図1 「RLTrap」ウイルスの表示例(IPAの情報から引用)
図1 「RLTrap」ウイルスの表示例(IPAの情報から引用)
[画像のクリックで拡大表示]
図2 RLO悪用対策の設定変更をしたパソコンで、ファイル名にRLOが含まれるファイルを実行した場合に表示される警告メッセージ例(IPAの情報から引用)
図2 RLO悪用対策の設定変更をしたパソコンで、ファイル名にRLOが含まれるファイルを実行した場合に表示される警告メッセージ例(IPAの情報から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)は2011年11月4日、拡張子を偽装するウイルス(悪質なプログラム)が多数報告されているとして注意を呼びかけた。ファイル名に細工を施すことで、実行形式ファイル(拡張子は.exe)のウイルスを、PDFファイル(.pdf)に見せかける。

 今回、IPAが注意を呼びかけたのは「RLTrap」と呼ばれるウイルス。2011年9月中には、同ウイルスの検出報告が、およそ5万件寄せられたという。

 RLTrapの特徴は、ファイル名にユニコード(Unicode)の制御文字「RLO(Right-to-Left Override)」を挿入することでユーザーをだまそうとすること。

 RLOとは、文字の流れを右から左に変更する制御文字。ファイル名の中にこの制御文字(文字コードは[U+202e])を挿入すると、本当の拡張子が「.exe」であっても、画面上は「.pdf」に見せかけることができる。

 例えば、実際のウイルスファイル名が「HP_SCAN_FORM_N90952011___Coll[RLO]fdp.exe」だった場合、画面上は「HP_SCAN_FORM_N90952011___Collexe.pdf」と表示される(図1)。アイコンもPDFファイルのアイコンに偽装しているため、だまされる危険性が高い。

 今回のウイルスは、ZIP形式で圧縮されてメールで送られる。IPAが確認した例では、「HP_Scan_09.17_DOFF7967.zip」というファイルがメールに添付されて送られてきたという。このファイルを展開すると、前述の、PDFファイルに見せかけたウイルスが生成される。

 今回のようなウイルスにだまされないためには、「ウイルス対策ソフトの利用」や「ソフトウエアの脆弱性解消」といった基本的な対策に加えて、Windowsの設定変更が有効だという。「ローカルセキュリティポリシー」の機能を使用して、ファイル名にRLOが含まれるファイルの実行を制限する(図2)。設定の具体的な手順は、IPAのWebサイトに記載されている。

 ファイルの種類を確認することでも偽装を見抜ける。ファイル名やアイコンをいくら偽装していても、実行形式ファイルのファイル種類は「アプリケーション」と表示される。