RLO拡張子偽装コワイ・・・ので対策メモ。

ファイル名の拡張子を偽造する技として、RLO拡張子偽装というものがあるらしい

Unicodeの制御コードであるRLO(Right-to-Left Override)を利用することで、簡単に右から左へ流れる文字を作ることが出来、これを使って見た目の拡張子を偽造するそうです。

(RLOはアラビア語など右から左に向けて記述する言語のためのUnicode制御文字)

正直、ぱっと見ただけでは、txtファイルに見えます。

rlo

が、よくよく見ればアイコンがおかしいのと、種類がVBScriptとなっているのでおかしいと気づきますが、コレがexeであればアイコンも変えられてしまう可能性があるので余計わかりにくくなります。

上記ファイルは実際には以下のようなファイル名です。

実際上記ファイルをダブルクリックすれば、VBSファイルとしてスクリプトが実行されてしまいます。

 

対策としては、
ファイル名にUnicodeの制御文字RLOが含まれている場合には、ファイルの実行を禁止してしまうセキュリティポリシーを追加する方法があるとのこと

  • ローカルセキュリティポリシーを起動。
  • 「ソフトウェア制限のポリシー」から「新しいポリシーの作成」を選択。
  • 「追加の規則」を選択し右クリックして、右クリックのメニューより「新しいパスの規則」を選択。
  • 「パス」欄に「**」(アスタリスクを2つ)と入力して、「*」と「*」の間にカーソルを合わせ右クリックし、「Unicode制御文字の挿入」→「RLO Start of right-to-left override」を選択します。また、セキュリティレベルが「許可しない」であることをを確認して「OK」ボタンをクリック。

これで、ファイル名にRLOが含まれている場合は、以下のようなメッセージが表示されて実行されなくなります。

RLOブロック

 

ただ、Windows 7 homeやWindows 7 Home Premium等では、セキュリティ ポリシーの機能がないので、この対策はでは対応出来ません。その場合は直接レジストリをいじる必要がありそうです

Windows Home等での レジストリを使用した抑制方法は以下で出来るそうですが未確認

  • レジストリエディタを起動し、
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
    の中にDWORD値、「DisallowRun」を作成。 右クリックして「修正」を選び、作成した「DisallowRun」の値のデータを「1」に設定。
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer の中にキー「DisallowRun」を作成。
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun
    の中に文字列で 文字列の値に抑制したいファイル名を記述(例:*[RLO]*)します。
    (この[RLO]は右クリックし、「Unicode制御文字の挿入」→「RLO Start of right-to-left override」)
    (間違って[**])とかで登録しちゃうと大変なことになるのでご注意を。

 

RLOによる拡張子偽装は知っていれば気づけるかもしれませんが、知らなければ引っかかる人もいると思いますので、念のため対策はしておきましょう。

Twitter まとめ 2014-05-21

  • 「txtファイルかと思ったら・・・」というお話。 RT
    RLO拡張子偽装コワイ・・・ので対策メモ。 http://t.co/Cl8Wg2isrQ 11:38:56, 2014-05-21
  • @qryuu SUSE Linuxなら標準でHyper-V用モジュール入っているし、MSとも提携しているので現実味はあるかも。 in reply to qryuu 13:58:43, 2014-05-21
  • @qryuu vSphere Standard以上のライセンス持っていれば、ESX上のゲストOSとして追加費用なしでSUSE Linux Enterprise Server使えますしね。気前が良すぎます。 in reply to qryuu 20:41:16, 2014-05-21

今日の艦これ(5/17-18)

いつものように通常海域を引き続き攻略

4-3

重巡x2、空母x2、軽巡x1、戦艦x1で攻略

意外とあっさり言った印象。

4-3クリア

 

4-4 カスガダマ沖海戦

駆逐x2、重巡x1、空母x1、戦艦x2 で攻略

駆逐には対潜水艦装備。

駆逐x2、重巡x1でルート固定で1/3の確率でボスらしいのだが、
攻略までの5戦ですべてボスに行ったのが謎。

4-4-Clear

 

ほかにも、遠征で、20時間オーバーなものを順次攻略中。

80時間って本気か・・・とおもいつつ、ちょぼちょぼちゃってます。

通商破壊作戦      40時間
敵母港空襲作戦    80時間
潜水艦通商破壊作戦 20時間
潜水艦哨戒任務     2時間

ただ、潜水艦が3種類しかいないので、途中で行きづまるのは確実。

早くはっちゃんがほしいです。