トロイの木馬とは?
トロイの木馬は、PCにインストールされるマルウェアですが、通常のアプリのように見せかけられています。この偽装は、攻撃者が巧妙な方法で悪意あるコードを正規のプログラムに混ぜ込むために行われます。しかし、PCウイルスと異なり、トロイの木馬は自ら複製しません。そのため、動作させたり拡散させたりするには、利用者の操作が必要です。
要するに、トロイの木馬はファイルやメッセージに紛れ込む特殊なマルウェアです。システムに侵入すると、悪意あるコードが指示通りに動き、例えばPCの各種サービスへ二次的にアクセスしたり、利用者のオンライン活動を監視したり、情報を盗んだりします。
PCにトロイの木馬が存在する兆候として、システム設定の不審な変更などが挙げられます。
トロイの木馬の歴史
トロイの木馬の物語は、ヴァージルの『アエネーイス』やホメロスの『オデュッセイア』に記されています。この物語では、トロイの敵が贈り物として紹介された木馬に隠れ、市の防衛を突破しました。敵は巨大な木馬に潜み、攻撃の時に一斉に、そして静かに襲撃したのです。
この実話のいくつかの要素から、現代のサイバー攻撃の一部に「トロイの木馬」という名称が用いられる理由が理解できます。
- 木馬は、防衛をかいくぐるための巧妙な手段でした。最初の物語のように、敵は長年攻撃に成功せずに苦戦していましたが、木馬のおかげで10年間も策を巡らせる時間が得られました。現代では、システムのセキュリティに気付かれず侵入する方法として有効です。
- 木馬は贈り物と偽装されるため、一般的なアプリやソフトのように見せかけることができます。
- 木馬内部に潜んだ攻撃者が、対象システムの防衛機能を掌握します。一度感染すると、PCを乗っ取られ、他の攻撃に対して脆弱な状態になります。
トロイの木馬はどのように動作するか
PCウイルスとは異なり、トロイの木馬は自ら目立って動作するわけではありません。感染するためには、利用者がアプリの実行ファイルをダウンロードする必要があります。実行ファイルがPCにインストールされ起動されると、木馬が動作を開始します。
トロイの木馬は、見慣れたファイルやメッセージに添付され、拡散を狙います。こうしたコンテンツは大量に送信され、できるだけ多くの利用者に届くよう仕組まれています。メールを開くと、悪意あるファイルがダウンロードされ、マルウェアが実行されるのです。
また、ソーシャルエンジニアリングと呼ばれる手法を使うと、利用者が無意識にこの有害なアプリをダウンロードしてしまう場合があります。悪意あるファイルは、通常の広告、ポップアップ、またはウェブサイトのリンクに偽装されるため、感染箇所の特定は難しいのです。
トロイの木馬に感染したPCは、他のデバイスへ拡散する足がかりになります。攻撃者は感染したPCをゾンビPCに変え、利用者に気付かれることなく操作できるようにします。PCは普段通り動作するため、その機能を利用してネットワーク全体に感染を広げるのです。
例えば、利用者は知人や友人、同僚からメールを受け取る場合があります。メールには一見正規のリンクが含まれていますが、そのリンクには悪意あるコードが仕込まれており、利用者のPCにトロイの木馬が感染します。これらの操作は利用者の知らないうちに実行され、感染に同意を求めることもありません。
マルウェアは、利用者がリンクをクリックしたり、ウェブサイトにアクセスしたり、偽の銀行アプリを起動するまで、PC内で検知されないよう潜伏します。操作が行われると、悪意あるコードが起動し、攻撃者の意図した動作を実行します。作動内容は、組み込まれたコードによって、自身を削除したり、休止状態になったり、潜伏を続けたりと異なります。
スマートフォンもトロイの木馬攻撃の脅威から逃れることはできません。スマホやタブレットは、さまざまなマルウェアによって攻撃され、侵入される可能性があります。攻撃者が意図的にWi‑Fiネットワークに接続されたデバイスに向けてトラフィックを送る場合もこれに該当します。
よく見ると、この仕組みは実際のトロイの木馬の物語と類似しています。
トロイの木馬ウイルスの主な種類
サイバー犯罪者は、目的のシステムやネットワークを攻撃するために、さまざまなタイプのトロイの木馬を使い分けています。主な種類は以下の通りです。
- Backdoor Trojan: バックドア型トロイの木馬は、攻撃者が遠隔からPCにアクセスし乗っ取ることを可能にします。これにより、ファイルの削除、PCの再起動、情報の窃取、さらには他のマルウェアの拡散など、あらゆる操作が行われます。バックドア型は、ゾンビPCのネットワーク(botnet)構築にも利用されます。
- Banker Trojan: バンカートロイの木馬は、利用者の金融情報を狙い、クレジットカードやデビットカード、分割払い、ネットバンキングの情報を盗み出そうとします。
- Distributed denial of service (DDoS) Trojan: これらのトロイの木馬は、大量のリクエストを送信して対象のネットワークに過大な負荷をかけ、サービスを停止させます。
- Downloader Trojan: ダウンローダートロイは、既に感染したPCを標的とし、さらに悪意あるプログラムをダウンロード・インストールさせます。追加のトロイの木馬やアドウェアなどが該当します。
- Exploit Trojan: エクスプロイト型トロイは、アプリやPCの既知の脆弱性を突くためのコードや情報を含み、攻撃者がフィッシングなどの手口で利用者を狙い、弱点を悪用します。
- Fake antivirus Trojan: 偽のアンチウイルス型トロイは、正規のアンチウイルスソフトの機能を真似、ウイルスを検出・駆除するふりをしながら、存在しない脅威を理由に金銭を要求します。
- Game-cheat Trojan: オンラインゲームをプレイする利用者のアカウント情報を盗み取るために作られたトロイの木馬です。
