トロイの木馬とは?
感染した場合の症状・被害・対処法について解説
トロイの木馬は、無害なプログラムに偽装して端末内部に侵入し、バックグラウンドで悪事を働くマルウェアです。コンピューターウィルスと混同されやすいですが、両者には明確な違いがあります。
今回は、トロイの木馬の概要やタイプ、感染経路、感染したときに見られる症状・対策などについて、詳しく解説します。
トロイの木馬とは
「トロイの木馬」は、パソコンやスマートフォン、タブレットといった情報端末の内部に侵入して、システムを破壊したり、情報を外部に流出させたりするプログラムです。1970年代に初めて発見されて以降、現在も進化し続けています。
名前の由来は、ギリシャ神話の「トロイア戦争」で、ギリシャ軍が城塞都市トロイアを陥落させるために取った戦術です。ギリシャ軍は巨大な木馬を作り、そのなかに兵士たちを忍ばせました。トロイアはそれに気づかず、木馬を戦利品として城内に運び込んでしまいます。こうして城内に侵入したギリシャ軍の兵士は、木馬の中から姿をあらわすと、トロイアを攻め落とすことに成功したのでした。
トロイの木馬は、この故事のように無害なソフトウェアを装って端末内に侵入し、攻撃を仕掛けます。
トロイの木馬とウイルスの違い
トロイの木馬はコンピューターウィルスと混同されがちですが、両者には下表のように、明確な違いがあります。
| トロイの木馬 | ウイルス | |
|---|---|---|
| 感染先のファイル | 不要 | 必要 |
| 自己複製 | しない | する |
| 無害なプログラムに偽装 | する | しない |
ウイルスは、感染先のファイルに寄生し、自己複製してファイルの破壊や書き換えを行います。
一方で、トロイの木馬は無害なプログラムに偽装して端末から情報を盗み取ったり、不正行為の踏み台となったりするため、ウイルスに比べて感染に気付きにくいのが特徴です。
なお、トロイの木馬やウイルスのように、悪意を持ったソフトウェアを総称して「マルウェア」と呼びます。マルウェアに関しては、以下の記事もご参照ください。
トロイの木馬の6個の感染経路
トロイの木馬のおもな感染経路は、以下の6つです。
- Webサイト
- メール・SMS
- SNS
- クラウドストレージ
- USB・外付けHDDなどの共有媒体
- 直接インストール
また、メールやSNSのメッセージに不審なWebサイトを送り付けるように、複数の感染経路を利用する手口も横行しています。
それぞれの感染経路について、解説していきます。
Webサイト
トロイの木馬が仕込まれたWebサイトに誘導し、訪問者が気付かないうちにマルウェアを自動ダウンロードさせる手口です。
このようなケースに利用されるWebサイトは、大手企業や公的機関などのサイトに偽装されていることが多いです。また、既存のWebサイトの脆弱性を悪用し、トロイの木馬を仕掛けるケースもあります。
さらに、このようなWebサイトのURLを、後述するメールやSNSのメッセージで送りつける場合もあります。
メール・SMS
偽のメールやSMS(ショートメッセージサービス)を利用して、トロイの木馬に感染させる手口です。
トロイの木馬が含まれる添付ファイルを送ったり、トロイの木馬が仕掛けられたWebサイトに誘導したりします。
メールやSMSを使った手口では、大手企業や公的機関、同じ職場や取引先の関係者を偽装するケースも多いです。
過去には自治体職員を名乗るメールが複数送信され、2,000件以上の個人情報が流出した事件も発生しました。
SNS
SNSのメッセージ機能を利用して、トロイの木馬が仕掛けられたWebサイトに誘導し、感染させる手口です。
知り合いのアカウントが乗っ取られ、そのアカウントからのメッセージに添付されたURLから感染する場合もあります。
一見すると友人や知人から送られてきたメッセージに見えるため、疑うことなくURLを開いてしまうケースが頻発しています。
クラウドストレージ
クラウドストレージ上にトロイの木馬が含まれるファイルを保存し、リンクを共有して感染させる手口です。
クラウドストレージとは、インターネット上にファイルを保存・共有する場所です。クラウドストレージのアクセス権限に不備があると、攻撃者が不正アクセスしやすくなります。
また、すでに攻撃者に乗っ取られた知り合いのアカウントが、トロイの木馬のファイルを共有するケースも少なくありません。
USB・外付けHDDなどの共有媒体
