トロイの木馬 - ウイルスかマルウェアか？

トロイの木馬とは何か？ 

贈り物を持ったギリシア人に気をつけろヴァージルの叙事詩『アエネーイス』では、オデュッセウスというギリシャの賢い軍師が、部下を城壁に囲まれたトロイの都に侵入させる計画を立てる。城壁を破壊したり登ったりする代わりに、オデュッセウスは別の方法を考えた。トロイの兵士たちは、ギリシア軍が降伏の印として巨大な木馬を残して去っていくのを見送る。勝利に酔いしれたトロイア兵は、その馬を城壁の中に入れるが、オデュッセウスとその部下たちがずっと城壁の中に隠れていたことに気づく。

トロイの木馬攻撃（または単に "トロイの木馬"）は、その名前の由来と同様に、コンピュータにおけるマルウェアの一種であり、欺瞞とソーシャル・エンジニアリングを利用して、悪意のある下心を隠した一見良さそうに見えるコンピュータ・プログラムを実行させるために、無防備なユーザーをだますものとして定義されています。厳密にはコンピュータ・ウイルスではなく、マルウェアの別形態ですが、「トロイの木馬ウイルス」は、トロイの木馬を指す一般的な方法となっています。 

トロイの木馬の特徴

トロイの木馬をウイルスやワームのように考える人がいるが、実際はどちらでもない。ウイルスとは、自己複製が可能で、他のプログラムに付着することで拡散するファイルインフェクターのことである。ワームはウイルスに似たマルウェアの一種であるが、拡散するために他のプログラムに付着する必要はない。現在、ほとんどのウイルスはレガシーな脅威とみなされている。ワームもまた、時折現れるものの、稀な存在となっている。 

「トロイの木馬は、ハッキングのスイスアーミーナイフのようなものだ。

トロイの木馬にはさまざまな種類があるため、トロイの木馬はマルウェア 配信の包括的な用語と考えてください。犯罪プログラマーの意図によって、トロイの木馬はハッキングのスイスアーミーナイフのようなものとなり、独立したマルウェアとして機能することもあれば、将来のペイロードの配信、ハッカーとの通信など、他の活動のためのツールとして機能することもある。 hackerギリシャ兵がトロイの木馬の要塞内部から行ったように、システムを攻撃に開放するのだ。

別の言い方をすれば、トロイの木馬は、即座に金銭を要求するランサムウェアから、個人データや財務データなどの貴重な情報を盗む間に自身を隠すスパイウェアまで、hackers あらゆる脅威を配信するために使用する配信戦略である。

アドウェアや PUP（潜在的に望ましくないプログラム）は、配信方法が似ているため、トロイの木馬と混同されることがあります。例えば、アドウェアがソフトウェアのバンドルの一部としてコンピュータに忍び込むことがあります。1つのソフトウェアをダウンロードしたつもりが、実は2つか3つのソフトウェアだったということがあるのです。プログラムの作者は通常、マーケティング・アフィリエイトの理由からアドウェアを含め、インストーラをオファーで収益化できるようにしている。このようなアドウェアのバンドルは通常、トロイの木馬よりも悪質性が低い。また、トロイの木馬のように自身を隠すこともありません。しかし、アドウェアの配布ベクトルがトロイの木馬と似ているため、混乱を引き起こす可能性があります。

トロイの木馬ウイルスの症状

トロイの木馬は、フリーソフトウェアや音楽、ブラウザの広告、一見合法的なアプリなど、あらゆるものに見せかけることができます。トロイの木馬の感染につながる可能性があるのは、ユーザーの賢明でない行動の数々です。以下にいくつかの例を挙げます：

• クラックされたアプリケーションのダウンロードソフトウェアの違法な無料コピーの約束は魅力的ですが、クラックされたソフトウェアやアクティベーション・キージェネレータにはトロイの木馬攻撃が隠されている可能性があります。
• 未知の無料プログラムをダウンロードする無料のゲームやスクリーンセーバーのように見えても、信頼できないサイトで見つけた場合は特に、本当にトロイの木馬である可能性があります。
• 感染した添付ファイルを開く請求書や納品書など、重要な添付ファイルのように見える奇妙なメールが届きますが、クリックするとトロイの木馬が起動します。
• いかがわしいウェブサイトを訪問すること。サイトの中には、一瞬の操作であなたのコンピュータを感染させるものもある。また、人気のある映画をストリーミングしているように見せかけ、特定のビデオコーデックをダウンロードした場合のみトロイの木馬に感染するといった手口を使うものもある。
• その他、最新のトレンドを利用して偽装するソーシャルエンジニアリング。例えば、2017年12月、インテルプロセッサーの広範なインストールベースが、ハードウェアの問題により攻撃を受けやすいことが発見された。Hackers 、Smoke Loaderと呼ばれるパッチを偽装してトロイの木馬をインストールし、その後のパニックを利用した。

