トロイの木馬は古くから知られるマルウェアながら、今なお、その巧妙な手口で被害が生じている。ユーザーに気づかれないよう端末に潜伏して攻撃することから、検知や対処が難しいのが特徴だ。この記事では、トロイの木馬の概要と感染時の症状、そして、感染した場合の対処方法について解説する。
トロイの木馬による被害
トロイの木馬とは、無害なプログラムを装って端末へ侵入するマルウェアの一種として知られる。ギリシャ神話のトロイア戦争において、正体を偽って敵地へ潜入した故事に由来して名付けられたものだ。
先の故事にならい、端末に侵入した後、実際に攻撃を開始するまで潜伏するマルウェアが、トロイの木馬と定義されている。トロイの木馬はサイバー攻撃において、ほかのマルウェアをダウンロードならびに実行し、被害を拡大させる。1970年代には初期のトロイの木馬が発見されており、現在に至るまで進化を続けてきた。トロイの木馬に起因して、以下のような被害を生じる場合がある。
1)マルウェアやランサムウェアの感染
トロイの木馬により、さまざまなマルウェアがダウンロードおよび実行される。その結果、アカウントが乗っ取られたり、パソコンやスマートフォン(以下、スマホ)が遠隔操作されたりするリスクが生じる。また、昨今、国内でも被害が拡大しているランサムウェアに感染し、企業の保有するデータが不正に暗号化されてしまう、あるいは、窃取した機密情報を一般に公開すると脅迫されてしまうこともある。
マルウェアやランサムウェアに感染した場合、社内ネットワークを経由し、ほかの端末へと感染が広がる可能性もある。その結果、被害が広範囲に及ぶケースがある。
2)個人情報、機密情報の流出
アカウントのパスワードや、端末に保存された画像や個人情報が窃取されるリスクがある。業務で利用する端末の場合、顧客情報や機密情報が流出し、大規模な情報漏えい事件につながる恐れもある。
3)なりすましによる不正利用
オンラインバンキングのIDとパスワードが盗まれると、預金が引き出されてしまう可能性がある。また、クレジットカードの情報が盗まれた場合、不正に商品や金券を購入し、換金される事態に発展する恐れもある。
4)不正行為の踏み台
端末が乗っ取られた結果、不正行為の踏み台として悪用される恐れがある。具体的には、スパムメールの送信元とされる、あるいは、サーバー停止を狙うDDoS攻撃、マルウェアの拡散に悪用されることもある。意図せず不正行為の踏み台とされたために、結果として、犯罪のほう助とみなされる恐れもある。
トロイの木馬の種類
トロイの木馬に感染する経路としては、メールに添付されたファイルや、改ざんされたWebサイトが挙げられる。また、ショートメッセージ(SMS)や、SNSのダイレクトメッセージ(DM)などに記載されたURLからファイルがダウンロードされ、トロイの木馬に感染する場合もある。ほかにも、ソフトウェアやスマホのアプリに偽装される、あるいはプログラム内部に埋め込まれるケースが知られている。
トロイの木馬は、その機能によって以下のようなタイプに分類される。
1)ダウンローダー型
端末に侵入した後、ユーザーに気づかれないよう、マルウェアをダウンロードする。断片的にマルウェアのファイルをダウンロードするなど、巧妙に行われる場合もある。
2)バックドア型
外部から端末を操作できる「裏口(バックドア)」を設け、遠隔から端末を不正に操作する。その裏口を介して外部サーバーへ機密情報が流出したり、マルウェアに感染したりする。
3)キーロガー型
端末におけるキーボード操作の履歴を不正に取得し、パスワードの窃取や情報収集などに悪用する。IPアドレスを含めたシステム情報を収集し、外部へ転送するスパイウェア型のマルウェアも存在する。
トロイの木馬に感染した際に見られる症状
トロイの木馬は基本的にユーザーに気づかれないよう、攻撃を仕掛ける。最近ではパソコンだけでなく、スマホもトロイの木馬のターゲットとなっているが、マルウェアによって端末やアプリの設定が変更されていたとしても、初期状態の設定を正確に把握していなければ、そうした設定の変化を見抜くことは難しいだろう。
ただし、場合によっては、トロイの木馬、あるいはトロイの木馬に由来するマルウェアに感染した際に、ユーザーが認識できるような疑わしい症状が現れることもある。以下に、感染が疑われる症状を紹介する。これらの症状には、いくつかの要因が考えられるため、必ずしも感染したことを意味するわけではないが、その兆候として注意するようにしたい。
1)端末の処理が遅くなる、あるいは停止する
バックグラウンドでマルウェアが活動している場合、端末の動きが遅くなったと感じる場合がある。また、端末が予期せずシャットダウンや再起動を繰り返すようなケースもある。Windows OSの端末であれば、タスクマネージャーからCPU使用率が高い状況が確認できるだろう。スマホでは、バックグラウンドの処理で負荷が高くなり、バッテリー消費が通常より速くなるといった兆候が見られる場合もある。