- Instant messaging (IM) Trojan: このタイプは、IMプラットフォームを標的にして利用者のログイン情報やパスワードを盗み取ります。対象は、AOL Instant Messenger、ICQ、MSN Messenger、Skype、Yahoo Pagerなどです。
- Infostealer Trojan: このマルウェアは、トロイの木馬をインストールしたり、悪意あるソフトの存在を利用者に気付かれないようにしたりするために用いられます。ウイルススキャンで検出されにくい特徴があります。
- Mailfinder Trojan: PCに保存されたメールアドレスを収集・窃取することを狙います。
- Ransom Trojan: ランサム型トロイは、PCの動作を妨げたり、データを暗号化して利用不能にすることで、利用者や組織に金銭を要求します。料金が支払われるまで、被害は解消されません。
- Remote access Trojan: バックドア型に似たこのトロイは、攻撃者が利用者のPCを完全に乗っ取ることを可能にします。リモート接続を通じて情報を盗み、監視を行います。
- Rootkit Trojan: ルートキット型トロイは、利用者のPC内に潜み、悪意あるプログラムの検出を回避し、長期間にわたって活動を継続することを目的としています。
- Short message service (SMS) Trojan: SMS型トロイは、スマートフォンに感染し、テキストメッセージの送受信を行います。高額な番号への送信により、電話料金が上昇する恐れがあります。
- Spy Trojan: スパイ型トロイは、利用者のPC上でキーボード操作の記録、画面のキャプチャ、アプリへのアクセス、ログイン情報の収集などの監視活動を行います。
- SUNBURST: SUNBURSTトロイは、SolarWinds Orionプラットフォームに仕込まれたマルウェアです。被害者は、正規のSolarWinds署名済みファイル SolarWinds.Orion.Core.BusinessLayer.dll のトロイ化版により侵入されます。このファイルはリモートアクセス型で、標的機器では14日間休止後、移動、実行、偵察、再起動、サービス停止などの命令を受け、HTTP経由で決められたURLに通信します。
- Clampi Trojan: Clampi(LightsやIlomoとも呼ばれる)は、利用者がオンラインバンキングにアクセスしたり、オンライン購入時にVisa情報を入力する際に支払いを促すため、待機します。ファイアウォールの背後に隠れるほど巧妙です。
- Crysis Trojan: Crysisは、恐怖を煽る偽ソフトや偽のサポートホットラインと関連付けられることが多いです。典型的には、「デバイスがハッキングされた」や「PCが感染している」といったポップアップが表示され、サポート用の電話番号に誘導されます。電話するとサポート料金の支払いを強制され、場合によってはリモートアクセスを許可させ、デバイスの押収や情報窃盗に至ることもあります。
- Qakbot Trojan: Qakbotは、高度な金融情報窃盗型トロイで、金融データを狙うために初めて作られたマルウェアとされ、他の攻撃ツールと併用されることが多いです。
- Wacatac Trojan: Wacatacトロイは、非常に危険な脅威であり、標的システム上で様々な悪意ある動作を引き起こします。フィッシングメール、感染ネットワークでのファイル共有、ソフトウェア更新などを通じて侵入し、機密情報を窃取した上で、攻撃者にリモートアクセスを許すこともあります。
トロイの木馬ウイルスを見つける最適な方法
トロイの木馬は、長期間潜伏してシステムに侵入し、気づかれずに活動することが特徴です。しかし、以下の兆候に注意することで、最近感染が発生したかどうかを判断できます。
- システム設定の不審な変更
- PCの動作が遅い
- PC上で異常な動作が見られる
- デスクトップ(例:配色)の変更
- タスクバーの変更
- タスクバーに見覚えのないプログラムが表示される
- スパムメールの増加
- デバイス上のポップアップの増加
この種のマルウェアを検出する最善の方法は、トロイの木馬スキャナーやマルウェア除去ソフトを使用することです。
トロイの木馬から守る方法
優れたネットワークセキュリティ対策と定期的なトロイの木馬スキャナーの使用は、トロイ攻撃に対する有効な防御策です。貴社とシステムを攻撃から守るために、以下の方法を参考にしてください。
- 信頼できないソースからのダウンロードを避ける:完全に信頼できないサイトやソースからソフトをダウンロード、またはインストールしないこと。
- フィッシング攻撃に注意:不明な送信者から届いたメール内のリンクはクリックしないこと。
- OSやインストール済みのセキュリティソフトを最新に保つ:システムが常に脅威に対処できるよう、定期的にアップデートを行うこと。更新には最新のセキュリティパッチが含まれます。
- 安全でないサイトへのアクセスを避ける:セキュリティ証明がないサイトは注意し、URLにHTTP://ではなくhttps://が含まれ、アドレスバーに錠マークが表示されているか確認すること。
- ウェブ上のポップアップや広告はクリックしない:未知のポップアップには危険なトロイの木馬が含まれている可能性があるため、安易にクリックしないこと。
- ファイルは複雑かつ固有のパスワードで守る:強固なパスワードは、英大文字・小文字、特殊文字、数字を組み合わせたもので、使い回さず定期的に変更すること。パスワード管理ツールの利用も推奨されます。
- ファイアウォールでデータを守る:ファイアウォールは、インターネットからのデータをフィルタリングします。OSに内蔵されている場合もありますが、ハードウェアファイアウォールの併用が望ましいです。
- 定期的にバックアップを行う:バックアップ自体が感染を防ぐわけではありませんが、万一の際に大切なデータを守る助けになります。