トロイの木馬型マルウェアはマルウェアの一種で、正規のソフトウェアに偽装していることが多く、サイバー犯罪者やハッカーがユーザーシステムにアクセスを試みるために使用されます。何らかのソーシャルエンジニアリングの手口によってユーザーを騙し、ユーザーシステム上でマルウェアを実行します。マルウェアが活動を始めると、サイバー犯罪者はユーザーを密かに監視したり、機密データを盗んだり、バックドアを介してシステムにアクセスすることが可能になります。
「トロイの木馬」という用語は、トロイの街を陥落させる決め手となった偽装したトロイの木馬に関する古代ギリシャの物語に由来します。コンピューターに関して言えば、トロイの木馬型マルウェアも同じように動作します。一見無害のように見えるプログラム内に隠れたり、ユーザーを騙してこのマルウェアをダウンロードさせようとしたりします。この名前は、米空軍による1974年のレポートで造語されました。このレポートでは、コンピューターが侵害される可能性がある仮説の方法について推測しました。
時々、「トロイの木馬型マルウェア」という用語を耳にすることがありますが、この用語は少々誤解を与えかねません。その理由は、マルウェアとは違い、トロイの木馬は自己複製しないからです。むしろ、トロイの木馬は、役に立つソフトウェアまたはコンテンツのふりをしながら、悪意のある命令を秘密裏に送り込みます。「トロイの木馬型」は、ハッカーが様々な脅威に使用する、マルウェアを送り込むための包括的な用語であると考えた方が実用的です。
トロイの木馬が機能するには、被害者によって実行される必要があります。トロイの木馬型マルウェアは、複数の方法でデバイスを感染させることができます。以下に例を示します。
トロイの木馬に関連して、「ドロッパー型トロイの木馬」という用語がしばしば使用されます。ドロッパーとダウンローダーは、トロイの木馬を含む様々なタイプのマルウェアのヘルパープログラムです。これらは通常、スクリプトまたは小型アプリケーションとして導入されます。これらは、悪意のあるアクティビティをそれ自体で実行することはなく、コアとなる悪意のあるモジュールをダウンロード、解凍、インストールすることで、攻撃の下準備をします。
トロイの木馬型マルウェアは、コンピューター上の活動の種類によって、以下のように分類されます。トロイの木馬型マルウェアの例は、以下の通りです。
バックドア
サイバー犯罪者が感染させたコンピューターを遠隔から操作できるようにするために利用されます。感染させたコンピューターに対して、ファイルの受信、送信、実行、削除、データの表示、コンピューターの再起動など、どのような操作でも実行できるようになります。多くの場合、バックドア型のトロイの木馬型マルウェアは感染させたコンピューターをグループ化し、ボットネットやゾンビネットワークを形成して犯罪に利用します。
ぜい弱性攻撃(エクスプロイト)
コンピューター上で実行されているアプリケーションソフトウェアのぜい弱性を悪用するためのデータやコードを収めたプログラムです。
バンキング型トロイの木馬
オンラインバンキングシステム、電子決済システム、クレジットカード、またはデビットカードのアカウントデータを盗むためのマルウェアです。
トロイの木馬「Clampi」
Clampi(LigatsやIlomoとも呼ばれます)は、コンピューター内に隠れて、ユーザーがサインインして金融取引(オンラインバンキングへのアクセスや、オンライン購入のためのクレジットカード情報の入力など)を行うのを待ちます。Clampiは、ファイアウォールの背後に隠れて長期間にわたって検知されないことが可能なほど十分に高度化されています。
トロイの木馬「Cryxos」
Cryxosは、いわゆるスケアウェアまたは偽のサポートコールリクエストと一般に関連付けられています。通常、被害者には、「あなたのデバイスはハッキングされました」または「あなたのコンピューターは感染しています」というメッセージが含まれるポップアップが表示されます。ユーザーには、サポートのための電話番号が示されます。ユーザーがこの番号に電話をかけると、サポート料金を支払うよう圧力をかけられます。場合によっては、ユーザーは、「カスタマーサービスエージェント」がマシンへリモートアクセスできるようにするよう求められますが、その結果、デバイスがハイジャックされたりデータが盗まれたりする可能性があります。
DDoS型トロイの木馬
標的のWebアドレスに対してDDoS(分散型サービス拒否)攻撃を行います。この攻撃は、感染させた複数のコンピューターから大量のリクエストを標的のアドレスを送りつけ、最終的にサービスをパンクさせます。
ダウンローダー型トロイの木馬
ダウンローダー型トロイの木馬(Trojan-Downloader)は、トロイの木馬やアドウェアなどの新しいバージョンの悪意のあるプログラムをコンピューターにダウンロードしてインストールします。
ドロッパー型トロイの木馬
このプログラムは、ハッカーがトロイの木馬やウイルスをインストールしたり、悪意のあるプログラムが検知されないようにするために使用されます。ウイルス対策製品の中には、このタイプのマルウェアの中の一部のコンポーネントを検知できないものもあります。
トロイの木馬「FakeAV」
トロイの木馬(Trojan-FakeAV)は、ウイルス対策製品とよく似た動作を行います。このプログラムは、存在しない脅威を報告し、脅威の検知と削除を引き換えにユーザーに金銭を要求します。
トロイの木馬「GameThief」
オンラインゲームのプレイヤーからユーザーアカウント情報を盗みます。
トロイの木馬「Geost」
Geostは、Androidのバンキング型トロイの木馬です。Geostは、ランダムに生成されたサーバーのホスト名を使用した非公式のWebページを介して分散される悪意のあるアプリ内に隠れます。被害者は通常、Google Playでは入手できないアプリを探すときにこれらのWebページにたどり着きます。アプリがダウンロードされると、許可をリクエストします。この許可が有効になると、マルウェアの感染が可能になります。Geostは、Geostの背後にいる犯罪集団がセキュリティ上のミスを犯した後に発見されました。この結果、研究者が犯罪集団の活動を見破るだけでなく、一部の犯罪者を特定することさえできました。
