RO TYR鯖のメイス職人ことティーナの日常


by hakkakudo

RLOでの拡張子偽装に注意(ウィルス対策)2

はじめに
今更ですが、以前の記事と今回の記事で行っている対策の詳しい説明は今回しますが、対策は自己責任で行う事とさせて下さい。
親しい知人のサポートを実際に現地で行うことまでなら責任もてますが、閲覧している人が増えている関係上そこまでは対処しきれませんので、どうかご了承下さい。
なお、この対策自体は私自身も行っており、動作検証はしています。
不安な方は設定項目について最後に解説をしていますので、納得するまで熟読してください。


まず最初に、結花さんから質問があった、ファイルのプロパティを見るとどうなってるかに答えてしまいましょう。
ファイルの種類の箇所も判断基準になりますが、プロパティのタイトルのところにご注目ください。RLOが効いているので、タイトルもユカイなことになります。
c0082952_092882.jpg


Windows 2000以前の方について
RLOの対応はWindows XP以降で実装された機能のため、Windows 2000以前では偽装ファイルは偽装されずに表示されます。
前記事で実演したファイル名で例を挙げますと、「setupexe.txt」と偽装されていましたが、Windows 2000以前ならば「setup txt.exe」と表示されます。(半角スペースはRLOコードが挿入されているため)
ならWindows 2000以前のが安全じゃないか、などと思わないで下さい。Windows 2000より前は論外ですし、Windows 2000もサポート期間のメインストリームは2005年に終了していて、今年の7月にはWindows Updateでの修正パッチ配布も終了する予定です。
詳細は下記公式サイトにて確認して下さい。
【Windows 2000 のメインストリーム サポートが終了しました】
http://www.microsoft.com/japan/technet/security/secnews/articles/column050727.mspx


※気にされている方がいるので補足します。Windows 2000のサポート自体は2005年から5年間の延長サポートに入っており、2010年7月まではサポートされます。
ただし、Windows 2000の修正パッチは、今年の7月でWindows Updateによる配布が終わる予定であり、今年の7月以降、2010年の7月でサポートが切れるまでの3年は、ダウンロードセンターで適用する必要のある修正パッチを探してダウンロードする必要があります。
そのくらい簡単だと思う方は、下記にダウンロードセンターへのリンクを置きますので、自分のPCへ適用する必要のある修正パッチを探してみてください。PCの素人さんが毎月できる作業ではないと私は思います。
またSP5が出るまで我慢して一気に適用しようとは絶対に考えないでください。SPは4で終了です。
また、月の累積パッチは毎月第2火曜日の翌日の水曜日に出るはずです。緊急パッチに関しては随時でるので毎月第2火曜日の翌日の水曜日にのみパッチを探しに行けば良いというわけでもありません
Microsoft ダウンロードセンター
http://www.microsoft.com/downloads/Search.aspx?displaylang=ja

上記のように自分で探すのは大変でWindows Updateで行いたい人はOSをアップグレードしてください。(VistaにするとROができなくなる可能性大なので注意)

OSのアップグレードを検討する方はWindows XP Professional SP2へのアップグレードをお勧めします。
近くのPCショップでWindows XPアップグレードパッケージを売っていないか店員に相談するのが良いかと思います。

Windows XP Home Edition版の対策
最初に断っておきますが、私の検証できる環境にWindows XP Home Editionはありません。
以前の対策は自分の環境で検証を行った上で書いていますが、こちらは実際の画面が見られるわけではないので、機能的にこのようにすればできるはず、という前提でProfessional Editionでの操作画面を使用して作成しています。
画面の文言等が多少異なる可能性はありますのでご了承下さい。


すみません。m(__)m
多くの人から「グループポリシーオブジェクトエディタがない!」と言う意見をいただきました。
@ITに載っていた情報だったのですが、元ネタ自体がデマだったようです><


そこで、別口からちょっと情報を得まして、もっと直接的な方法をとることにしました。
こちらからRLO.zipというファイルをダウンロードしてください。
このzipファイルには、「RLO.reg」と動作検証用の偽装ファイルの元にした「setuptxt.exe」と「RLO.txt」が入っています。
※偽装ファイル圧縮ファイルにできなかったので修正しました。
RLO.txtを開くと、偽装ファイルを作成するためのRLOコード入りのファイル名がありますので、それをコピーして、「setuptxt.exe」の名前を上書いてください。検証用の偽装ファイルが作成できます。
このRLO.zipファイルを解凍した後、「RLO.reg」をダブルクリックしてください。
下図のような確認画面が出たらOKを押してください。
c0082952_0363712.jpg

それが終わったら、PCを再起動してから、動作検証用の偽装ファイルが実行できないことを確認してください。

なお、本来regファイルやexeファイルは知らない人から受領したものを実行するのは危険なので注意してください。このダウンロードしたファイルをウィルス検索かけても良いですし、ファイルの中を読める人は読んでいただいてもかまいません。

