「もらったEXEなんて開かねえよw」なんて人も絶対に騙される偽装ファイル名に思わず戦慄_見た目はテキストファイルなのに……ダブルクリックするとヤられる【やじうまの杜】
2022/02/17 09:28
Panthera_uncia
これは騙されるわ
2022/02/17 09:52
rh-kimata
自分もこれはテキストのつもりでexe実行するな
2022/02/17 10:05
wakwak_koba
テキストファイルは右クリックして「sakura で開く」を選択するので
2022/02/17 10:07
FryingPan
拡張子表示はデフォルトオンにしようぜ.txt .exe と思ったら違った。これはわからない
2022/02/17 10:08
nakex1
左から右に表記する言語の環境では防御設定はデフォルトでオンにしてくれててもよさそうに思えるのだけど,それだと不都合なことってあるのかな?
2022/02/17 10:10
maroh
普段拡張子を表示しない設定のほうが逆に気づくかもしれないな
2022/02/17 10:11
everybodyelse
へー。制御文字入れて拡張子を隠す手法があるのか。macとかでも動くんかな。
2022/02/17 10:17
B2igwzEE
関連付けしてるアプリのアイコンと違うというところでギリギリ回避可能…かな? 疲れて惰性で操作してると気づかなさそう
2022/02/17 10:17
strawberryhunter
Windowsの拡張子の関連付けが改悪されてからは「送る」で開いている。その前にアイコンで気が付くかな。
2022/02/17 10:25
mayumayu_nimolove
winnyがあった頃からexeは厄介だな
2022/02/17 10:39
gm91
テキストは秀丸にドロップ
2022/02/17 10:41
rdlf
WIndowsってダウンロードした実行ファイルを起動する時に初回は警告とか出ないの?macOSは出るけど、まぁ鬱陶しかったりはする。
2022/02/17 10:46
NOV1975
メモ帳がクソアプリなのは、ダブルクリックしてメモ帳で開かない癖をつけるようにするためなんだよ!
2022/02/17 10:49
palm84
このRLOのやつの他にも、アイコン偽装とか、フォルダアイコンのショートカット(リンク先は exe, bat, mshta とか)作るやつとかありましたよね・・・
2022/02/17 10:54
sucelie
アイコン変えとけよ。基本はダブルクリックしないことじゃね?
2022/02/17 10:58
lelele_shot
デスクトップにあればアイコンで分かりそうだけどメール添付だとわからんかも
2022/02/17 11:08
taruhachi
テキストファイルをマイナーなエディターに関連付けしておいてそのアイコンじゃなかったら気がつくようにするとか考えたけどエクセルとかだったら無理だな。ダブルクリックを禁止するしかないのか。
2022/02/17 11:09
aya_momo
TXTなら秀丸のアイコンになるから問題ない。添付ファイルも同じ。
2022/02/17 11:11
daira4000
Winnyで見た。今時はブロックされるのは知らなかった頭いいじゃんね。
2022/02/17 11:14
Palantir
これURLではできないんだっけ?制御文字やらUnicodeで見かけ上完全に正規URLのサイト作れた記憶なんだけども
2022/02/17 11:19
samu_i
Emacsでひらく
2022/02/17 11:23
iwasi8107
"今回検証した「RLO」を悪用したファイル名の偽装は比較的古典的な手法なので、「グループポリシー」の編集で対策が可能なのだそう。"
2022/02/17 11:24
lnimroder
いいかげんファイル名には制御文字を許可させないでほしい
2022/02/17 11:39
versatile
いわゆる昔からあるキン◯マウイルスが多用してる手法じゃん。基本的には今はかなり高度に隠されてるから誰でも引っ掛かる。
2022/02/17 11:42
keidge
アイコンまで変えられたらさすがに気付きにくいよね。Unicodeの制御文字をファイル名に使うのをOS側で弾いてほしいくらい。
2022/02/17 11:44
hobbiel55
このグループポリシーの設定はデフォルトで有効にしておいて欲しい。それだと困る言語とかあるのかな。
2022/02/17 11:45
toruhjp
GUIっつうのはほんとに難しいもんです
2022/02/17 11:50
babi1234567890
カタ:(ˊ◦ω◦ˋ):カタ
2022/02/17 11:54
daishi_n
Unicodeの右から左書き言語対応使って騙すやつ、10年くらい前からあったし、グローバル展開してるソシャゲでもフェイクの常套手段
2022/02/17 11:58
deep_one
この問題はあんがい昔からある。ドメイン名偽装でも使われる。アドレス欄では特殊文字の効果を適用しないでほしいわ。
2022/02/17 12:01
miz999
そもそも実行権限をそんなに簡単に与えてはいけない
2022/02/17 12:02
lainof
As/Rとか対策用の機能があるファイラー使おう。ワンキーでテキストエディタで開けるし、拡張子偽装も色分けされる。