USBや外付けHDDなど、共有媒体を介してトロイの木馬に感染させる手口です。
トロイの木馬が含まれる共有媒体を端末に接続すると、不正プログラムが自動的に実行されてしまいます。
近年はクラウドストレージの普及により、共有媒体の使用頻度は減りつつあります。しかし、完全に使用されなくなったわけではありません。引き続き感染リスクに注意しましょう。
直接インストール
トロイの木馬が、端末に直接インストールされる場合もあります。
例えば、外出先のカフェなどでリモートワークをしている際、トイレなどのために離席した隙に、攻撃者が端末に直接接触して、トロイの木馬をインストールすることもあります。
また、無害なソフトウェアやアプリを装った犯行も報告されました。アプリ購入サイトで販売されているアプリが、すべて安全であるとは限りません。自分や家族が何気なくダウンロードしたアプリに、トロイの木馬が含まれている場合もあるため、対策が必要です。
トロイの木馬の種類と特徴
トロイの木馬には様々なタイプがあります。主要なものとしては以下の7つが挙げられます。
- ダウンローダー型
- バックドア型
- キーロガー型
- クリッカー型
- プロキシ型
- パスワード窃取型
- ボット型
各タイプの特徴について、詳しく見てみましょう。
ダウンローダー型
ダウンローダー型のトロイの木馬は、端末内部に侵入し、別のマルウェアをダウンロードするタイプです。
ユーザーに察知されないように、マルウェアのファイルを断片的にダウンロードする手口をとる傾向にあります。
また、ファイル取得に特化した単純なつくりのため、セキュリティソフトに検知されにくいのが特徴です。
バックドア型
バックドア型のトロイの木馬は、侵入した端末の通信用ポートを開き、遠隔操作するタイプです。外部から端末を操作する裏口(バックドア)を設けることから名付けられました。
バックドアを通じて端末を操作し、別のマルウェアをダウンロードさせたり、情報を盗み取って外部に流出させたりします。
キーロガー型
キーロガー型のトロイの木馬は、キーボードの操作履歴を記録し、攻撃者に転送するタイプです。パスワードの窃取や個人情報の収集などに利用されることが多いです。
また、キーロガー型によって取得したシステム情報や閲覧履歴を悪用し、攻撃者が不正アクセスしやすい状態を作る場合もあります。
クリッカー型
クリッカー型のトロイの木馬は、ユーザーの意図しない動作を強制的に実行し、悪意のあるWebサイトにアクセスさせるタイプです。
具体的には、セキュリティ設定を低いレベルに変更したり、特定のURLやボタンを自動クリックさせたりして、別のマルウェアをダウンロードさせようとします。
プロキシ型
プロキシ型のトロイの木馬は、感染した端末を攻撃中継用のプロキシサーバーとして利用するタイプです。
感染した端末は、第三者に対するサイバー攻撃に利用される可能性があります。また、Webサーバーがプロキシ型に感染すると、フィッシングサイトやマルウェア配布サイトにリダイレクトするために悪用されることがあります。
パスワード窃盗型
パスワード窃盗型のトロイの木馬は、侵入した端末の設定情報やパスワードを盗み取るタイプです。
盗んだ情報は、サーバーや攻撃者が事前に設定しておいたメールアドレス経由で送信されます。パスワードを盗まれてしまうと、Web上のサービスに不正ログインされ、個人情報の流出や金銭的な被害にあう可能性があります。
ボット型
ボット型のトロイの木馬は、複数の端末を遠隔操作し、サイバー攻撃に加担させるタイプです。
感染したパソコンは、大量のデータを送信し、ターゲットとなる企業のサーバーをダウンさせる悪事に使われます。このようなサイバー攻撃を「DDoS攻撃」といいます。
DDoS攻撃の詳細については、以下の記事をご覧ください。
トロイの木馬に感染した場合に見られる症状
トロイの木馬に感染すると、次のような症状が見られます。
- 端末の処理が遅くなる・停止する
- 身に覚えのない通信・利用履歴がある
- ソフトウェアの設定が変更されている
- データ使用量・バッテリー消費量が上がる
- 不審なポップアップ画面が表示される
上記の症状は、単なる端末の不具合として扱われやすいですが、トロイの木馬に感染している可能性も高いです。
それぞれの症状について見ていきましょう。
端末の処理が遅くなる・停止する
トロイの木馬に感染すると、端末の処理が遅くなったり、停止したりします。あるいは、端末が突然シャットダウンや再起動を繰り返す場合もあるでしょう。
