感染の第一歩となる「トロイの木馬」とは?発見・駆除・対策のすべて

トロイの木馬

 ウイルス対策ソフトでマルウェアを検出した際に、その詳細情報を見ると「トロイの木馬」と表示されることがあります。トロイの木馬は、トロイア戦争での故事にならって命名されたマルウェアで、コンピュータウイルスとほぼ同時期に登場した古参のものです。最近では、ユーザに気づかれずにPCに侵入し、様々な悪意のある活動をするため、注意が必要です。ここでは、トロイの木馬とその対策について紹介します。

1.トロイの木馬とは

 トロイの木馬と聞いて、トロイア戦争に登場する「トロイの木馬」(トロイアの木馬とも呼ばれる)をイメージする人も多いでしょう。コンピュータウイルスのトロイの木馬の名前は、まさにトロイア戦争のトロイの木馬に由来しています。
 トロイア戦争は、ギリシャ神話に登場するもので、ギリシャとトロイアの戦争です。ギリシャ軍は10年にわたりトロイアの城塞を攻撃しますが、陥落できず、一計を案じたギリシャ軍はトロイア軍に巨大な木馬を贈ります。これを降伏の印と受け取ったトロイア軍は、木馬を城塞に引き入れますが、木馬の中にはギリシャ軍の兵士が大量に潜んでいて、一気に攻撃を行い、トロイアを陥落させました。
 コンピュータウイルスのトロイの木馬は当初、正規のソフトウェアのふりをしてインストールさせ、不正な行為を行うというものでした。これをトロイア戦争のトロイの木馬になぞらえたのが由来です。トロイの木馬には様々な種類がありますが、それについては後述します。まずは、トロイの木馬の位置づけを確認しましょう。

2.ウイルスの種類とトロイの木馬

 PCに入り込んで不正な行為を行う不正プログラム全般を「マルウェア」、あるいは「広義のウイルス」と呼びます。マルウェアは、「トロイの木馬」「狭義のウイルス」「ワーム」に大別できます。


それでは詳しく見ていきましょう。

2-1 トロイの木馬

 トロイの木馬は、基本的には正規のソフトウェアのふりをしたマルウェアで、それと知らずにユーザがインストールしてしまうことで感染します。感染すると、ユーザに気づかれないように様々な動作を行います。最近では、マルウェアに感染させる際に、最初にトロイの木馬を送り込むケースが増えています。PCに侵入すると「バックドア」を開いてサイバー攻撃者の指示を待ち、指示を受けて活動するわけです。
 トロイの木馬自身には、感染を拡大する機能はありません。ただし、サイバー攻撃者の指示により感染機能を持つマルウェアを追加ダウンロードすることはできます。気づかれずに侵入し、サイバー攻撃者の指示を待つという点では、「ボット」もトロイの木馬の一種といえます。トロイの木馬もボットもファイルサイズが非常に少ないため、IoT機器をターゲットにするものも急増しています。

2-2 狭義のウイルス

 ウイルスは、ファイルを媒体としてPCに感染し、感染の拡大を行うマルウェアです。トロイの木馬と異なり、自己増殖し、単独で活動できないため宿主を必要とします。感染経路は、メールの添付ファイルや、Webサイトからのダウンロード、CD、DVD、USBメモリなどの外部記録媒体があります。また、ウイルスはユーザがファイルを開くという能動的な操作が必要で、逆に言えばファイルを開かない限り感染しません。
 ウイルスはPCの黎明期から存在しており、当初は画面表示をおかしくしたり、勝手な操作をしたりするなど、直接的な被害が少ないものが大半でした。なお、これらを「ジョークプログラム」と呼ぶ場合もあります。また、広告を表示するだけの「アドウェア」もウイルスの一種です。
 メールやインターネットが普及してくると、メールを介して感染を拡大するウイルスが登場しました。メールの添付ファイルとして送りつけられ、ファイルを開くとアドレス帳にあるメールアドレスにウイルスメールを大量送信するもので、「マスメーリングウイルス」と呼ばれました。また、「Excel」などのマクロ機能を悪用する「マクロウイルス」も流行しました。
 ウイルスは現在でも大量に流通しており、標的型攻撃のような高度なサイバー攻撃できっかけに使用されていますし、初期のランサムウェアもウイルスといえます。また、オンラインバンキングを乗っ取り、不正送金を行う「バンキングマルウェア」、仮想通貨の発掘(マイニング)を行うための「マイニングマルウェア」も、一部はウイルスです。

