拡張子の偽造を検出できる「MalBlocker」

2重拡張子や、RLO制御文字を利用した拡張子の偽造を検出し、利用者に警告するセキュリティ対策ツール「MalBlocker」のご紹介です。

拡張子の偽造

Q.次のファイルのうち、実行ファイルはどれか?

答え.すべて

Aは、アイコンを偽造しています。

Bは、RLO制御文字(一部の文字を逆順に表示する特殊な文字)を利用しています。

Cは、大量の空白を挿入することで、本来の拡張子をはみ出させています。

Dは、Cの空白を挿入していないバージョンです。

以上のように、見ただけでは実行ファイルとは分からないように拡張子を偽造することができます。


MalBlockerとは?

MalBlockerは、拡張子の偽造検出機能をもつセキュリティ対策ツールの一種です。

2重拡張子やRLO制御文字、空白を利用した偽造拡張子ファイルを検出し、利用者に警告を行います。

拡張子偽造ファイルを見つけることは少し手間が掛かるため、インストールしておくと良いかもしれません。

ただ、広告が表示されるので注意が必要です。


MalBlockerのインストール方法

  1. Vectorから最新版のMalBlockerをダウンロード
  2. ダウンロードしたMalBlocker_1.0.2.msiを実行
  3. セキュリティの警告が表示されますが、実行(R)をクリック
  4. 次へ(N)>をクリック
  5. ライセンス条項に同意し、次へ(N)>をクリック
  6. 次へ(N)>をクリック
  7. 次へ(N)>をクリック
  8. 途中にユーザーアカウント制御が表示されますが、はい(Y)をクリック
  9. 閉じる(C)をクリックしたら、インストールは完了です。

MalBlockerの使い方

MalBlockerでは、偽造拡張子ファイルの検出範囲をドライブ単位で設定することができます。

また、特定の偽造手法や拡張子に限定した検出も可能です。

それぞれの設定は設定画面から行えます。

設定画面はデスクトップ上のショートカットや、タスクバー(起動時)から開くことができます。

検出時の動作

偽造が検出されたファイルは、削除するか、無視するか選択することができます。