2022/02/17 12:07
valinst
わりと古典的な手法の話だった。まぁ知らん人もいるのだから、話題に出すのはいいことか。
2022/02/17 12:08
tsutsumi154
exe ファイル 捨てたい
2022/02/17 12:11
mohno
アイコンを変えるとマルウェア判定されるのか。中身を確認したければ、メモ帳にドラッグ&ドロップするくらいか。
2022/02/17 12:19
takuya_1st
RLO昔からあるしなぁ。アイコン見るしなぁ。
2022/02/17 12:24
ardarim
割と古典的な話だった。最近はRLOが簡単に入力できるのは知らんかった
2022/02/17 12:27
sgo2
詳細表示の「種類」列を見れば分かるけど、ショートカットみたいにアイコンにマーク付けるなり、ファイル名の色やウェイト変えるなりの対策を入れて欲しいものである(MSに対して)。
2022/02/17 12:30
ermin
もらったファイルをダウンロードフォルダじゃなくてデスクトップに置くのか
2022/02/17 12:34
wiz7
ブコメ見たけどテキスト開くのにいちいちアプリ指定する人多いのか…面倒そう
2022/02/17 12:35
n_231
Unicode制御文字、デフォルトで表示制御offにできないものか
2022/02/17 12:42
retire2k
テキストファイルを開く時、自分が好きなエディタを先に起動してドラッグ&ドロップするといい。
2022/02/17 12:43
sin20xx
よくわからん。そもそも拡張子がなんであるかに限らず添付ファイルは開かないしデスクトップに保存しないのでは。その上でPPAPでもやってない限りは実行形式のファイルであればそもそも弾かれると思うのだが。謎過ぎ
2022/02/17 12:46
pixmap
このコメントも逆になっちゃうね
2022/02/17 12:47
LuckyBagMan
古典的な手法がまだ生きてるということは、そういうの知らない若い世代が引っかかってるということでは
2022/02/17 13:00
raitu
“「RLO」は目には見えない文字で、挿入された箇所以降の文字の向きを「右から左」へと変更します。そのため、本当は「Sample【RLO】txt.exe」という名前なのに、見た目上は「Sampleexe.txt」”
2022/02/17 13:03
eiki_okuma
リソースは Google drive で共有するし、Slack や Discord で投げてもらっても中身はスキャンされるし、メールで送られてきたファイルさえ開かなければ普通に回避できるとはおもう。
2022/02/17 13:03
petitbang
この手法は昔から知られてるよね。メール添付ファイルは基本警戒対象なのでソフト指定したりマウスオーバーで確認する癖が付いてる。危ないのはファイルサーバーなんかに置かれた場合。ガードが一段下がる。
2022/02/17 13:15
rti7743
デスクトップやダウンロードフォルダはexe実行禁止というシステムポリシーを設定するべし。どうしても実行したいなら別フォルダに移動してから実行となるので、間違いが減るよ。
2022/02/17 13:16
htnmiki
エクスプローラーとかのファイル検索で「pletxt」でちゃんと検索できるんだな。制御文字ってなんなんだ……
2022/02/17 13:31
Shinwiki
RLOかと思ったらRLOだった
2022/02/17 13:39
napsucks
これは無理だ、引っかかりそう。えげつないなー。
2022/02/17 13:39
spark7
これはまた懐かしい手法を... ダブルクリックせずにエディタにドロップする癖つけたらよいかもな
2022/02/17 13:40
zu2
“「RLO」は目には見えない文字で、挿入された箇所以降の文字の向きを「右から左」へと変更します。そのため、本当は「Sample【RLO】txt.exe」という名前なのに、見た目上は「Sampleexe.txt」”
2022/02/17 13:41
K-Ono
♪もらーあったーえーぐーぜでー
2022/02/17 13:45
mamimp
これはやばいな
2022/02/17 13:45
kibitaki
Windows老人会なら皆対策してる話じゃった。
2022/02/17 13:46
rryu
自分で作ったものではないファイルのアイコンとファイル名は信用できないので右クリックから「プログラムから開く」で開いている。
2022/02/17 13:50
t_ommy
あふwだと制御文字が空白表示されるだけでひっくり返らなかった。助かる。
2022/02/17 13:54
yarumato
“実際に試してみましょう。ファイル名の途中に[Unicode 制御文字の挿入]-[RLO]制御文字を入れ、そこから文字方向を変えることで、本来の拡張子exeとダミー拡張子txtを逆転させる。”
2022/02/17 13:55
natu3kan
Win10だと実行ファイルだった場合は、本当に実行するか出てくるから「あれ? これテキストを開く時と挙動が違うくない?」ってなるもんな。
2022/02/17 13:55
blueboy
“ちょっと頭がいいですね、このセキュリティ機能” → Windows ちゃんが、ほめられた!
