Unicodeの制御文字を使いファイル名偽装、ウイルス「RLTrap」検出報告5万件

　独立行政法人情報処理推進機構（IPA）は4日、「RLTrap」というウイルスの検出報告が9月に約5万件寄せられたと発表した。同ウイルスで使われているファイル名を偽装する手口を紹介し、注意を呼び掛けている。

　ファイルの拡張子を偽装して実行ファイルではないように見せかけるなど、ファイル名を偽装する手口は以前から存在しており、IPAによれば2006年ごろにはすでに確認されていたという。

　今回、大量に検出報告があったRLTrapでは、Unicodeの制御文字である「RLO（Right-to-Left Override）」を使うことでファイル名を偽装する。制御文字とは、文字コードで定義される文字だが、画面には表示されず、プリンターや通信装置などを制御するために用いられる。RLOは、文字の並びを右から左に変更するためのもので、アラビア語などを使う際に用いられる。

　例えば、「ABCDEF.doc」というファイル名の先頭にRLOを挿入すると、拡張子を含めた文字の並びが逆になり、「cod.FEDCBA」と表示される。

RLOの使用例（IPAの発表資料より）

　RLTrapでは、拡張子が「.exe」の実行ファイルを、拡張子「.pdf」に見せるためにRLOを使っていたという。IPAが確認したウイルスメールでは、ZIP形式で圧縮された添付ファイルを解凍すると、ファイル名の最後が「～Collexe.pdf」というファイル名が現れる。しかしこれはRLOによって文字列の一部が右から左に表示されているもので、実際は「～Collfdp.exe」という実行ファイルとなっている。

　なお、解凍ソフトによっては、攻撃者の意図通りに、該当部分が逆に表示されない場合もあるという。

ウイルスメールの添付ファイルのファイル名表示例（IPAの発表資料より）

　IPAがRLTrapを解析したところでは、Windows 7環境でのみ動作し、感染するとロシアのウェブサイトと通信を試みることがわかったが、解析した時点でそのサイトはすでに存在していなかったという。通信が行われた場合は、別のウイルスをダウンロードして感染させる可能性があるとしている。

　IPAではウイルス感染を防ぐための基本対策として、ウイルス対策を導入し、定義ファイルを最新に保つこと、OSやアプリケーションをアップデートして最新状態に保ち、脆弱性を解消しておくことをあらためて呼び掛けているほか、今回のRLOを悪用するウイルスへの対策方法も紹介している。

　これは、Windowsの「ローカルセキュリティポリシー」で、RLOの実行を制限するポリシーを追加するというものだ。RLOによってファイル名が偽装されたファイルをクリックすると、プログラムをブロックしたとの警告メッセージが表示される。ただし、文字を右から左に表示する言語を扱うPCでは適用できない。