2-3 ワーム

 ワームはトロイの木馬と異なり、自己増殖し、単独で活動します。
 マスメーリングウイルスが登場した頃から、ソフトウェアの脆弱性を悪用して不正プログラムを自動実行させる「ワーム」が登場しました。例えば、当時のメールソフト「Outlook Express」は、メールを受信一覧から選択すると、添付ファイルの内容がサムネイルとして表示されました。主に、メールを開くことなく画像を確認できるようにする機能でしたが、実は添付ファイルを実行するというものでしたので、この機能を悪用してウイルスを実行させたのです。
 ワームの登場で、マスメーリングウイルスがワーム化し、ウイルスの作成者も一気に増えました。3つのワームが感染者数を争ったこともあり、ワームを解析すると、他のワーム作成者へのメッセージが仕込まれていることもありました。またこの時期には、メールを介さずに直接インターネットからパケットの形で飛んでくる「ネットワークワーム」も確認されました。現在は下火になりましたが、いまだにネットワーク上をパケットが飛んでいるという話もあります。
 その後は、ワーム自体が使われなくなっていましたが、最近ではランサムウェア「WannaCry」がワーム的な手法を採用して話題になりました。感染の拡大にメールやWebを使わず、SMBというファイル共有プロトコルを悪用しました。SMBはWindowsなどに標準で搭載されているサービスですが、SMBによりランサムウェアを共有することで自動実行させていました。
 Webサイトに表示される広告にマルウェアを仕込ませる「マルバタイジング」にも、ワーム的に自動実行させるケースがあります。Webサイトに表示される広告枠は、広告代理店などから転送されて表示されます。最近では個人の嗜好などをもとに広告を最適化するアドネットワークを使用するケースが多いですが、広告主やアドネットワークが不正アクセスされ、広告にマルウェアを仕込まれてしまうのです。
 Webサイトの改ざんなどに使用される「スクリプト」も、ワームの一種と呼べるかも知れません。最近では、正規のWebサイトにスクリプトを追加するだけの改ざん行為が増えています。見ただけでは普段と変わりませんが、脆弱性のあるPCでサイトを開くとスクリプトが実行され、マルウェアサイトなどに誘導されてしまいます。

3. トロイの木馬の代表的な種類

 トロイの木馬は歴史が古いため、様々なタイプがあります。ここでは、代表的なものを紹介します。

3-1 バックドア型

 バックドア型のトロイの木馬は、標的型攻撃で攻撃のきっかけとなる最初の標的型攻撃メールに添付されるファイルに使用されます。しかし、最近では標的型攻撃の手法が一般的なマルウェアでも使用されるようになっていますので、注意が必要です。バックドアは「裏口」の意味ですが、PCの場合は通信用のポートを開いてC&C(コミュニケーション&コントロール)サーバに接続し、サイバー攻撃者からの指示を待ちます。指示を受け取ると実行に移しますが、多くの場合、さらなるマルウェアをダウンロードします。

3-2 ダウンローダ型

 ダウンローダ型のトロイの木馬は、ファイルをダウンロードする機能を持ちます。ダウンロードするファイルは、あらかじめ設定されている場合もありますし、攻撃者からバックドア経由で指示されるケースもあります。ただし、最近ではダウンロード先のURLアドレスが短い場合には数分で変わるので、サイバー攻撃者の指示を待つケースが多いようです。サイバー攻撃者は、バックドア型のトロイの木馬が通信を確立したC&Cサーバを介して、トロイの木馬に指示を送ります。