2022/02/17 13:57
monotonus
アイコンまで変えられるとさすがになあ
2022/02/17 14:13
monbobori
Windowsセキュリティって賢いんだな…
2022/02/17 14:16
tg30yen
主要拡張子のファイルのデフォルトアイコンを変えておくのがおすすめ。
2022/02/17 14:17
kuroaka1871
.txtも気軽に開いちゃだめ。
2022/02/17 14:24
hisawooo
やっておこう
2022/02/17 14:35
estragon
メモ帳嫌だし、端末ごとにOS設定違うと別の端末使う時に戸惑うんで、基本的に明示的にエディタで開いてる / それとは別の話として、拡張子だけで判断しちゃダメってことね
2022/02/17 14:39
ext3
恐ろしい…
2022/02/17 14:44
matsuedon
あったなぁ。ウィニー的なアレの時、誰かが言ってた気がしないでもない気がする。
2022/02/17 14:44
yoiIT
テキストファイルを開くアプリは都度選択する派で良かった
2022/02/17 14:45
Imamura
念のためグループポリシーエディタを設定した。RLOつきリネームをするとWindowsセキュリティが見つけてくれるそうだが、そういうファイル名のファイルをどこかに置いただけでも見つけてくれるのだろうか?
2022/02/17 14:55
ustar
もらったEXEが走り出す拡張子わからぬまま しらんけど
2022/02/17 14:59
nishi_n
なるほど
2022/02/17 15:07
tach
これは簡単に騙されそう。
2022/02/17 15:18
haruten
別の話だが、Windowsは未だに拡張子の表示がデフォルトOFFになっているのだろうか。そんな細かい互換性を維持するよりもバッサリ変えてデフォルトONにしたほうがユーザーのためになるのだが、売上が減るからやらないのか
2022/02/17 15:20
deamu
こういうのは知らん人は数年おきに増えるだろうから、定期的に再放送して周知してもええと思うよ
2022/02/17 15:26
tekitou-manga
OSがPROじゃないとRLOファイルの実行阻止する機能使えないのか。まぁxyzzyにドロップするけどな、txtファイルは。
2022/02/17 15:27
richard_raw
“「グループ ポリシー エディター」を起動して「ソフトウェアの制限のポリシー」を作成し、「RLO」を含むパスの起動をブロックする処理を追加” へー。
2022/02/17 15:36
ysync
zip 内のreadme.txt なら開くかもとは思ったけどエディタに送るしな。
2022/02/17 15:39
mashori
テキストエディタを別に用意し登録して右クリックで開く準備は全員しておいたほうが良いという事例ですね
2022/02/17 15:49
murlock
拡張子が回分になってるのも良くないのか
2022/02/17 15:53
hahihahi
id:rdlf ZoneIDが付いているファイルなら出るが事実上無意味 1. exe直だとブラウザがDLする時点で警告出すのでzipとかにされる 2. zip展開後のファイルにZoneIDを継承しないアーカイバが多い
2022/02/17 16:07
daibutsuda
Windowsってコロンとかどーでもいい文字が利用不可なのに、制御文字とか空白文字が利用可能なのってアホすぎません?
2022/02/17 16:19
izoc
初めて見た。自分は大丈夫と驕ったらいかんね。セキュリティ分野は特に。
2022/02/17 16:26
matubuse
確認方法はなんとなく知っていても、忙しい時や眠い時に間違えて開いちゃう自信がある
2022/02/17 16:27
sds-page
某ゲームの日本語化パッチ、実行したらセキュリティソフトとOSから全力で止められたな。EXE書き換える系は絶対許されないとかかな
2022/02/17 16:36
kisiritooru
これのせいでテキスト怖くて開けなくなった!(人のせい)
2022/02/17 16:47
s2kw
マカーだけど、ファイルをダブルクリックで開くことって早々無い。がやりそうだなって思った。
2022/02/17 16:49
zakinco
古のテク
2022/02/17 16:50
cubed-l
周知大事。「みんな知ってる」なんてのは周知をやめる理由にならない
2022/02/17 16:59
wdnsdy
テキストはダブルクリックして開かんだろ(テキストエディタに放り込むだろ)と思ったら、直で開く人は結構いるのか
2022/02/17 17:14
Yappashi
気をつけよう
2022/02/17 17:21
misochige
知っていても疲れている時に注意力がここに回るかは怪しい。仕事中にこんなことに脳のメモリを使いたくないので仕組みで回避できるように職場環境を汲むことが大事。
2022/02/17 17:21
sabinezu
もらったファイルなんて開かねえよw
2022/02/17 17:36
sqrt
Windowsセキュリティ優秀だな。安心した。
2022/02/17 17:39
kyukyunyorituryo
テキストファイルとZIPファイルのアイコンは変えているので気づきそう。
2022/02/17 17:40
f_oggy
Windowsセキュリティ仕事してんな
2022/02/17 17:45
gpx-monya
RLO使うファイル名偽装の手口は大昔に見た覚えがある。なんでファイル名に制御文字使えるんですかね。マルチバイト対応の影響?