2)ソフトウェアの設定が変更される、あるいは停止する
これまで使用していたWebブラウザーやアプリの設定が勝手に変更される場合がある。悪質な場合、セキュリティソフトが強制的に停止されるケースもある。
3)身に覚えのない通信や利用履歴がある
送信メールやショートメッセージ、SNS投稿で身に覚えのない履歴があるのも疑わしい症状の1つだ。スマホであれば、見知らぬ発信履歴があったり、普段に比べてデータ使用量が急増したりといった兆候が見られる。また、クレジットカードの不正請求が発覚する場合もある。
4)不審なポップアップ画面が表示される
不正な広告を表示するアドウェアと呼ばれるマルウェアは主に、個人情報やアカウント情報を詐取するフィッシングサイトへと誘導する。加えて最近では、トロイの木馬やランサムウェアに感染したと騙る、偽の警告文を表示するタイプも知られている。ウイルスに感染したと信じ込ませるポップアップ画面を表示した後、そのウイルス駆除をサポートすると偽り、金銭の詐取を試みるサポート詐欺もある。
トロイの木馬に感染した際の対処方法
トロイの木馬に感染した疑いが強い場合、以降の感染拡大を防ぐために、迅速な調査と隔離ならびに駆除を行う必要がある。以下に、具体的な対処方法を紹介する。
1)ネットワークから遮断する
ほかの端末への感染拡大を防ぐため、速やかに感染した端末をインターネットから遮断する必要がある。感染した端末は外部サーバーと不正な通信を行っている場合があるため、その通信を遮断し、情報漏えいやそれ以降の不正な動きを抑止する。
特に、業務利用の端末では、社内ネットワークから遮断し、ほかの業務端末への感染拡大を防ぐことは非常に重要だ。
2)セキュリティソフトでスキャンを実行する
セキュリティベンダーから提供されているセキュリティソフトのマルウェア対策機能では、さまざまな種類のマルウェアを検出、駆除できる。安全性を高めるためにも、常に定義ファイルを最新版に更新しておくことが求められる。また、定期的なセキュリティスキャンは徹底しておきたい。
3)周囲のITに詳しい人に相談する
自分では対処や判断が難しい挙動に遭遇した場合、周囲のITに詳しいユーザーに相談すると良いだろう。企業・組織では情報システム部門、あるいはそれに準ずる部門が設置されているはずだ。自分で判断できない場合、やみくもに操作するよりも、知見ある担当者に相談した方がリスクを軽減できる。
また、セキュリティソフトを提供するベンダーなどでは、有償製品にはサポートが含まれている。周囲に頼れる人がいない場合、そのようなサービスを利用するのも一考だ。
4)端末のリカバリーを試す
残念ながら、トロイの木馬やマルウェアが検出された場合、完全に駆除できないケースがある。そのような際には、端末自体の初期化が必要になることもある。仮に初期化を行う場合、端末に保存されたデータが消失してしまう恐れがある。こうした事態に陥らないためにも、日常的にバックアップをとっておく、あるいは定期的にバックアップを実行する機能を有効化しておきたい。
トロイの木馬に感染しないための対策
先述のとおり、トロイの木馬はスパムメールやダウンロードされるファイルを経由して感染するケースが多い。近年、多数の被害が報告されたトロイの木馬の代表例としてEmotetが挙げられるが、これは、マイクロソフト社のオフィス文書に含まれるマクロ機能を悪用するケースが多かった。
こうした攻撃全般に共通するのが、手口の悪質化と巧妙化だ。特定の個人や組織を狙う標的型攻撃などを組み合わせ、巧みにユーザーを陥れようとしている。そのため、完全にリスクをゼロにする対策は存在しないというのが実情だ。
そうした前提を踏まえ、マルウェア感染のリスクを可能な限り軽減するには、セキュリティにおける基本的な対策を徹底する必要がある。例えば、不審なメールは開封しない、URLはクリックしない、メールやSNSなどでやり取りする相手が本物であるかを絶えず疑う、といった対策が含まれる。加えて、フィッシング詐欺の手法は現在進行形で巧妙化していることも頭に入れておきたい。
また、攻撃者による不正侵入を防ぐためのセキュリティ対策として、ネットワークを適切に保護する、あるいはエンドポイントセキュリティと呼ばれる、端末自体を保護するソリューションを活用するのも重要だ。そして、万が一、端末へ侵入された場合に備え、日頃から、その被害を最小化する対策を実施してほしい。端末に保存したファイルをバックアップするのは、その代表的な対策と言える。
ユーザーそれぞれがセキュリティ意識を高めることで、トロイの木馬の被害を防ぐようにしたい。