トロイの木馬ニュース

• トロイの木馬SharkBotAndroid ユーザーを一掃
• トロイの木馬のソース悪意のあるコードを見え隠れさせる
• Polazertトロイの木馬、Google検索結果を悪用して拡散
• Bizarro：厄介なトリック満載のバンキング型トロイの木馬
• Android トロイの木馬 xHelper が執拗な再感染手口を使用：駆除方法はこちら
• トロイの木馬 IcedID の新バージョンがステガノグラフィーを使用
• Google Playに新たなAndroid トロイの木馬型マルウェアが発見される
• トロージャンズ本命は？

トロイの木馬ウイルスの歴史

遊びとゲーム

1975年にリリースされたANIMALと呼ばれるプログラムは、一般にトロイの木馬攻撃の世界最初の例と考えられている。これは、20の質問に沿った単純なゲームとして表示されていた。しかし、その裏では、このゲームは他のユーザーが見つけることのできる共有ディレクトリに自分自身をコピーしていた。そこから、ゲームはコンピューター・ネットワーク全体に広がる可能性があった。大部分は無害ないたずらだった。

1989年12月になると、トロイの木馬による攻撃は悪ふざけではなくなっていた。最初のランサムウェアとして知られるAIDSトロイの木馬が入った数千枚のフロッピーディスクが、『PC Business World』誌の購読者や世界保健機関（WHO）のエイズ会議のメーリングリストに郵送されたのだ。このDOSトロイの木馬は、90回の起動サイクルの間休眠し、システム上のすべてのファイル名を暗号化した後、ユーザーに、復号化プログラムを受け取るためにパナマの私書箱に189ドルを送るよう求める通知を表示した。

1990年代、別の悪名高いトロイの木馬が、単純なモグラたたきゲームの形を装って登場した。このプログラムには、ネットワーク経由でマイクロソフト・Windows コンピューター・システムを遠隔操作できるプログラム、NetBusのバージョンが隠されていた。リモート・アクセスによって、攻撃者はコンピューターに対して、CDトレイを開くことさえも含め、さまざまなことができるようになる。

愛とお金

2000年、「ILOVEYOU」と呼ばれるトロイの木馬は、当時史上最も破壊的なサイバー攻撃となり、被害額は87億ドルに上ると推定された。受信者は、"ILOVEYOU "という名前のテキスト添付ファイルのような電子メールを受け取った。興味本位でそれを開くと、そのプログラムはファイルを上書きするスクリプトを起動し、ユーザーの連絡先リストにあるすべての電子メールに自分自身を送信した。このワームは技術的な観点からも巧妙であったが、ソーシャル・エンジニアリングの利用が最も巧妙な要素であったことは間違いない。

2000年代に入っても、トロイの木馬による攻撃は進化を続け、その脅威も進化を続けていた。トロイの木馬は、人々の好奇心を標的にする代わりに、違法ダウンロードの増加を利用し、マルウェアを音楽ファイルや映画、ビデオコーデックに偽装しました。2002年には、Beastと呼ばれるWindows バックドア型トロイの木馬が出現し、Windowsほぼすべてのバージョンに感染することができました。そして2005年後半、Zlobと呼ばれる別のバックドア型トロイの木馬が、ActiveXの形で必要なビデオコーデックに偽装して配布された。

2000年代にはMac ユーザーも増加し、サイバー犯罪者もそれに追随した。2006年には、OSX/Leap-AまたはOSX/Oompa-Aとして知られる脅威の低いトロイの木馬である、史上初の MacOSX 用マルウェアの発見が発表された。

トロイの木馬攻撃の動機も、この頃から変化し始めた。初期のサイバー攻撃の多くは、権力欲、支配欲、純粋な破壊欲を動機としていた。2000年代に入ると、貪欲さを動機とする攻撃が増加した。2007年、Zeusと名付けられたトロイの木馬は、キーロガーによって銀行情報を盗むためにマイクロソフト・Windows 標的にした。2008年、hackers Torpigをリリースし、SinowalやMebrootとしても知られ、アンチウィルス・アプリケーションをオフにすることで、他者がコンピューターにアクセスし、データを変更し、パスワードなどの機密情報を盗むことを可能にした。

