ESET/マルウェア情報局
いまだに危険な「トロイの木馬」とはなにか
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「新種「Emotet」の登場など、今なお続くトロイの木馬の危険性」を再編集したものです。
トロイの木馬とは
「トロイの木馬」とはマルウェアの一種。一見すると無害(あるいは有益)なプログラムやソフトウェアに偽装するのが特徴である。混同しがちなものとしてウイルスやワームがある。いずれもマルウェアに該当し、それぞれの特徴は下記の通りだ。
・ウイルス
ウイルスは単体では存在できず、寄生するファイルを必要とする。自分自身を複製し増殖する。
・ワーム
ワームはウイルスと異なり単体で存在し、自己増殖を行なう。
・トロイの木馬
トロイの木馬は寄生するファイルを必要とせず単体で存在するが、自己増殖を行なわない。
トロイの木馬という名前の由来は、ギリシャ神話のトロイア戦争だ。侵攻を続けるギリシャ軍は、難攻不落の都市であったトロイを攻略するため、自軍の一部を巨大な木馬に潜ませ偽装撤退する。トロイ軍はつかの間の勝利に沸き、この木馬を戦利品として城砦内に運び宴を開催した。トロイ軍が酒肴に酔いしれ寝静まったころ、木馬に潜んでいたギリシャ兵が抜け出し城門を開ける。ギリシャ軍は難なく城門を突破し、不意を打たれたトロイは陥落してしまう。
この故事のように、トロイの木馬は無害なプログラムを装ってターゲットの端末に侵入し不正を働く。侵入に成功したトロイの木馬はIDやパスワードなどの情報窃取、他のマルウェアのダウンロードを行なう。秘密裏に潜伏し、一定期間の経過後に行動するため感染してしまうと発見しづらい。
トロイの木馬のタイプ
トロイの木馬はパソコン、スマホに感染するが、その動作などによって複数のタイプに分けられる。
| ダウンローダー型 | マデバイスに侵入した後、他のマルウェアを秘密裏にダウンロードする。アドウェアとして機能するタイプもある。 |
| クリッカー型 | 侵入後にレジストリの改変や、アプリケーションの脆弱性を悪用したブラウザー設定の変更をする。勝手にブラウザーを起動したり、特定のウェブサイトへのアクセスを強要したりする。 |
| バックドア型 | 秘密裏に侵入し遠隔操作を行なう。別名はRAT(Remote Administration Tool)。外部からシェルコマンドを実行したり、勝手にファイルをダウンロードしたりするなどあらゆる動作を行なう。 |
| キーロガー型 | ターゲットが使用するデバイスのキーボード操作を記憶するためのプログラムを仕掛け、バックドアを経由してその情報を外部に送信する。 |
| ボット型 | 侵入したデバイスの内部でボット的な活動を行なう。C&Cサーバーと通信を行ない、その指示に応じ、DDosなどの大規模な攻撃に加担するようなものもある。 |
| パスワード窃盗型(スパイウェア型) | ターゲットのパスワード、IPアドレス、コンピューターの情報といった重要な個人情報を収集し、攻撃者に送信する。 |
| プロキシ型 | 感染させた後にターゲットのDNS設定を秘密裏に変更し、端末上に不正なプロキシサーバーを構築する。攻撃者は被害者のIPアドレスを偽装し、さらなる第三者へ攻撃を行なう。 |
| ドロッパー型 | ドロッパー型はすでに内包しているマルウェアを秘密裏に端末へインストールする。そのためほとんどのドロッパー型トロイは他のマルウェアとセットで構成されている。 |
| 迷彩型ゼウス | プログラムに偽装するのではなくJPEG画像に偽装するタイプのトロイの木馬。バンキングマルウェアであるゼウス(Zeus)の亜種であることからその名がつけられた。 |
トロイの木馬の感染経路
基本的にトロイの木馬はターゲットとなる端末にプログラムをインストールさせることで感染させる。感染経路は下記のとおりだ。
| メール | 攻撃者や感染した端末からのメールに添付されているファイルを実行、プログラムをインストールすることで感染する。ばらまき型メールだけでなく、近年は標的型メールの被害も増えている。 |
| ウェブサイトやSNS | ウェブサイトの検索結果やSNS上で拡散されたURLをクリックし、ファイルをダウンロード・実行することで感染する。 |
| SMS | スマホのSMS機能を悪用し、ダウンロード用のURLを送信する。URLをクリックし、ソフトウェアをインストールすると感染してしまう。 |
| ソフトウェアやアプリのダウンロード | 有益なソフトウェアやアプリに偽装した、実行プログラムをインストールすることで感染する。かつてほどではないが、Winnyに代表されるファイル共有ソフト経由の感染も少なくない。 |
近年では上記のような経路と「ドライブバイダウンロード攻撃」を組み合わせるケースが多い。ドライブバイダウンロード攻撃とは、OSやウェブブラウザーなどの脆弱性を悪用したもので、この脆弱性がある場合には、攻撃者が用意したウェブサイトを閲覧しただけで、トロイの木馬をはじめとするマルウェアに感染してしまう。
変化するトロイの木馬
トロイの木馬は古くから存在するマルウェアだ。その姿は時代とともに変化している。実際に国内で起きた被害事例とともに、トロイの木馬の変遷を解説する。
・トロイの木馬経由による2012年のパソコン遠隔操作事件
2012年に日本でパソコンの遠隔操作による犯罪予告事件が起きた。他人のパソコンを遠隔操作し、インターネット掲示板等において複数の犯罪を予告。その際に使われたパソコンの所有者は、身に覚えのない犯罪により、誤認逮捕されている。手口としては、犯人が「便利なソフト」という名目でアップしたトロイの木馬を仕込んだソフトウェアを、掲示板などを通じてインストールさせる。このトロイの木馬にはバックドア機能があり、特定の掲示板を通じ犯罪者からの命令を読み取り実行するというシナリオであった。
