"最近,ファイルを偽装する手法として,Unicodeの「RLO(Right to Left Override)」という制御文字を悪用する手法が広まっています。ご存じですか?
Unicodeは、全世界対応を謳っているので、アラビア語のように右から左に文字を読む言語に対応するために,文字の流れる順番を,英語圏の「左から右」ではなく「右から左」に変える「RLO」という制御文字が備わっています。Windows2000/xpではファイル名にUnicodeを使っていますから,RLOは当然使用できます。
ファイル名を変更するときに、右クリックから”unicode制御文字の挿入”→"RLO”を選べば、ファイル名の文字が流れる順序をひっくり返してしまえます。つまり,ファイル名の最後に「.exe」という文字が表示されていなくても,本当の拡張子が「.exe」であるファイルを作れるのです。
「てすと.exe」というファイル名を「exe.てすと」にしてしまえるのです。
悪質な例をあげれば、「exe.てすと.mp3」というファイルはmp3ファイルなどではなく、「3pm.とすて」という.exeファイルであるかもしれないのです。
これは特に「winny」などのP2Pソフトの中で横行しています。
「winny」では、「名前+拡張子」で検索をかける人が多いからです。
浜崎あゆみの曲が欲しければ「浜崎 mp3」で検索し、片っ端から落としておく、という使い方をします。そのため拡張子が偽装されると簡単に感染してしまうのです。
http://resalejp.com/
この「RLO」は流行っていると冒頭で言いましたが、技術者でさえもこのような偽装方法を知っている人はまだ少ないです。winnyによる情報漏えいが無くならない原因のひとつといえます。
アーティクルリソース:http://articlejapan.com/
|
