制御文字「RLO」を用い「.doc」などに拡張子を偽装するマルウェアが再び出回る

フィンランドのセキュリティ対策企業エフセキュア社は、ブログの中で、ファイルの拡張子やアイコンを偽装することでWord文書に見せかけるウィルスが確認されたとして注意を呼びかけている。記事によると、このマルウェアは、ファイル名にUnicode制御記号の一つであるRLO(Right-to-Left Override)を挿入することで拡張子を偽装している。

RLOは、通常、左から右に流れるテキストの流れを、強制的に右から左へ変更するための制御記号だ。Windowsではファイル名にUnicodeが使われている。このファイル名にRLOを挿入することにより、本当の拡張子は「.exe」（マルウェアの実行ファイル）であるにもかかわらず、「.doc」などのWord文書であるかのように見せかけることが可能となる。このように、RLOを悪用し、不正プログラムの正体を偽装し、別の有用な文書ファイルであるかのように見せかける手法は以前から確認されているが、最近、再び出回っているという。

差出人や件名に覚えのない不審なメールは開封せずに削除するといった基本的な対応が求められるが、思わず添付ファイルを開きたくなるように文面や送信者名を"カスタマイズ"したメールを送り付けることで、ウィルスに感染させようとするような巧妙な手口も出回っており、一般ユーザーが、ファイル名やファイルの外見から、そのファイルが安全かどうかを見分けることは非常に困難になってきている。

メールの取扱いには慎重を期したい。

・(英文)エフセキュアの情報(edocinU edirrevO tfeL ot thgiR gnisU erawlaM)
・実行形式ファイルなのに「.doc」、拡張子を偽装するウイルスに注意：ニュース(PCオンライン)
・RLO(Right-to-Left Override)とは(セキュリティ用語解説)
・日本語でも危険！アラビア語ファイル名を利用した攻撃とは？(ASCII.jp)