トロイの木馬とは?その概要と対策方法について

セキュリティ管理

はじめに

本記事をご覧いただいている皆様は、「トロイの木馬」という言葉を聞いたことはありますでしょうか?もともとは、ギリシア神話に登場する巨大な木馬に由来しておりますが、現在ではマルウェアの種別を表す用語として広く使われています。

今回の記事では、「トロイの木馬」と呼ばれるマルウェアについて、その概要と対策方法についてご紹介したいと思います。

トロイの木馬とは?

冒頭でも述べましたように、トロイの木馬とは、もともとギリシア神話に登場する巨大な木馬のことです。それまでに流行していた他のファイルに寄生するウイルス(狭義のウイルス)や単体で存在して他への大きな感染力をもつワームとは異なり、単体で存在し、それ自体には感染力を持たないものを「トロイの木馬」と呼ぶようになりました。

トロイの木馬は、感染力を持たないがゆえに、感染させる方法として、有益なフリーウェアやシェアウェアを装ってユーザーを騙す手法が取られました。それが木馬の中に兵士を潜めてトロイアという街に侵入した事と似ていることから、ユーザーの意図に反して、PCに侵入し攻撃者の意図する動作をするマルウェアをトロイの木馬という名前がつけられています。

トロイの木馬は、一般的には感染していることに気づかれないように秘密裏に活動するため、基本的には自己増殖や周りのPCに感染拡大する性質はないと言われています。逆に、一度PCに侵入されてしまうと知らないうちに様々な不正な動作を実行されてしまう恐れがあります。最近では特に危険なマルウェアはトロイの木馬に分類されるものが多く、注意が必要なマルウェアです。

トロイの木馬による主な活動

トロイの木馬は、侵入したPC上で密かに活動し、主に金銭や情報を搾取するための情報収集を行うことが多いです。以下に、トロイの木馬による主な活動について記載します。

不正にPCに侵入する

トロイの木馬の主な侵入方法の一つとして、PCを高速化させたり、不要なレジストリを削除したりといった役立ちそうなユーティリティーに見せかけて、トロイの木馬をインストールさせる手法があります。

また、OSやアプリケーションのセキュリティ脆弱性をついて、PCに侵入する手法もあります。いずれにしても、メールやWeb経由で意図せずトロイの木馬をインストールしてしまうケースが多いです。トロイの木馬の故事から、騙されなければ大丈夫と思われるかもしれませんが、ドライブバイダウンロード攻撃など、正規のサイトを閲覧しただけで感染する場合もあるため、気を付けているだけで感染を防ぐのは難しいのです。

バックドアを用意する

トロイの木馬は、不正にPCに侵入した後、攻撃者が意図する動作をするようにバックドアを用意し、C&C(コミュニケーション&コントロール)サーバーに接続できるようにする場合があります。これにより、最初に実行されたトロイの木馬がマルウェア対策製品に検出・検疫されたとしても、バックドア経由で再度PCに侵入できるようになります。

情報収集を行う

攻撃者は、バックドアを用意した後、マルウェア対策製品やEDR(Endpoint Detection & Response)製品に検知されないにように、少しずつ情報収集を行うことが多いです。その際、スクリーンショットを取得したり、キーロガーを使ってキー入力情報を取得したり、パスワードハッシュを取得したりして、Active Directoryやファイルサーバー等にログインするための情報収集を行います。

収集した情報を自動的にC&Cサーバー等に送信したり、バックドア経由で追加の攻撃に利用したりします。

情報搾取を行う等

情報収集した結果、Active Directoryやファイルサーバー等にログインするための情報が解析できてしまえば、攻撃者は社内にある機密情報を探し出し、ファイルを外部へ持ち出します。情報搾取以外にも、不正に送金させられたり、関係のないPCに対して攻撃させられたり、内部から大量に標的型攻撃メールを送信させられたりといった不正な行為が実施される可能性があります。

検出・対策方法

トロイの木馬は、意図せずPCに侵入する類のマルウェアですので、PCの動作が極端に重くなるといったことがない限り、ユーザーが感染に気づくことはあまりないでしょう。

よって、トロイの木馬を検出するには、マルウェア対策製品のエンジンや定義ファイルを最新状態にして、定期的にスキャンすることが重要です。また、トロイの木馬は外部からC&Cサーバーを介して操作される場合や、定期的に外部に対して情報を送信することが多いため、出口対策を強化・可視化して情報漏えいを未然に防ぐことも有効な対策です。

その他、OSやサードパーティー製アプリケーションのセキュリティパッチを適用して脆弱性のない状態にしたり、従業員が勝手にアプリケーションをインストールしないようにセキュリティ教育を実施したり、従業員にインストール権限アカウントを付与しない運用にしたりといった対策も有効です。

まとめ

今回の記事では、トロイの木馬についてその概要と対策方法についてご紹介いたしました。いかがでしたでしょうか?トロイの木馬自体は、特に目新しいものではありませんが、ランサムウェアのように見た目で分かるマルウェアだけではないことを認識しておいたほうが良いと思います。

なお、弊社では「PIT-マネージドエンドポイントプロテクション」という常にクラウド上にある最新の脅威データベースで検知・検疫できるマルウェア対策サービスや「AppGuardマネージドサービス」という従来の検知型のマルウェア対策製品と異なり、OSのプロセスやメモリー、レジストリへの書き込みを監視・隔離できるサービスを提供しております。

ご興味がございましたら、ぜひ弊社までお問い合わせください。

関連サービス:PIT-マネージドエンドポイントプロテクション
関連サービス:AppGuardマネージドサービス