処理が遅くなったり、急停止したりするのは、攻撃者が遠隔操作しているためです。
トロイの木馬は、バックグラウンドで大量の情報を処理したり、新たなマルウェアをインストールしたり、情報を書き換えたりします。その結果、ブラウザを繰り返し再起動させたり、シャットダウンさせたりする現象がみられます。
この症状は通常の使用でも起こることがあるため、トロイの木馬に感染していると気づきにくいのが特徴です。
身に覚えのない通信・利用履歴がある
トロイの木馬に感染すると、身に覚えのない通信履歴や利用履歴が残る場合があります。
例えば、送信した覚えのないメールやSNS投稿、クレジットカードの利用請求がある場合は、トロイの木馬の感染が疑われるでしょう。ログイン情報を盗んで、悪用されているかもしれません。
ソフトウェアの設定が変更されている
ブラウザやアプリの設定が知らないうちに変更されている場合、トロイの木馬に感染している可能性が高いです。
また、トロイの木馬によってセキュリティソフトが強制的に停止されるケースも見られます。
データ使用量・バッテリー消費量が上がる
パソコンのデータ使用量が普段と比べて極端に増えている場合は、トロイの木馬に侵入されている疑いがあります。
先述したとおり、トロイの木馬がバックグラウンドで悪事を働き、負荷が高くなることが原因です。バッテリー駆動のパソコンやスマートフォンなどでは、バッテリー消費量も普段より速くなるでしょう。
不審なポップアップ画面が表示される
不審なポップアップ画面が表示される場合も、トロイの木馬の感染が疑われます。ポップアップを表示してWebサイトに誘導し、個人情報を盗み取ろうとしています。
なかには「トロイの木馬に感染しました」といった、偽の警告メッセージを表示してユーザーの不安を煽りWebサイトへ誘導するのも、よくあるケースです。また、トロイの木馬の駆除と引き換えに金銭を要求する「サポート詐欺」の手口をとる場合もあります。
【トロイの木馬に感染するとどうなる?】具体的な被害例
トロイの木馬に感染した場合、以下のような被害が考えられます。
- 不正行為に加担してしまう
- 個人情報が漏洩(えい)・悪用される
- データが破壊・改ざんされる
- 端末が使用できなくなる
トロイの木馬に感染すると、自分だけではなく、ほかのユーザーの端末にも影響を与えるおそれがあります。知らないうちに端末を悪用され、サイバー犯罪に利用されてしまうケースもあるため、注意が必要です。
不正行為に加担してしまう
トロイの木馬に感染すると、自覚のないまま不正行為に加担してしまう可能性があります。
特にバックドア型やプロキシ型のトロイの木馬に感染すると、別のサイバー攻撃の踏み台にされやすいです。
また、端末に保存されているアドレスも、トロイの木馬のターゲットになり得ます。トロイの木馬が同じ職場や取引先の社員にもスパムメールを送ってしまい、信用や信頼を失うことも起こりうるでしょう。
これらの不正行為は、すべてユーザーが気づかないうちに行われます。たとえ悪意がなくても加害者になってしまうため、感染しないよう、普段から十分な対策が必要です。
個人情報が漏洩(えい)・悪用される
トロイの木馬に感染すると、インターネットバンクやクレジットカードのID・パスワードを含む個人情報が流出し、第三者に悪用される危険性があります。その結果、大きな経済的損失を被るケースも少なくありません。
トロイの木馬はユーザーに見つからないように悪事を働くため、普段どおり金融・決済サービスを利用していても、知らないあいだに金銭的被害にあっている可能性もあります。
情報漏洩(えい)の詳細は、以下の記事もご参照ください。
データが破壊・改ざんされる
トロイの木馬のなかには、端末内のデータを破壊したり、改ざんしたりするタイプもあります。悪質なケースでは、破壊されたデータの復元ができなくなり、完全に失われてしまう場合もあります。
また「ランサムウェア」と呼ばれるトロイの木馬は、端末内に保存されているデータを暗号化し、復元と引き換えに多額の身代金を要求してくるタイプです。身代金を支払っても復元できるとは限らず、さらに被害が拡大する可能性もあります。
端末が使用できなくなる
前述したとおり、トロイの木馬に感染すると遠隔操作によって端末に不具合が生じ、端末の処理が遅くなったり、停止したりします。
加えて、別のマルウェアのダウンロードや重要なファイルの書き込みなどが行われるため、今まで正常に起動していたソフトウェアが、急に使えなくなる場合もあるでしょう。