2022/02/17 17:50
kyrina
これ設定入ってるか確認しなきゃ、φ(..)
2022/02/17 17:54
b4takashi
こんなんあるんか、半端にPCを知っている(RLOとかの実装までは見たことない)人はかかってしまいそう…
2022/02/17 18:16
a8888
Windows10からはSmartScreenが効いていて警告出るから意外と実害は少なそう。ユーザーは見間違えようとシステムからは実行ファイルとして扱われるのだから当然だけど。
2022/02/17 18:24
mino90
関連付けを変更してアイコンを標準から変えておくのも1つの手。限界はあるけど
2022/02/17 18:24
opnihc
【RLO】opnihc
2022/02/17 18:45
hiro-okawari
へぇ〜 知らなんだ…勉強なる
2022/02/17 18:50
roirrawedoc
RLOはすごいな。制御文字使えるのが悪い気がするが/txt.exeが対称で回文状になってるから成立するのかおもろい
2022/02/17 18:51
yasushiito
これはやられる。
2022/02/17 18:57
lordnoesis
主要ファイルのアイコンはデフォルトから変更しとくに限る。あとRLOを含むパスの実行禁止ポリシー。
2022/02/17 18:57
tohima
エクスプローラーでファイル種別を表示させながら開いてる、これなら間違ってexeを開くこともない
2022/02/17 19:08
Falky
アイコンの変更と組み合わせてマルウェア判定してるの知らんかった
2022/02/17 19:43
nazoking
そもそもダブルクリックで実行されるのを廃止した方がいいのかもね
2022/02/17 19:54
sd-craft
削除するつもりでシングルクリックしたら脳のバグでダブルクリックしてウイルス食らったことある。「自分は大丈夫」って幻想を捨てることが出来た苦い経験
2022/02/17 20:31
lyiase
古典的な方法だけども、Windows Defender と グループポリシー で対策出来るのを初めて知った。グループポリシーはRTL(例:アラビア語)だと、英語との切替で不都合が起こるかもだけど、日本語の横書きはLTRだから問題なさそう
2022/02/17 20:45
nmcli
今後ADいじるときグループポリシーに加えておきたい素敵な対策だ
2022/02/17 21:23
s_hiiragi
“ただ、今回検証した「RLO」を悪用したファイル名の偽装は比較的古典的な手法なので、「グループポリシー」の編集で対策が可能なのだそう。”
2022/02/17 21:32
meltypro
まずいでしょこれ
2022/02/17 21:41
def0
実行ファイルはテキストエディタで開けば先頭二文字が”MZ”になってるよ。怪しいファイルはとりあえずメモ帳にドロップするといいよ。
2022/02/17 22:31
anguilla
へぇ〜こういうのもあるんだ
2022/02/17 23:14
legnum
「知らん人から来たメールと添付ファイルは開かない」って防御策もEmotetで無効化されたしADサーバで全台ブロックした上で何度も啓蒙重ねてくしか
2022/02/17 23:18
osakana110
古典的だが効果的な方法 今はウィルス対策ソフトが反応してくれる。
2022/02/17 23:25
pascal256
増えてるなぁ
2022/02/17 23:30
dollarss
それでもちゃんとした技術者なら必ず気付く。.txtのアイコンをデフォルトのまま運用している人なんているのかね。見知らぬファイルならプロパティから署名等の情報を見ようとするし、そうしないならやっぱりうかつだ
2022/02/17 23:53
adatom
つーかファイル名にRLOなんて標準で許容するなよな…
2022/02/17 23:53
adsty
Unicodeの制御文字を使った偽装は注意していても騙されそう。
2022/02/18 00:42
gomakyu
昔から知っていたし、よく知られる手口だと思っていたけど、Twitterの動画で見ると衝撃。
2022/02/18 01:01
geonoize
フォルダの表示の詳細で、拡張子も表示させておこうかな。
2022/02/18 02:20
IGA-OS
いまのセキュリティアプリは優秀なんやな
2022/02/18 07:58
apipix
昔からあの手この手。
2022/02/18 11:51
zinota88
「絶対に騙される」は言い過ぎにしても騙される人は増えそうではある。てか送信元がフレンドだと俺もうっかり開いちゃう瞬間はあるかも。