問題文
RLO(Right-to-Left Override)を利用した手口はどれか。
ア マルウェアに感染しているといった偽の警告を出して利用者を脅し,マルウェア対策ソフトの購入などを迫る。
イ 脆弱性があるホストやシステムをあえて公開し,攻撃の内容を観察する。
ウ ネットワーク機器の設定を不正に変更して,MIB情報のうち監視項目の値の変化を検知したときセキュリティに関するイベントをSNMPマネージャ宛てに通知させる。
エ 文字の表示順を変える制御文字を利用し,ファイル名の拡張子を偽装する。
解説
エ
この問題は RLO (Right-to-Left Override) という特殊な制御文字を利用した攻撃手法に関する出題です。
RLOとは
RLO(Right-to-Left Override)は、Unicodeで用意されている文字表示制御機能の1つです。
これを使うと、文字列の表示順序を右から左に切り替えることができます。
本来はアラビア語やヘブライ語のような右から左に書く言語のために用意された仕組みですが、攻撃者はこの機能を悪用します。
攻撃手口の概要
攻撃者はRLOを使い、ファイル名の拡張子を偽装します。
例えば、実際は「malwareexe.doc」というマルウェア実行ファイルがあった場合、RLOを挿入するとユーザーには「doc.exe」ではなく「exe.doc」と表示され、まるで無害なWord文書のように見えてしまうことがあります。
この手法は利用者の目を欺き、マルウェアを不用意に開かせるために使われます。
ア:偽の警告を出してマルウェア対策ソフト購入を迫る
これは「スケアウェア(Scareware)」と呼ばれる手口の説明です。
ユーザーに「ウイルスに感染しています」「今すぐ購入しないと危険です」といった偽の警告を表示して不安を煽り、不要なソフトの購入や金銭を要求します。
RLOのような文字列操作ではなく、心理的に利用者を騙すソーシャルエンジニアリング系の手法です。
イ:脆弱性を持つシステムを公開して攻撃を観察する
これは「ハニーポット(Honeypot)」の説明です。
意図的に脆弱なシステムを公開して攻撃者を誘い込み、その攻撃手法や挙動を観察するために使われます。
攻撃の研究や防御策の構築に役立ちますが、これは防御側の仕組みであり、RLOを悪用した攻撃手口ではありません。
ウ:ネットワーク機器の設定を不正に変更して監視通知を送らせる
この説明はSNMP(Simple Network Management Protocol)の仕組みに関連するものです。
MIB(Management Information Base)の監視項目が改ざんされると、不正なイベント通知を管理者に送信することができます。
ただし、これはネットワーク監視や設定改ざんに関する攻撃であり、RLOのようなファイル名偽装とは全く異なります。
エ:文字表示順を変える制御文字で拡張子を偽装する
これがRLOを利用した典型的な手口です。
Unicodeの制御文字「Right-to-Left Override(RLO)」を使うことで、ファイル名の一部を右から左に表示させ、拡張子を偽装します。
例えば「abc[U+202E]cod.exe」というファイルがあると、利用者の画面には「abc exe.doc」と表示され、Word文書のように見えてしまいます。
実際には実行ファイルなのに、文書ファイルだと誤認させるのが目的です。