この方法は、XP Professionalでグループポリシーを設定した後、設定内容が反映されたレジストリの値をXP Homeに強引に移植するという方法です。


【対策内容の解説】
自己責任での設定とさせてもらうので、設定内容の説明責任くらいは果たそうと思います。
まずグループポリシーというものについてですが、そのWindowsマシンの様々な設定を行うための仕組みです。本来会社とか学校など多数のPCを管理しなければならない時に、ドメインというグループにPCを登録して、そのグループのポリシーを自動配布することで設定を統一したりするのに使われるのが一般的です。
ドメインで配布されるのはグループポリシーと呼ばれますが、今回設定したのは自分のPC(ローカルコンピュータ)の設定ですので、ローカルコンピュータポリシーと呼ばれます。
今回設定した以外の項目も見てみると解ると思いますが、実に様々な設定ができるようになっており、そのほとんどが「未構成」、つまり機能していない状態になっています。

次にポリシーの設定内容について説明します。
・「コンピュータの構成」
まずポリシーは「コンピュータの構成」と「ユーザーの構成」に分かれていて、似たような設定項目がそれぞれにあります。「ユーザーの構成」はドメインというグループに参加した時に、ログインするユーザー単位でポリシーの設定を変えたりするのに使われることが一般的で、「コンピュータの構成」はコンピュータ単位でポリシーの設定をする項目です。
今回はローカルコンピュータですので、同じ項目がある場合ならどちらを設定しても有効になりますが、コンピュータ自身の詳細な設定となると「コンピュータの構成」の方が設定項目が多く、今回の設定項目は「コンピュータの構成」にしかありません。
なお、「コンピュータの構成」は設定後にPCを再起動しないと設定が反映されませんが、「ユーザーの構成」はログインするときに反映されるので、ログオフしてログインしなおすと反映されます。

・「Windowsの設定」
「コンピュータの構成」の下には「ソフトウェアの設定」「Windowsの設定」「管理用テンプレート」の3種類があります。特に管理用テンプレートには様々な設定がありますが、普通の人は見ても「なんのこっちゃ???」となるかと思います。ここはあくまで分類の項目で、今回の設定は「Windowsの設定」に存在します。

・「セキュリティの設定」
「Windowsの設定」の下には「スクリプト」と「セキュリティの設定」があるかと思います。「スクリプト」にはスタートアップスクリプトとシャットダウンスクリプトがあり、Windowsを起動したときに自動実行させたいプログラムを登録したり、Windowsをシャットダウンした時に、PCが終了する前に自動実行させたいプログラムが登録できたりします。「セキュリティの設定」は名前の通りなので説明は不要でしょう。

・「ソフトウェア制限のポリシー」
「セキュリティの設定」の下の項目は、正直少々難しい項目が並んでいます。興味があったら覗いてみるのもいいかもしれません。今回は「ソフトウェア制限のポリシー」を利用します。

・「追加の規則」
「ソフトウェア制限のポリシー」の下は、扱いを間違えると結構危険です。興味がある項目は右クリックしてプロパティを見ると説明が書いてあったりもしますが、よく解らないものには触れないことをお勧めします。今回はRLOを含むファイルを実行させない設定をするために「追加の規則」にルールを追加することになります。

・「新しいパスの規則」
ここで特定のソフトウェアの実行の可否を設定します。パスというのは、「C:\Documents and Settings\My Documents」など、ドライブ名から特定のフォルダまでを指定するものと考えてください。ここに元からある%で始まる項目は絶対に削除などしないでください。ここでは*をワイルドカードとして使用できます。ワイルドカードとは「何でもいい」という意味です。
例えば、有名なものとしてWinnyを引き合いに出して説明しますが、パスとして「*winny*」と入力して許可しないように設定した場合、次のようなwinnyという文字をパスに含む物は起動が禁止されます。
「E:\Winny\wi.exe」
「D:\winnyp.exe」
「Z:\program\sharefiles\win\Winny.exe」
また「*winny.exe」と入力して許可しないように設定すると、前半部分にしかワイルドカードが使用されていないので、先ほどの3パターンだと以下のような結果になります。
「E:\Winny\wi.exe」(起動できる)
「D:\winnyp.exe」(起動できる)
「Z:\program\sharefiles\win\Winny.exe」(起動禁止)

今回の設定は「* *」となっていて、半角スペースに見える部分はRLOコードですので、RLOコードを含むパスのソフトは起動禁止になるというわけです。ここで気をつけたいのは、ちゃんと手順に沿ってメモ帳でRLOを挿入した文字列をコピーして、それを貼り付けないといけない点です。「半角スペースに見えるから」と半角スペースの手入力した「* *」を登録してしまうと、少なくとも「Program Files」の下にあるソフトウェアは全て起動できなくなったりします。
[PR]
by hakkakudo | 2007-04-27 00:16 | 注意