拡張子をだますテクニック

Malwarebytesは9月30日(米国時間)、「Lesser Known Tricks Of Spoofing Extensions｜Malwarebytes Labs」において、マルウェアの感染には拡張子やアイコンを詐称するテクニックが使われるが、そうしたテクニックの中でもあまり知られていない2つの方法を紹介した。偽の拡張子を見せることはそれほど難しくないため、ユーザーはそうしたことが簡単に実現できること、表示されている拡張子が本物とは限らないことなどを認識しておくことが望まれる。

攻撃者は自前でアイコンデータを用意することで本来想定されているものとは違うアイコンデータを表示できるほか、Windowsがデフォルトで拡張子を表示しないという設定を利用して「.pdf.exe」や「.doc.exe」など拡張子を2つ続けることで、一見すると「.pdf」や「.doc」にしか見えなくさせることができる。また、「.scr」のようにユーザーが知らなそうな拡張子を用いることでファイルの実行に結び付ける方法もあるという。

記事ではこうしたテクニックに加え、次の2つのテクニックを紹介している。

• PIF拡張子を利用: ショートカットファイルを意味する.pifは、Windowsの設定を変更して拡張子を表示するようにしておいても拡張子が表示されない。この機能を利用してユーザーにファイルを実行するように誘導する
• ユニコードRTLOを利用: ユニコードには文字の書く方向を反転させるRIGHT-TO-LEFT OVERRIDE(U+202E)というコードがある。このコードを利用すると本来拡張子ではない文字列を拡張子のように表示させることができる

添付ファイルが実行形式のファイルになっていればダブルクリックを実行することを警戒するが、例えば、拡張子が.txtになっているなど一見すると害がないように見える場合はダブルクリックしてしまう可能性が高くなる。表示されている拡張子は必ずしも見たままとは限らないことを認識するとともに、複数の状況を加味して判断することが望まれる。