・「GameOver Zeus」による2013年に起きたバンキングマルウェアの大規模感染
2013年にはオンラインバンキングを狙ったトロイの木馬「GameOver Zeus」が世界的規模でパンデミックを引き起こした。ばらまき型メールにドキュメントファイルなどの形式でダウンローダーが添付されており、実行することで感染。感染後はターゲットのウェブブラウザーを監視し、IDやパスワード、クレジットカード情報などを巧妙に窃取した。
2010年代後半になると、トロイの木馬は企業を狙った標的型攻撃に悪用されるケースが目立ちはじめた。標的型攻撃とは、特定の組織・人にターゲットを絞ったサイバー攻撃である。攻撃者は念入りにその組織の情報を収集し、下準備をしたうえで攻撃を行なう。メールの文面や送信元を巧みに偽装するため、判別しにくいのが特徴だ。
・「Emdivi」による2015年の政府機関の情報漏えい
2015年5月、政府機関の端末がマルウェアに感染し、100万件以上の個人情報が漏えいした。この犯罪に使われたのは「Emdivi」と呼ばれるリモートアクセス型トロイの木馬(RAT)だ。感染した後は秘密裏にC&Cサーバーとの通信をはじめ、攻撃者へ情報を送信する。日本の企業を狙った標的型攻撃で、職員の姓名をメール本文に記載するなど周到な偽装がなされた。
・「Emotet」による2019年の大学職員による情報漏えい
2019年に大学職員の端末が「Emotet」に感染。1万8000件以上のメール情報が流出している。このケースでは実在の企業名を装ったメールが送付され、気づかずに開封した教員の端末が感染してしまった。
Emotetはもともとバンキングマルウェアだったが、数年で強力な感染力をもつ「モジュール型マルウェア」へ進化している。感染後にOutlookからメールの送信者名などを窃取し、その情報をもとにさらなる標的型攻撃を行なう。さらにはランサムウェアに感染させて金銭を要求する。
モバイル端末もターゲットとなる時代
パソコンだけでなくスマホなどモバイル端末をターゲットにしたトロイの木馬も増加している。利便性の高いスマホアプリへの偽装や、SNSを悪用したフィッシング詐欺も目立つ。iOSやAndroidなどOSの脆弱性を狙ったトロイの木馬も少なくない。いくつか例をあげる。
・Pegasus/Chrysaor
「Pegasus」はiOSの脆弱性を狙ったトロイの木馬で、「Chrysaor」はそのAndroid版だ。このトロイに感染するとFacebookやTwitterなどのアプリを監視し、そのメッセージや通話記録を窃取する。さらに、キー操作やスクリーンショット、カメラやマイクなどデバイス上のあらゆる制御を許してしまう。
・Twitoor
「Twitoor」は攻撃者のTwitterアカウントを介して攻撃指令を受け取るAndroid版トロイの木馬だ。このトロイの木馬に感染すると定期的に司令用の不正Twitterアカウントをチェックし、情報の送信やマルウェアのダウンロードを行なう。TwitterアカウントをC&Cサーバーの代替として使用している点が特徴的だ。
トロイの木馬への対策
トロイの木馬は標的型攻撃やドライブバイダウンロード攻撃など、高度化する攻撃手法に組み込まれるケースが多い。対策としては下記のような多層的、多面的な防御が必要だ。
・端末の基本的なセキュリティ対策
エンドポイント端末の基本的なセキュリティ対策は必須だ。ウイルス対策ソフトのインストール、OSやアプリケーションのアップデートは習慣化するようにしたい。
・ファイアウォールやIPS等の入口対策
マルウェアの侵入をふさぐ入口対策も重要だ。ファイアウォールによる通信制御、IPS(Intrusion Prevention System)によるパケット監視によって不正なアクセスを防ごう。
・次世代型ファイアウォールなどの出口対策
入口対策だけでなく、マルウェアが侵入した後の出口対策も必要だ。標的型攻撃などの高度なサイバー攻撃はファイアウォールなどの入口対策だけでは防げないケースがある。次世代型ファイアウォールでアプリケーションの挙動を監視することで、情報の流出を防ぐ。
・日常的な情報収集、不用意にリンクを開かない
自らがコンピューターを利用するにあたって、安全に使用できるように情報を収集し、日頃からリテラシーを高めるといった取り組みも欠かせない。ちょっとした不注意が大きな損害をもたらしたケースは少なくない。不用意に添付ファイルを開かない、マクロを有効化しない、許可されていないソフトウェアを勝手にダウンロードしない、といったセキュリティの基本を今一度確認しておこう。
また、最近はリモートワークやテレワークで社用のモバイル端末を利用する機会も増加している。紛失や盗難防止、アプリの管理やIDやパスワードといったログイン管理にも十分配慮しよう。最新のマルウェアの動向を随時キャッチアップしておくことも習慣としておきたい。マルウェア情報局では最新のセキュリティ情報を発信しているので、参考にしてほしい。
トロイの木馬に感染すると、端末の管理者権限が奪われ、あらゆる操作を実行されるリスクがある。Emotetのように巧みに偽装した標的型攻撃や、OSなどの脆弱性を狙った攻撃はますます増加するだろう。
攻撃者は組織のネットワークだけでなく、社内に接続されるモバイル端末をも狙っている。社用スマホなどが感染した場合、その端末を経由し機密情報が漏えいする可能性も否定できない。スマホから窃取された情報がさらなる攻撃に悪用されることも想定される。総合的な防御策と併せて、ひとりひとりのセキュリティ意識がよりいっそう問われる時代となっていることを強く意識してほしい。