RLO 対策していますか? 32
ストーリー by reo
どっこい生きてる 部門より
どっこい生きてる 部門より
ある Anonymous Coward 曰く、
RLO (Unicode の制御文字 U+202E) はアラビア語など右から左に向けて記述する言語のための制御文字であるが、これを利用した拡張子偽装方法がまた広まっているようだ (IPA の記事) 。
この方法は、2007 年に /.J 記事でも取り上げられていたように新しいものではない。当時は P2P ネットワークと絡めて記事になったが、より一般的なインターネット利用においても出くわす可能性がある。IPA の記事ではメールに添付された zip アーカイブ内に PDF ファイルに偽装された実行形式ファイルがあったことが報告されている。対策としてアンチウィルスのアップデートのほか、セキュリティポリシーを利用してファイル名に RLO が入ったファイルに実行許可を与えない方法などが紹介されている。
みなさんは、RLO 対策は万全でしょうか。そして Home Edition の Windows にはセキュリティポリシーがないんですけど、どうしましょう? > IPA 様
既に (スコア:5, 参考になる)
/. の chuukai さんの日記に Home Edition での対策が書かれていますが...
XP,Vista,7のHOME Editionにsecpol.mscがないから [srad.jp]
Re:既に (スコア:1)
Win 7 64bit Homeでレジストリいじったんですけど
RLO入り実行ファイル(NotePadの名前変更)が立ちあがっちゃうんです><
#XPとVista(32bit) Home, 7 (64bit) Proは同じレジストリキーで立ち上がらなくなったんですけど…
この症状、他にいません?
Re: (スコア:0)
設定後リブートしたの?
Re: (スコア:0)
>#XPとVista(32bit) Home, 7 (64bit) Proは同じレジストリキーで立ち上がらなくなったんですけど…
とあるように、これらどうよう Win 7 64bit Homeも設定後リブートして確認してます。
Re: (スコア:0)
"{7da202f3-f4f2-4657-9d13-edec43179b00}"の箇所を"{acf18f96-d855-425c-8a14-701bca41bd3d}"にしてみてください。
Re: (スコア:0)
コメどうもです。やぱりだめす。このキー、どこかおかしいですかね?
#うまく動かないキーなので誰も導入すな!!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\"{acf18f96-d855-425c-8a14-701bca41bd3d}]
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="**"
Re:既に (スコア:1)
7 (64bit) Proをお持ちなら、secpol.mscがあるはずなので、それでIPAの手順どおり設定してレジストリエディッタで該当部分を見て何とかなればいいですね。
それと、キーの名称の「\"{」のところにダブルクオーテーションが入っていました?
参考までにこちらでエクスポートしたものを置いておきます(多分制御文字のところはそのまま表示されることはないはずですが)。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{7da202f3-f4f2-4657-9d13-edec43179b00}]
"SaferFlags"=dword:00000000
"ItemData"="**"
対策はしていなかったが (スコア:2)
さっき確認したところ、だいなファイラー [vector.co.jp]は「拡張子を分離して表示」を有効にしている限り正しく表示してくれる。
ファイルオペレーションはこれを通して行う癖がついているので、知らないうちに回避していたことがあったかもしれない。
ファイル名だけでなく (スコア:2)
HTMLフォームの検証でもRLOなどの制御コードチェックをちゃんとできているところは少ないです。
ほとんどのプログラミング言語でTrim()関数は制御コードを空白と見なさないので、
メモ帳で制御コードを入力してコピペすれば空白を認めないという条件を簡単にすり抜けられます。
(例えば実名必須のサイトで、First Nameにハンドル名を入れて、Last NameをUnicode制御文字にすれば、
実名=ハンドル名で登録できます。RLO LROがオススメ。)
Windows Liveは名前に制御文字入れても通りましたが、
Google+では「不正な文字使うな」と弾かれました。
レジストリ使えばいいんじゃねぇの? (スコア:1)
ポリシーって最終的にレジストリの値が変更されてたと思ったけど。
Re: (スコア:0)
そのポリシーで出来ること、レジストリだけじゃ出来ないことを、
まずはまとめてみましょう。
レジストリだけで管理できる!って思うなら、それでもいいけど。
無い (スコア:1)
Re: (スコア:0)
そりゃ、そうだ。
home proなんて無いからね。
Re:無い (スコア:1)
homeのpro・・・自宅警備員のことか!
聞かれなかったっけ? (スコア:1)
XPのSP2だか3だか以降なら、ダウンロードしてきたor添付されたexeファイルを実行するとき、確認メッセージが出たと思うのだけど。
拡張子が.exeに見えないのにそれ聞かれたときは「実行しない」を選択したらいいんじゃないの?
1を聞いて0を知れ!
Re: (スコア:0)
確実に「実行しない」を選択する自信が私にはないです。
同じメッセージを繰り返し見ると良く確認しないでボタンを押すようになりませんか?