より大きく、より悪く

サイバー犯罪が2010年代に入ると、貪欲さは続いたが、hackers より大きなことを考えるようになった。ビットコインのような追跡不可能な暗号通貨の台頭は、ランサムウェア攻撃の増加につながった。2013年、Cryptolockerトロイの木馬が発見された。Cryptolockerはユーザーのハードドライブ上のファイルを暗号化し、復号化キーを受け取るために開発者に身代金の支払いを要求する。同年末には、ランサムウェアの模倣型トロイの木馬も多数発見された。

「今日私たちが耳にするトロイの木馬の多くは、特定の企業や組織、あるいは政府をターゲットとして設計されている。

2010年代は、被害者の標的の絞り方にも変化が見られる。多くのトロイの木馬が、可能な限り多くのユーザーを感染させようとする包括的なアプローチを依然として使用している一方で、よりターゲットを絞ったアプローチが増加しているようだ。今日、私たちが耳にするトロイの木馬の多くは、特定の企業や組織、あるいは政府をターゲットとして設計されたものです。2010年には、Windows トロイの木馬であるStuxnetが検出された。これはコンピュータ制御システムを攻撃する最初のワームであり、イランの核施設を標的にするために設計されたとの指摘もある。2016年には、Tiny Banker Trojan（Tinba）が話題になった。発見以来、TDバンク、チェース、HSBC、ウェルズ・ファーゴ、PNC、バンク・オブ・アメリカなど、米国の大手銀行20数社に感染していることが判明している。2018年には、かつてそれ自体がバンキング型トロイの木馬であったEmotetトロイの木馬が、他のトロイの木馬を含む他の種類のマルウェアを配信していることが確認された。

マルウェアを配信する最も古く、最も一般的な方法の1つであるトロイの木馬の歴史は、サイバー犯罪そのものの歴史と同じである。友人への悪ふざけから始まったトロイの木馬は、ネットワークを破壊し、情報を盗み、金を稼ぎ、権力を掌握する手段へと姿を変えた。いたずらの時代はとっくに終わった。その代わりに、主にデータ窃盗、スパイ活動、分散型サービス拒否（DDoS）攻撃に使われる深刻なサイバー犯罪ツールであり続けている。

トロイの木馬にはどのような種類がありますか？

トロイの木馬は多用途で非常に人気があるため、すべての種類を特徴づけることは困難です。とはいえ、ほとんどのトロイの木馬は、ユーザーのコンピュータを制御したり、データを盗んだり、ユーザーをスパイしたり、被害者のコンピュータにさらにマルウェアを挿入したりするように設計されています。以下は、トロイの木馬の攻撃から生じる一般的な脅威です：

• システムへのリモートアクセスを可能にするバックドア。この種のマルウェアは、hacker デバイスを制御し、データを盗み、さらにマルウェアをダウンロードできるようにセキュリティを変更します。
• スパイウェアは、あなたがオンライン・アカウントにアクセスしたり、クレジットカードの詳細を入力したりするのを監視する。そして、パスワードやその他の識別データをhacker送信します。
• ゾンビ化するトロイの木馬は、hacker支配下にあるネットワークの奴隷にするために、あなたのコンピュータをコントロールします。これは、ボットネット（ロボット＋ネットワーク）を作成するための最初のステップであり、トラフィックを殺到させることでネットワークをダウンさせることを目的とした分散型サービス拒否（DDoS）攻撃を実行するために使用されることが多い。
• ダウンローダー型トロイの木馬（Emotetが良い例）は、ランサムウェアやキーロガーなど、他の悪意のあるモジュールをダウンロードして展開します。
• ダイヤラ型トロイの木馬は、もはやダイヤルアップモデムを使っていないので、時代錯誤に思えるかもしれない。しかし、これについては次のセクションで詳しく説明する。

Android スマートフォンのトロイの木馬アプリ

トロイの木馬はラップトップやデスクトップだけの問題ではない。トロイの木馬はモバイル・デバイスも攻撃します。何十億台もの携帯電話が使用されていることを考えれば、その標的が魅力的であることは理解できます。

コンピュータと同様、トロイの木馬は自身を正当なプログラムとして見せるが、実際はマルウェア満載の偽バージョンのアプリだ。

このようなトロイの木馬は通常、非公式や海賊版のアプリマーケットに潜み、ユーザーを誘惑してダウンロードさせる。トロイの木馬はあらゆる悪事を働き、携帯電話に広告やキーロガーを感染させ、情報を盗み出します。ダイヤラ型トロイの木馬は、プレミアム SMS テキストを送信することで収益を得ることもできます。    

