最終更新日:2026年6月9日
sg sg-security-measures malware security_training threat_vulnerability
まず結論
RLO(Right-to-Left Override)は、文字の表示順を右から左に変えるUnicodeの制御文字です。
SG試験では、RLOそのものの細かい符号位置よりも、ファイル名の見え方を変えて拡張子を偽装する手口として判断できることが重要です。
たとえば、実際には実行ファイルなのに、画面上ではPDFファイルや画像ファイルのように見せかけ、利用者に開かせる攻撃で使われることがあります。
このページで切り分けること(先にここだけ)
このページは、RLOを悪用した拡張子偽装を中心に整理します。
- RLO:文字の表示順を変えるUnicode制御文字
- 拡張子偽装:実行ファイルなどを文書ファイルのように見せる手口
- 不審な添付ファイル:見た目だけで安全と判断しない対象
迷ったら、 「文字の表示順を変えて、ファイル名や拡張子を偽装しているか」 を見ます。
直感的な説明
RLOは、文字を並べる向きを変える「表示の向きスイッチ」のようなものです。
本来は、右から左へ読む言語などを正しく表示するために使われます。
しかし、攻撃者がこれをファイル名に混ぜると、利用者が見たときのファイル名を紛らわしくできます。
たとえば、実際には実行ファイルなのに、表示上は次のように見えることがあります。
請求書exe.pdf
見た目はPDFファイルのようでも、実際の種類は実行ファイルのままです。
SG試験では、ここで「PDFに見えるから安全」と考えず、表示の見え方を悪用した偽装として捉えることがポイントです。
定義・仕組み
RLOは、Right-to-Left Override の略です。
Unicodeで定義されている制御文字の一つで、以降の文字の表示方向を右から左に変える働きを持ちます。
| 項目 | 内容 |
|---|---|
| 正式名称 | Right-to-Left Override |
| 分類 | Unicodeの制御文字 |
| 本来の用途 | 右から左へ読む文字列の表示制御 |
| 攻撃での悪用 | ファイル名や拡張子の見え方を変える |
| SG試験での判断 | 「表示順」「制御文字」「拡張子偽装」が手掛かり |
重要なのは、RLOはファイルそのものをPDFに変換するわけではないことです。
変わるのは、主に画面上での見え方です。
そのため、攻撃者は次のような流れで利用者をだまそうとします。
- 実行ファイルを用意する
- ファイル名にRLOを混ぜる
- 拡張子が文書ファイルや画像ファイルのように見える名前にする
- メール添付などで利用者に開かせる
- 実行されるとマルウェア感染などにつながる
どんな場面で使う?
SG試験では、RLOは次のような文脈で出やすいです。
- 不審な添付ファイル
- 標的型攻撃メール
- マルウェア感染
- 拡張子偽装
- 利用者教育
たとえば、業務メールに添付されたファイル名がPDFに見えても、実際には実行ファイルである可能性があります。
そのため、組織では次のような確認が重要になります。
- 送信元や本文が自然か確認する
- ファイル名だけでなく、実際のファイル種類を確認する
- 不審な添付ファイルは開かずに報告する
- OSやメールソフトで拡張子を表示する設定にしておく
- 実行ファイルやスクリプトの添付を制限する
RLOは単独のマルウェア名ではなく、利用者を誤認させるための偽装手口として理解すると判断しやすくなります。
SG試験で選択肢を切る判断軸(RLO編)
-
「文字の表示順を変える」「右から左に表示する」が出る
→ RLO の話です。 -
「ファイル名の拡張子を偽装する」が出る
→ RLOによる拡張子偽装を疑います。 -
「攻撃者をおびき寄せて観察する」が出る
→ RLOではなく、ハニーポットの説明です。 -
「ネットワーク機器の状態変化を管理側へ知らせる」が出る → RLOではなく、SNMP Trapの説明です。
よくある誤解・混同
RLOはウイルスそのものである
RLOは、Unicodeの制御文字です。
それ自体がウイルスとして増殖するわけではありません。
ただし、攻撃者が実行ファイルの見え方を変えるために悪用すると、マルウェア感染のきっかけになります。
拡張子がPDFに見えれば安全である
見た目だけでは安全とは判断できません。
RLOのような制御文字が使われると、表示上の拡張子と実際のファイル種類が紛らわしくなることがあります。
SG試験では、ファイル名の表示だけを信用しないという利用者教育・運用対策の視点も重要です。
アドウェアやハニーポットと混同する
RLOの問題では、誤答選択肢に別の用語の説明が混ざることがあります。
| 選択肢の表現 | 疑う用語 | 切り分けポイント |
|---|---|---|
| 偽の警告や広告で購入を迫る | アドウェア、スケアウェア | 広告表示や不安をあおる表示が中心 |
| 脆弱なホストを公開して攻撃を観察する | ハニーポット | 攻撃者を誘導して監視・分析する |
| 機器の状態変化を管理側へ通知する | SNMP Trap | ネットワーク監視の通知 |
| 文字の表示順を変えて拡張子を偽装する | RLO | ファイル名の見え方を悪用する |
関連記事との役割分担(混同防止)
- Unicodeの基本とEUC・ASCIIとの違いを確認したい → Unicodeとは?EUCとの違いを文字コードで整理
- メール添付を開く前の判断を確認したい → 不審な添付ファイルとは?メール経由の感染を防ぐ基本
- 攻撃者を誘導して観察する仕組みを確認したい → ハニーポットとは?攻撃者をおびき寄せる仕組み
確認問題(SG試験対策)
メール添付ファイルの名称を、利用者には文書ファイルのように見せながら、実際には実行形式ファイルとして開かせるために、RLOが悪用される場面として最も適切なものはどれか。
- ア. 文字の表示方向を変え、拡張子の見え方を入れ替える。
- イ. 脆弱なサーバを公開し、攻撃者の操作を記録する。
- ウ. 端末に偽の警告を表示し、有償ソフトの購入を促す。
- エ. ネットワーク機器の状態変化を管理サーバへ通知する。
▶ クリックして答えと解説を見る(ここを開く)
正解:ア
解説
- ア:正解です。RLOは文字の表示順を変えるUnicode制御文字で、拡張子偽装に悪用されることがあります。
- イ:攻撃者を観察するためのハニーポットの説明です。
- ウ:偽警告で利用者を誘導するスケアウェアやアドウェアに近い説明です。
- エ:SNMP Trapの説明です。ネットワーク機器の状態変化を管理側へ通知します。
👉 判断ポイント
表示順を変える・拡張子が違って見えるが出たらRLOを疑う。
まとめ(試験直前用)
- RLOは、Right-to-Left Override の略
- Unicodeの制御文字で、文字の表示順を右から左に変える
- 攻撃では、ファイル名や拡張子の見え方を偽装するために悪用される
- 実行ファイルをPDFや画像ファイルのように見せかける手口に注意する
- 「文字の表示順」「制御文字」「拡張子偽装」が出たらRLOを疑う