制御文字を利用しファイル名を偽装する「RLTrap」(IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.22(水)

制御文字を利用しファイル名を偽装する「RLTrap」(IPA)

脆弱性と脅威 脅威動向

 情報処理推進機構(IPA)は4日、2011年10月のコンピュータウイルス・不正アクセスの届出状況、および「今月の呼びかけ」を取りまとめた文書を公開した。

 それによると、10月のウイルスの検出数は2万409個で、9月の2万1291個から4.1%減少。10月の届出件数は795件で、9月の906件から12.3%の減少となった。検出数1位はW32/Netskyで11079個 、2位がW32/MyDoomで7227個、3位がW32/Autorunで439個となった。なお、RLTRAPは、10月後半に1日だけ多く検知された日があった。

 不正アクセス届出は15件であり、そのうち何らかの被害のあったものは8件。10月のウイルス・不正アクセス関連相談総件数は1496件。そのうち『ワンクリック不正請求』に関する相談が419件(9月:477件)となった。その他は、『偽セキュリティ対策ソフト』に関する相談が7件(9月:2件)、Winnyに関連する相談が12件(9月:19件)などとなった。

 またIPAでは今月の呼びかけ「ファイル名に細工を施されたウイルスに注意!」として、9月に大量検出(約5万件)された「RLTrap」に注意するよう呼びかけている。このウイルスでは、Unicodeの制御文字「RLO(Right-to-Left Override)」を利用してファイル名の拡張子を偽装し、危険なファイルを安全な別の種類のファイルだと思わせる細工が施されている。

 「RLO」は、ファイル名の文字の並びを[左→右]から、[右→左]に変更できる制御文字で、右から左に読ませる言語(アラビア語など)を使用する際に本来用いられている。これをファイル名に混ぜると、たとえば、「ABCDEF.doc」というファイルの見た目が「cod.FEDCBA」に変化する。たとえば「fdp.virus.exe」というウイルスファイルであれば、見た目だけを「exe.suriv.pdf」など、一見PDFファイルのように見せかけることが可能となる。IPAが解析した結果、このウイルスはWindows 7環境でのみ動作し、感染するとロシアのあるウェブサイトと通信を行おうとするとのこと。ただし、解析を行った時点では当該サイトは存在しておらず、通信は行われなかったとのこと。通信が行われた場合、別のウイルスをダウンロードして感染させる可能性がある。

 IPAでは、ローカルセキュリティポリシーにてRLOの挿入を禁止する対策方法を詳細に解説している。

制御文字を利用しファイル名を偽装する「RLTrap」……10月のウイルス・不正アクセス状況[IPA]

《冨岡晶@RBBTODAY》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Microsoft Windows OS において DLL Hijacking により UAC を回避する手法(Scan Tech Report)

    Microsoft Windows OS において DLL Hijacking により UAC を回避する手法(Scan Tech Report)

  2. ランサムウェア「Bad Rabbit」感染に注意喚起、水飲み場攻撃を実行か(IPA)

    ランサムウェア「Bad Rabbit」感染に注意喚起、水飲み場攻撃を実行か(IPA)

  3. 「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN)

    「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN)

  4. Savitech製USBオーディオドライバに、ルートCA証明書を導入される脆弱性(JVN)

  5. GNU wget に HTTP プロトコルのハンドリングにおける値検証不備に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

  6. アップルがSafari、macOS、iOSなどのアップデートを公開、適用を呼びかけ(JVN)

  7. トレンドマイクロの管理マネージャに複数の脆弱性(JVN)

  8. 2017年第3四半期はダウンローダーの検出が急増、前四半期の約31倍に(IPA)

  9. 「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

  10. Apple IDの不正使用があったとし、セキュリティ質問再設定のリンクに誘導(フィッシング対策協議会)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×