さらに、トロイの木馬のなかには、BIOS(バイオス)や起動ドライブに感染し、悪影響を与えるタイプもあります。BIOSとは、端末の電源が入って最初に動き、キーボードやマウスなど、ハードウェアの管理を行うプログラムです。
これらがトロイの木馬に感染した場合、端末が起動できなくなったり、データが消去・破壊されたりして、端末自体が使用できなくなります。
端末が使用不可になれば、復旧作業も難しくなるでしょう。
トロイの木馬に感染したら行うべきこと
もし、トロイの木馬に感染してしまったら、トロイの木馬の被害範囲を最小限に抑えたり、システムを速やかに復旧したりするために、以下の対応を順番に行いましょう。
- インターネット接続を切断する
- セキュリティソフトで駆除する
- 関係者・専門家に連絡する
- 端末を初期化する
- 情報漏洩(えい)が発覚した場合は迅速に報告・調査を行う
それぞれの対応について、詳しく解説します。
インターネット接続を切断する
トロイの木馬に感染したら、ただちにインターネット接続を切断し、外部との通信を遮断してください。
インターネット接続を切断すれば、ほかのデバイスやネットワークへの攻撃を防げるうえに、情報を盗まれる心配もありません。
インターネット接続を切断する方法は、以下の3つです。
- Wi-Fi接続を切断する
- Wi-Fiアダプタを無効化する
- 有線LANのケーブルを端末から抜く
特に、業務用の端末が感染した場合、すぐに社内ネットワークから遮断することが重要です。放置してしまうと、ほかの業務用端末へと感染が拡大する場合もあります。
セキュリティソフトで駆除する
感染した端末をネットワークから遮断したあとは、セキュリティソフトによるフルスキャンを行いましょう。トロイの木馬が見つかった場合、ソフトの指示に従って駆除してください。
ただし、新種のトロイの木馬の場合、既存のセキュリティソフトでは対応できないケースもあります。
セキュリティソフトを使っても駆除されない場合、トロイの木馬専用のセキュリティソフトをインストールし、再び駆除を試みます。
関係者・専門家に連絡する
感染した端末を使って取引・通信をしていた部門や取引先があれば、感染した旨を連絡しましょう。
少しでもほかの端末への感染リスクがある場合は、速やかに連絡して感染拡大を防ぐ必要があるためです。
また、トロイの木馬を自力で駆除するのが難しい場合は、情報システム部門やインシデント対応部門など、専門的な部署へ相談しましょう。社内に専門部署がなければ、セキュリティソフトのベンダーやIRサポートを利用しましょう。
端末を初期化する
セキュリティソフトや専門家に頼っても、トロイの木馬が完全に駆除できない場合は、端末の初期化が必要です。
初期化すると端末に保存されたデータがすべて消えるため、トロイの木馬も消去されます。
ただし、端末を初期化したあとは、業務に必要なデータやソフトウェアを最初からインストールし直す必要があり、復旧までに多くの時間を要します。また、初期化に伴うデータの消失を防ぐためにも、普段からこまめにデータのバックアップをとりましょう。
情報漏洩(えい)が発覚した場合は迅速に報告・調査を行う
トロイの木馬に感染し、個人情報の漏洩があった場合には「個人情報保護法ガイドライン」に則り、以下の対応を行う必要があります。
| 対応 | 内容 |
|---|---|
| 上司・上層部へ報告 | 個人情報の漏洩が疑われる際には速やかに上司や上層部に報告する |
| 情報漏洩(えい)の範囲・影響を確認のうえ応急措置を行う | 感染が疑われるデバイスのインターネットの遮断や、警察や施設管理者への連絡等の応急措置をとる |
| 必要に応じて公表する | 被害の範囲や影響が大きい場合や、被害の拡大が予測される場合には速やかに情報漏洩(えい)の公表を行う |
| 漏洩の原因を特定する | 対象となる情報や漏洩が発生した場所、発覚した理由を振り返り、漏洩の原因を特定する |
| 個人情報保護委員へ報告する | 個人情報保護法に基づき、個人情報保護委員会へ報告する |
| 対象者へ謝罪・報告する | 文書の郵送や電子メール等で対象者に漏洩の事実の通知および謝罪を行う |
| 再発防止策を検討・実施する | 漏洩発生の根本的な原因を踏まえ、再発防止策を検討・実施する また、被害への補償等の措置を行う |
