代表的なマルウェアの1つに「トロイの木馬」がある。トロイの木馬は、ユーザーになるべく気づかれないように動作するため、ユーザーがその存在に気づくことは難しい。

マカフィーの公式ブログをもとに、トロイの木馬の基礎知識を整理し、駆除・対策のポイントをまとめてみたい。

トロイの木馬の特徴

ご存じの方も多いと思うが、「トロイの木馬」という名称はトロイア戦争のトロイの木馬に由来している。トロイア戦争で、ギリシャ軍は兵士が大量に潜んでいる巨大な木馬をトロイアに贈り、その兵士たちによってトロイアは陥落した。

マルウェアの「トロイの木馬」も当初は、正規のソフトウェアのふりをしてユーザーにインストールさせ、不正な行為を行うというものだった。感染すると、ユーザーに気づかれないように、さまざまな悪意のある行動を行う。

最近では、マルウェアに感染させる際に、最初にトロイの木馬を送り込むケースが増えている。PCに侵入すると「バックドア」を開いてサイバー攻撃者の指示を待ち、指示を受けて活動する。

トロイの木馬自身に感染を拡大する機能はないが、サイバー攻撃者の指示により感染機能を持つマルウェアを追加ダウンロードすることができる。そのため、気づかれずに侵入してサイバー攻撃者の指示を待つという点では、「ボット」もトロイの木馬の一種と言えるという。

トロイの木馬の種類

トロイの木馬は歴史が古いため、さまざまなタイプがあるが、マカフィーのブログでは代表的なものとして、「バックドア型」「ダウンローダ型」「キ―ロガー型」「クリッカー型」「パスワード窃盗型」「プロキシ型」「ボット」が挙げられている。

それぞれ、以下のような特徴を持つ。

種類 概要
バックドア型 通信用のポートを開いて、C&Cサーバに接続・遠隔操作する
ダウンローダ型 ファイルをダウンロードする機能を持つ
キ―ロガー型 ユーザーのキーボード操作を記録することで、記録したログを攻撃者に送信する
クリッカー型 Webブラウザの設定変更、特定の場所を強制的にクリックさせるなど、設定を変更しようとする機能を持つ
パスワード窃盗型 PCの内部を探索してパスワードや設定情報などが記録されている場所を探し、盗み出す
プロキシ型 感染したPCのIPアドレスを変更する
ボット ユーザーに気づかれないように侵入し、さまざまな操作を行う

代表的な感染経路

トロイの木馬は、他のマルウェアと同様に、メールやWebサイト、掲示板やSNSなどを経由して感染する。例えば、標的型攻撃メールやフィッシングメール、スパムメールなど、ユーザーがうっかり開いてしまうようなメールを作成し、添付ファイルを開いたり、メールの本文にあるリンクをクリックさせようとしたりする。

最近は、脆弱性を悪用して感染させるケースが一般的になっているという。脆弱性を悪用されると、添付ファイルを開いても普通に内容が表示されるので、ユーザーは問題のないファイルと思ってしまう。しかし、その裏で脆弱性を悪用してトロイの木馬に感染させる。Webサイト経由の感染も同様で、脆弱性によってはWebサイトを表示するだけで感染してしまうという。

加えて、ソフトウェアの正規のアップデートプロセスを悪用するケースも、感染経路として挙げられている。具体的には、攻撃者がソフトウェアメーカーのアップデート用のサーバに不正アクセスして改竄し、不正なWebサイトに転送させるように設定するというものだ。

感染の発見・駆除・対策のポイント

前述したように、トロイの木馬はユーザーに気づかれないように動作するため、ユーザー自身が気づくケースは少ない。例えば、必要がない時は休眠状態にあるので、PCのタスクに現れなかったり、よく使われるプロセスの名前を使って身を隠したりするケースもあるという。ただし、動作している時はセキュリティソフトで検知できるという。

そして、マカフィーでは、セキュリティソフトがトロイの木馬を検知した時、ほとんどの場合、駆除が可能としている。種類によっては駆除できない場合もあるが、セキュリティソフトでトロイの木馬のファイルを特定するので、そのファイルやフォルダを手作業で削除すれば問題ないという。

ただし、別のファイルからトロイの木馬が生成されるケースもあるので、セキュリティソフトで定期的にフルスキャンすることを勧めている。

トロイの木馬は、マルウェアと同様の感染経路で感染するため、マルウェア対策をすればトロイの木馬にも対応できるという。具体的には、セキュリティソフトを導入し、常に最新の状態に保つこととしている。

加えて、脆弱性対策も重要となる。攻撃者は、利用者が多いWindowsやOfficeなどのマイクロソフト製品、Flash Playerなどのアドビ製品、オラクルが提供しているJavaなどを主に狙うので、これらのアップデートはなるべく早く適用する必要がある。