「ブラウザー拡張アドオンはトロイの木馬としても機能する。

Androidユーザは、トロイの木馬化されたアプリの被害にあっている。Google Playでさえ、トロイの木馬化されたアプリを常にスキャンし、パージしている（トロイの木馬の発見後、何度も）。ブラウザ拡張アドオンもトロイの木馬として機能する可能性があります。

グーグルはパソコンからブラウザのアドオンを削除することができるが、携帯電話ではトロイの木馬は画面上に透明なアイコンを置くことができる。ユーザーには見えないが、それでも指で触れると反応してマルウェアを起動する。

iPhoneユーザーには朗報だ：アップル社のApp Store、iOS、そして携帯電話上のその他のアプリへのアクセスに関する制限的なポリシーは、トロイの木馬の侵入を防ぐのに良い仕事をしている。唯一の例外は、App Store以外のサイトからフリーソフトをダウンロードするために携帯電話を脱獄している人たちだ。Appleの設定外で危険なアプリをインストールすると、トロイの木馬に狙われやすくなる。

トロイの木馬ウイルスを駆除するには？

トロイの木馬がデバイスに感染したら、それをクリーンアップして望ましい状態に戻す最も普遍的な方法は、良質の自動マルウェア対策ツールを使用して、完全なシステムスキャンを行うことです。トロイの木馬の感染が心配な場合は、当社の無料トロイの木馬スキャナーをお試しください。 

アドウェアやマルウェアを検出して除去する無料のアンチウイルスおよびアンチマルウェアプログラムは、Windows、Android、およびMac用の当社製品を含め、数多くあります。実際、トロイの木馬検出の80%はヒューリスティック分析によって行われるため、Malwarebytes 既知のトロイの木馬をすべて検出します。挿入されたマルウェアとバックエンドサーバとの間の通信を遮断し、トロイの木馬を隔離することで、さらなる感染を軽減することもできます。当社の無料マルウェアツールは既存のマルウェアをスキャンして除去し、プレミアム製品はトロイの木馬、ウイルス、ワーム、ランサムウェアなどのマルウェアをプロアクティブにスキャンして保護します。まずはプレミアム製品の無料トライアルをお試しください。    

トロイの木馬ウイルスを防ぐには？

トロイの木馬はユーザーを騙してコンピュータに侵入させるため、警戒を怠らず、優れたセキュリティ習慣を守ることで、ほとんどの感染を回避することができます。無料の映画やギャンブルを提供するウェブサイトに対しては健全な懐疑心を持ち、その代わりに、無許可のミラー・サーバーからではなく、製作者のサイトから直接無料のプログラムをダウンロードするようにしましょう。

もう1つの予防策：Windows デフォルト設定を変更し、アプリケーションの本当の拡張子が常に表示されるようにする。こうすることで、何の変哲もないアイコンに騙されるのを防ぐことができる。

Windows版Malwarebytes 、 Android版Malwarebytes 、 Mac版Malwarebytes インストールする以外のグッドプラクティスには、次のようなものがあります：

• 定期的な診断スキャンの実行
• オペレーティング・システム・ソフトウェアの自動アップデートを設定し、最新のセキュリティ・アップデートを確実に入手する。
• アプリケーションを常に更新し、セキュリティの脆弱性にパッチが適用されていることを確認する。
• 安全でないウェブサイトや不審なウェブサイトを避ける
• 確認されていない添付ファイルや、見慣れないメールのリンクを疑うこと
• 複雑なパスワードの使用
• ファイアウォールの背後にとどまる

Premium 保護

Malwarebytes、感染予防に真剣に取り組んでいます。そのため、不正または疑わしいと思われるウェブサイトと広告の両方を積極的にブロックしています。例えば、The Pirate Bay のようなトレントサイトはブロックしています。このようなサイトを問題なく利用している経験豊富なユーザーも多くいますが、ダウンロード用に提供されているファイルの中には本当にトロイの木馬であるものもあります。同様の理由で、ブラウザを介したクリプトマイニングもブロックしていますが、ユーザーはブロックをオフにして接続することもできます。

私たちの理由は、安全側に立った方が良いということだ。リスクを負いたければ、サイトをホワイトリストに登録するのは簡単だが、技術に精通したタイプでさえ、説得力のあるトロイの木馬に引っかかる可能性がある。

トロイの木馬、マルウェア、その他のサイバー脅威に関する詳細については、Malwarebytes Labs ブログをご覧ください。このブログで学んだことが、この先の感染回避に役立つかもしれません。