3-3 キーロガー型

 初期のトロイの木馬によくみられたタイプが「キーロガー型」です。キーロガーとは、ユーザのキーボード操作を記録することで、記録したログをサイバー攻撃者に送信します。マウスの操作を記録したり、画面のスクリーンショットを撮影したりする機能を持つものもあり、サイバー攻撃者はこれらのログを解析することで、サービスにログインするためのIDやパスワード情報を盗み出すことができます。

3-4 クリッカー型

 クリッカー型のトロイの木馬は、様々な設定を変更しようとする機能を持ちます。例えば、Webブラウザの設定画面からホームページの設定を悪意あるサイトに変更したり、特定のWebサイトで特定の場所を強制的にクリックしたりします。被害としては、ホームページを不正なWebサイトの購入画面に設定し、購入ボタンをクリックされる、高価なダイヤルアップ接続を利用させられることなどが考えられます。

3-5 パスワード窃盗型

 パスワード窃盗型のトロイの木馬は、キーロガーとは異なり、PCの内部を探索してパスワード情報や設定情報などが記録されている場所を探し、盗み出すものです。盗み出した情報は、C&Cサーバ経由で送信したり、サイバー攻撃者があらかじめ設定した宛先にメールしたりします。パスワードを盗まれてしまうと、勝手にサービスにログインされてサービスを利用されてしまいます。

3-6 プロキシ型

 プロキシ型のトロイの木馬は、感染したPCのIPアドレスの変更を行います。IPアドレスはインターネット上の住所のようなもので、URLアドレスも通信時にはIPアドレスに変換されます。感染したのがWebサーバだった場合には、マルウェア感染サイトに改ざんされたり、フィッシングサイトとして悪用されたりする可能性があり、この場合、被害者のはずのユーザが加害者になってしまう危険性があります。

3-7 ボット

 ユーザに気づかれないように侵入し、様々な操作を行うという点では、ボットもトロイの木馬の一種といえます。ボットもサイバー攻撃者の指示を待機しますが、特定の動作ではなく、サイバー攻撃者の遠隔操作を可能にします。サイバー攻撃者は大量のPCをボットに感染させてネットワーク化し、一括操作を可能にすることで、ウイルスメールの大量送信や、DDoS攻撃を行います。ユーザは知らないうちに攻撃に加担することになってしまいます。

4.代表的な感染経路と感染事例

4-1 代表的な感染経路

 トロイの木馬は、他のマルウェアと同じように、メールやWebサイト、あるいは掲示板やSNSなどを経由して感染します。例えば、標的型攻撃メールやフィッシングメール、スパムメールなど、ユーザがうっかり開いてしまうようなメールを作成し、添付ファイルを開いたり、メールの本文にあるリンクをクリックさせようとします。あるいは、Webサイトにアクセスすることでトロイの木馬をダウンロードしてしまう場合もあります。
 特に最近では、PCの脆弱性を悪用して感染させるケースが一般的になっています。脆弱性を悪用されると、添付ファイルを開いても普通に内容が表示されるので、ユーザは問題のないファイルと思ってしまいます。しかし、その裏で脆弱性を悪用してトロイの木馬に感染させるのです。これはWebサイト経由の場合も同様で、脆弱性によってはWebサイトを表示するだけで感染してしまいます。
 ソフトウェアの正規のアップデートプロセスを悪用するケースも確認されています。これは、サイバー攻撃者がソフトウェアメーカーのアップデート用のサーバに不正アクセスして改ざんし、不正なWebサイトに転送させるよう設定します。転送先の不正なWebサイトから、トロイの木馬を仕込んだアップデートファイルをダウンロードさせるわけです。

