RLO拡張子偽装に注意

Discordのユーザーが次々にアカウントを乗っ取られているらしい。
フレンドからの通知でリンクをクリックしたり、exeを実行したっぽい。

私はDiscordはアカウントは持ってるけど、常用はしてないし、フレンドもいないから無縁だったとは言え、将来的に私も引っかかるかもという手法だった。
フレンドの添付ファイルだからと信用してたのもあるだろうけど、exeを実行させる手口は、どうもRLO拡張子偽装という手法らしい。

RLO拡張子偽装とは、ファイルネームの途中にUnicode制御文字を入れて、以降の文字を左右反転させる事。
例えばreadmetxt.exeというファイルネームに制御文字を入れて、readmeexe.txtに反転させると、一見ただの.txtファイルに見えてしまう。
実態は.exeなので、ただのテキストと思い込んでこのファイルを起動すると.exeが実行されてしまう。
この制御文字挿入はWindowsの標準機能で、ファイルネームの任意の場所で右クリック→Unicode制御文字の挿入→RLOを選ぶと簡単に偽装できる。
ファイルネームをよく見ておかないと、うっかり実行してしまいそう。

RLO拡張子偽装の対策は、グループポリシーエディタでUnicode制御文字があるファイルは実行不可設定にすればいいみたい。

左下のウィンドウズアイコン→Windows管理ツール→ローカルセキュリティポリシーを開く。
セキュリティの設定→ソフトウェアの制限のポリシーを右クリック「新しい制限ポリシーの追加」。
追加の規則を右クリック「新しいパスの規則」。
パス欄に「**」を入れる。
**の間にカーソルを移動し、右クリックでUnicode制御文字の挿入→RLOを選択。
セキュリティレベルを「許可しない」にする。
後はOKをクリックする。

RLO(Right-to-Left Override)| RLO 拡張子偽装より。

これでRLO制御文字が含まれるファイルの場合には、そのファイルが実行できなくなる。

にほんブログ村 ゲームブログ ゲーム攻略・裏技へ
にほんブログ村


このエントリーをはてなブックマークに追加

管理人へのお問い合わせ

このページの先頭へ