トロイの木馬「IM」
WhatsApp、Facebook Messenger、Skypeなどのインスタントメッセンジャーのログイン情報とパスワードを盗みます。攻撃者は、この種のトロイの木馬を使用することで、連絡先リスト内の人物にトロイの木馬を送信し、チャットセッションを制御できます。また、攻撃者は、コンピューターを使用してDDoS攻撃を実行することもできます。
トロイの木馬「Mailfinder」
これらのプログラムがコンピューターからメールアドレスを盗み取ることで、サイバー犯罪者は、マルウェアや大量のスパムメールをユーザーの連絡先に送信できます。
ランサム型トロイの木馬
コンピューター上のデータを改ざんして、コンピューターが正常に動作しないように、あるいは特定のデータを使用できないようにします。サイバー犯罪者が要求する身代金をユーザーが支払った場合のみ、コンピューターのパフォーマンスを元に戻したり、データのブロックが解除したりします。
リモートアクセス型トロイの木馬
リモートアクセス型トロイの木馬(略称:RAT)は、ハッカーが遠く離れた場所からユーザーのコンピューターを完全に制御できるようにします。これらを使用して、情報を盗み出したりユーザーをスパイしたりできます。ホストシステムが侵害されたら、侵入者は、ホストシステムを使用してRATをその他のぜい弱なコンピューターに分散してボットネットを構築します。
ルートキット
システム内の特定のオブジェクトや活動を隠ぺいします。感染させたコンピューター上で悪意のあるプログラムが長く活動できるよう、プログラムが検知されないようにすることが主な目的です。
SMS型トロイの木馬
ユーザーのモバイルデバイスから有料課金の電話番号にテキストメッセージを送信することで、ユーザーにその料金を支払わせます。
スパイ型トロイの木馬
トロイの木馬(Trojan-Spy)は、ユーザーのコンピューターの利用状況をひそかに監視し、情報を盗み取ります。たとえば、キーボードから入力したデータの追跡、スクリーンショットの取り込み、実行したアプリケーションのリストの取得などを行います。
トロイの木馬「Qakbot」
Qakbotは、高度なバンキング型トロイの木馬です。バンキング情報を盗み出すことに特化して設計された最初のマルウェアであると考えられているこのトロイの木馬は、多くの場合、その他の広く知れ渡っているツールと併用されます。
トロイの木馬「Wacatac」
トロイの木馬「Wacatac」は、標的システムに対して様々な悪意のあるアクションを実行でき、重大な損害をもたらすトロイの木馬型脅威です。これは通常、フィッシングメール、感染したネットワーク経由のファイル共有、ソフトウェアパッチを介して侵入します。機密データを盗み、ハッカーと共有することを目指します。また、ハッカーがリモートアクセスして有害なタスクを実行できるようにすることもできます。
その他のトロイの木馬の例は、以下の通りです。
トロイの木馬の潜伏能力はますます高くなっています。トロイの木馬は、ユーザーを騙してインストールさせてから、背後に潜んで目的を達成します。被害に遭うと、すでに遅すぎる時点まで気付くことさえできない場合があります。デバイスがトロイの木馬型マルウェアによって侵害されている疑いがある場合、以下の徴候に注意を払うべきです。
一部のトロイの木馬は、コンピューター上の、信頼できるソースからのものではない起動アイテムを無効化することで削除できます。これを行うには、デバイスをセーフモードで再起動し、ユーザーによるトロイの木馬の削除を阻止できないようにします。
コンピューターが機能するために必要な基本プログラムを削除してしまうと、システムの動作が遅くなったりシステムが無効になったりする可能性があるため、どのプログラムを具体的に削除するかを明確に判断してください。
一言で言えば、答えは「イエス」です。トロイの木馬型マルウェアは、モバイルデバイスだけでなくノートPCやデスクトップにも感染します。このような事態になる場合はたいてい、本物のプログラムであるように見えるが、実際にはマルウェアが含まれるアプリケーションの偽バージョンであるプログラムが原因です。通常、これらのプログラムは、無防備なユーザーによって非公式または海賊版のアプリからダウンロードされたものです。最近の例としては、Clubhouseアプリの偽バージョンのアプリなどがあります。トロイの木馬アプリは、ユーザーの携帯電話から情報を盗んだり、ユーザーの携帯電話から有料課金のSMSテキストメッセージを送信させてハッカーに金銭をもたらしたりもします。
ただし、iPhoneがトロイの木馬に感染することはめったにありません。その理由の1つは、Appleの「ウォールドガーデン」アプローチです。これは、サードパーティ製のアプリはApp Storeによって承認および精査される必要があることを意味します。もう1つの理由は、iOSのアプリはサンドボックス化されていることです。これは、これらのアプリがその他のアプリとやり取りしたり、ユーザーの携帯電話のオペレーティングシステムに深くアクセスしたりできないことを意味します。しかし、携帯電話が脱獄した場合は、これと同じレベルのマルウェアからの保護を享受することはできません。
これまで同様、包括的なウイルス対策保護と優れたサイバーセキュリティ対策の組み合わせが、トロイの木馬型マルウェアからの最善の保護対策です。
ウイルス対策製品をインストールすることで、PC、スマートフォン、タブレットなど、お使いのデバイスをトロイの木馬型マルウェアから保護できます。Kaspersky Total Securityのような堅牢なウイルス対策ソリューションは、デバイスに対するトロイの木馬攻撃を検知して防止し、より安全なオンラインエクスペリエンスを実現します。
関連記事