4-2 感染事例

 トロイの木馬の感染事例では、2012年に「PC遠隔操作事件」が発生しています。これは、掲示板に犯罪予告の書き込みがあり、IPアドレスなどの情報から数名が逮捕されました。しかし、実は犯罪者はひとりであり、数名のユーザのPCにトロイの木馬を感染させて遠隔操作を可能にし、書き込みを行っていました。誤認逮捕されたユーザは、掲示板サービスで「便利なソフト」という書き込みを見つけ、それをダウンロード、インストールしていました。このソフトが実はトロイの木馬だったのです。
 最近、話題になっている「BEC:Business E-mail Compromise(ビジネスメール詐欺)」で、トロイの木馬が関与した可能性が指摘されています。BECとは、経営者になりすましたメールを経理担当などに送り、特定の銀行口座に大金を振り込ませるサイバー犯罪です。BECでは、サイバー攻撃者が経営者のメールを長期間にわたって盗み見し、企業買収など大きなビジネスのタイミングに合わせて偽の送金指示のメールを送ります。ビジネスのタイミングを熟知しているので、正規の送金依頼のメールが送られた直後に、「先ほどの振込先が間違っていました」として、サイバー攻撃者の口座に振り込ませるわけです。この場合も、メールを盗み見るためにトロイの木馬を使用したとみられています。

5.これを知っておけば大丈夫!感染の発見・駆除・対策

5-1 発見が難しいトロイの木馬

 トロイの木馬は、なるべくユーザに気づかれないように動作します。このため、ユーザが「何かおかしい」と気づくケースは少ないと思われます。例えば、大量のメールを送信するものであれば、メールソフトの送信履歴を見れば気づけますが、最近では送信メールの履歴を削除するものもあります。また、必要のないときは休眠状態にあるので、PCのタスクに現れなかったり、よく使われるプロセスの名前を使って身を隠すケースもあります。ただし、動作しているときは総合セキュリティソフトで検知できます。

5-2 トロイの木馬の駆除

 総合セキュリティソフトがトロイの木馬を検知したときは、ほとんどの場合、駆除が可能です。トロイの木馬の種類によっては駆除できない場合もありますが、総合セキュリティソフトであればトロイの木馬のファイルを特定してくれるので、そのファイルやフォルダを手作業で削除すれば問題ありません。ただし、別のファイルからトロイの木馬が生成されるケースもあるので、総合セキュリティソフトで定期的にフルスキャンをかけましょう。

5-3 トロイの木馬への対策

 トロイの木馬は、マルウェアと同様の感染経路で感染します。このため、マルウェア対策をすればトロイの木馬にも対応できます。具体的には、総合セキュリティソフトを導入し、常に最新の状態に保つことです。PCはなるべく毎日起動するようにして、セキュリティソフトがアップデートできるようにしましょう。
 また、脆弱性対策も重要です。サイバー攻撃者が主に狙うのは、利用者の多い「Windows」や「Office」といったマイクロソフト製品、「Flash Player」やPDF関連のアドビ製品、そしてオラクルが提供している「Java」などです。これらのソフトがアップデートされたときには、なるべく早く適用するようにしましょう。マイクロソフト製品とアドビ製品は毎月第二水曜日、オラクル製品は四半期ごとに定期アップデートが提供されます。
 アップデート情報は、独立行政法人情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)などのサイトで公開されていますし、脆弱性情報をメールで受け取ることもできます。最近は、脆弱性情報の公開から、その脆弱性を悪用する攻撃の発生までの時間が短くなってきています。しっかりと対策してトロイの木馬を防ぎましょう。

6.まとめ

 マルウェアやコンピュータウイルスは常に進化を続け、攻撃のタイミングをうかがっています。増え続ける攻撃手法や新たな脆弱性に対しては情報収集を怠らないことも大切です。また、とりわけトロイの木馬は自覚症状がないケースもあるため、感染経路や被害事例を知ったうえでセキュリティ製品などで対策を講じることが望ましいでしょう。

著者:マカフィー株式会社 マーケティング本部