情報漏洩(えい)が発覚した場合、上記の対応に多くの時間を費やさなくてはなりません。したがって、通常どおりの企業活動は停止を余儀なくされるケースもあります。
また、発生原因や範囲の特定、漏洩事実の公表、被害者への損害賠償に対して、多額の費用を支払う場合もあるでしょう。
このように、トロイの木馬の感染によって情報漏洩(えい)が発生した場合は、非常に多くの労力を必要とし、多額の損害を負う可能性が高いです。
情報漏洩(えい)の損害賠償に関しては、以下の記事もご参照ください。
トロイの木馬の感染予防・対策
トロイの木馬の感染予防・対策として、以下の5つをご紹介します。
- 覚えのないメールやWebサイトは開かない
- 不審なソフトウェアやアプリをダウンロードしない
- OSやアプリを最新の状態にアップデートする
- セキュリティソフトを導入する
- サイバー保険へ加入する
特にサイバー保険は、ほかの対策を実施してもトロイの木馬に感染してしまった際に、対応費用や損害賠償費用を補償してくれるため、加入をおすすめします。
覚えのないメールやWebサイトは開かない
メールやSMS、Webサイトはいきなり開かずに、まずは本物かどうかを確認しましょう。
不正なメールアドレスやURLは、本物と見比べるとドメイン名が一部変更されていたり、文字が追加されていたりします。
サブスクリプションの料金や公共料金の請求と称したメッセージで、トロイの木馬を仕込んだWebサイトのURLをクリックさせる手口が多く報告されています。少しでも違和感を覚えたら、メッセージを一度保存し、セキュリティソフトでスキャンしてみましょう。
企業や組織においては、メールやSMS、Webサイト経由でトロイの木馬に感染するリスクがある旨を、従業員全員に周知させることも重要です。
不審なソフトウェアやアプリをダウンロードしない
トロイの木馬に感染しないためには、不審なソフトウェアやアプリをダウンロードしないことが重要です。前述したとおり、ソフトウェアやアプリにトロイの木馬が仕掛けられているケースもあるためです。
新しいソフトウェアやアプリを業務に使用する場合は、開発元が信頼できるかどうかを判断してからダウンロードしましょう。
企業や組織では、管理者やセキュリティ担当者の許可を得てからダウンロードするといった対策が必要です。
OSやアプリを最新の状態にアップデートする
トロイの木馬のなかには、OSやアプリの脆弱性を利用して端末内に侵入するタイプもあります。
そのため、OSやアプリの開発元によってアップデートプログラムが提供されたら、速やかに適用し、業務で使用している端末をすべて最新の状態に保ちましょう。
セキュリティソフトに関しても、定期的にバージョンアップを行ってください。
セキュリティソフトを導入する
トロイの木馬対策として、マルウェア対策機能に優れた、高性能のセキュリティソフトを導入することが重要です。
セキュリティソフトは、最新のマルウェア定義ファイルを使用してトロイの木馬を検出し駆除します。具体的には、定期的なスキャンやリアルタイム保護によりトロイの木馬を検知し、アラートを出してユーザーに知らせつつ、自動的に駆除をしてくれます。
トロイの木馬は年々新しいタイプが登場しているため、定期的にバージョンアップ可能なセキュリティソフトを選び、最新の攻撃に対応できるようにしてください。
サイバー保険へ加入する
サイバー保険とは、サイバー事故によって第三者に生じた損害や原因調査などの各種費用補償する保険です。情報漏洩(えい)を含めたさまざまなサイバー事故への備えになります。
「社内でセキュリティ対策しているし、自社には必要ない」と考える方もいるかもしれません。しかし、セキュリティ対策を進めている企業であっても、サイバー攻撃による被害を完全に防ぐのは難しいのが現状です。
サイバー保険に加入すると、トロイの木馬の感染などにより情報が漏洩(えい)し損害が発生した際に、補償を受けることができます。万が一の事態に備えて保険への加入も検討すると良いでしょう。
トロイの木馬は日頃からの感染予防が重要
トロイの木馬は、無害なWebサイトやファイルを装って端末内部に侵入し、ユーザーに見つからないように悪事を働くプログラムです。感染した場合、端末内部に保存されていたデータが破壊・改ざんされたり、情報漏洩(えい)やほかのサイバー攻撃に悪用される可能性が高いです。
身に覚えのないメールを安易に開かない、セキュリティソフトを入れる、保険に加入するなど、感染予防や万が一への備えを徹底し、リスクを最小限に抑えましょう。