私はrm -i で確認しながらファイル削除してたつもりが、いつしか無条件に'y'を入力するようになりました。
Re: (スコア:0)
今回のケースでは、メールに添付されてきたのはzipファイルです。
中身が偽装exeファイルで、こういう場合は確認メッセージが出ないことがあります。
そんな凝ったことをしなくても… (スコア:1)
「自己展開.ex_」などというファイルを添付して、「.ex_ を .exe に直してから、実行してください」と親切な説明つきのメールが、取引先から届くことも珍しくないご時世ですし。
送信元に見覚えがあれば、素直に従う人も多いのでは。
Re: (スコア:0)
どこぞの会社が発表したPDFモドキも含め、よくない風潮だと思うんですけどね。
# 発表直後は「ビューアソフトいらず」などと書いてあったけど案の定・・・
Re: (スコア:0)
日経辺りでオジサン向けに三菱重工問題辺りとセットで
「.ex_ を .exe に直してから、実行してください というような手口で感染」
とかって問題視すればこういうDQN丸出しなことをして平気な
オッサンを駆逐できるんじゃないかなー
# それで直るくらいならとっくに直ってるか… orz
人の手で感染 (スコア:0)
添付ファイルなんて人の手で感染させてるんだからこれくらいのメール、気をつければzipを開くこともない
セキュリティ系ソフトも怠けてるのか?
Re: (スコア:0)
先日の衆院議員ウイルス感染の件が参考になると思います。
・実際に送信されたメールを改変したものなので、
メール文章に不審な点はない。
・差出人は実在する記者さんのアドレスに偽装。
あなたはどんな理由で、このメールに添付された
zipファイルを開かないと決めるのでしょうか?
これにまだ世に出回っていない新作のウィルスが、
暗号化zipで添付されていたと仮定します。
で、中身はRLOで拡張子偽装した一見pdf。
あなたはこれでも感染しない自信がありますか?
セキュリティ意識が高くない一般ユーザはどうでしょう?
一度真剣に考えてみることをお勧めします。
Re: (スコア:0)
セキュリティ意識が高くない一般ユーザがといっても衆院議員でも感染したのは気をつけていない一部でしょう
zipファイルを開いても感染しません。中のファイルを実行して感染するものです。
メールアドレスの偽装は他に防ぐ手段が複数ありますので検討してみてはどうでしょう。
初心者すぎれば拡張子表示の設定など変えていないところに妙な拡張子が表示されればわかりそうなもんですけどね。
Explorerには名前の他に種類という表示もあります。
Windows Vista以降か何かなら実行前に警告も表示されます。
何も考えていない人を救う時期でももうないでしょうね…。
セキュリティソフトはここで何の役にも立ってないので関係なし。
真剣に考えてもRLO対策も念のためにしたいならすればいいし、セキュリティ意識が高くない一般ユーザはそんなことしないので何の解決もしない。
対策ってわけでもないけど (スコア:0)
・詳細表示で拡張子カラムがあるファイラを使う
・よく偽装に使われる拡張子についてはアイコンを変更しておく
「アプリケーション」より「exe」のほうが場所取らないし、
ソートするときもどれが先に来るか分かりやすいので普段から便利。
アイコン変更はサムネイル機能が使えなくなるので一長一短かな。
でも標準のソフト以外に関連づけてると意識しなくても勝手にアイコン変わるよね。
どっちみち普段から詳細表示なのでサムネイル機能はまったく活用してないけど。
6年も前に既出 (スコア:0)
https://twitter.com/hasegawayosuke/status/133360117381996545 [twitter.com]
https://twitter.com/hasegawayosuke/status/133363727293616129 [twitter.com]
UPnPが認証も何もしていなくて、LANの中からは攻撃し放題ってネタも、Flashによる攻撃が現実のものとなって話題になる何年も前からスラドに書かれてたなあ。
一瞬 (スコア:0)
reo対策に見えた…
うっかり (スコア:0)
セキュリティポリシーでRLOを挟めてない**を不許可にしませんように…。
とドキドキしながら設定したのは自分だけじゃないと思いたい。
右クリックで簡単偽装 (スコア:0)
右クリックでunicode制御文字簡単にいれられるの初めて知った。
偽装簡単すぎ・・・。
exe → exe
cmd → dmc
bat → tab
cmdやbatのほうが怖いけど。アイコンが偽装できないか。
長いファイル名.exe (スコア:0)
そもそも、デフォルト設定では「拡張子は表示しない」になっているような気がするけど、
winnyの話題のときにファイル名がすごく長いexe
「新商品のご案内.pdf .exe」
みたいなのもありましたよね。
RLOだけでなく、こっちの対策も必要なのでは?
そういう意味では、RLOのポリシー以外にも
・zoneidを付加しないアーカイバ・メーラー・ブラウザ等を利用しない
・解凍先フォルダをインターネットゾーンなどにする
(win7ではほかのマシンの共有フォルダは実行時に警告がでるらしい)
などの対策もすると感染しにくくなると思う。
#zoneidを付加してくれるOS標準以外のアーカイバをよく知らないのでAC
Re: (スコア:0)
いくらかのスペースの連続でフックすればいけますね。
ファイル名に全角スペースなど無駄のきわみなので、全角スペースは1個でもあると開けなくしてあります。
たまにマヌケな名前をつけたファイルでひっかかりますけど。
いや、世の中には全角半角の区別がない人が大勢いることもわかっていますが…。
「セキュリティ対策として拡張子を表示するように設定を変更すべし」 (スコア:0)
というアドバイス(記事の問題ではなくてセキュリティの常識として)をちょくちょく見かけたりしたけれど、
ファイルの種類を目視確認するという点では、アイコンで見分けるのと同次元だよね。
だから、ファイル名の見かけを変える小細工に引っかかる。
「詳細表示にして『種類』を確認しろ」と言うのが正解でいいのかな?