキストファイルかと思いきや、隣にあるテキストファイル(新しいテキストドキュメント.txt)のアイコンと異なっています。テキストファイル、しかも拡張子が一緒なのに、アイコンが違うのはおかしいですね。

エクスプローラの表示を変えてみると、


おや、「hogeexe.txt」は「アプリケーション」だと言っています。

そこで、この怪しい「hogeexe.txt」ファイルのプロパティを開いてみます。

タイトルバーの表示がおかしいですね。

どういうことかというと、
最近のアプリケーションは、Unicode系を表示できるようになっています。
世界の言語には、右から左に文字を書くものもあります。
そのあたりを同居できるように、Unicode系には文字の並び方向を指定する制御文字があります。
で、その制御文字をファイル名に適用すると、このようなことになります。



なので、Unicodeに対応したアプリケーションで、このようなファイル名を表示すると、もともとの拡張子をわからなくすることができる、というわけです。
例えば、某メールソフトで、先ほどのファイルを添付してみると…

…これはわかりませんね。
同様に、デスクトップに置いた場合も、本当のファイル名が何であるか確認できないので、キケンです。
なお、某クラウドメールサービスでは、添付ファイルの拡張子で拒否しているため、新規メール作成時に添付したり、そのような添付ファイルの受信ができなかったりすることを確認しています。


なお、この「文字を右から左にする」という制御コードはUnicode文字なので、このような表示になるのはUnicode系のアプリケーションだけです。なので、(Shift-JISで扱っている)コマンドプロンプトで表示すると

制御コードの効果が無い状態のファイル名が表示されます(1文字空いているように見えるところに、「右から左へ表示する」という制御コードが含まれています)。
テキストファイルに見えていたファイルは、実はexeファイルだった、というわけです。

ということで、今回は
「拡張子は正しく見えても、怪しいファイルがあるので気をつけましょう」
という話でした。


0 件のコメント:

コメントを投稿