UIRUSU01

 先日からコンピュータウイルス(マルウェア)についての知識と題して記しております。
今回はトロイの木馬編です。このマルウェアはよく目にしますが非常に危険なマルウェアです。どんなものか覚えましょう。
1.トロイの木馬とは?まずは歴史から

 トロイの木馬型マルウェアを説明する前にまずはこの「トロイの木馬」というのは何なのか?ということを説明しましょう。
 toroimokubaimg

 「トロイの木馬」とは正式には「トロイアの木馬」でギリシャ神話にでてくる木馬です。
トロイア戦争時代、トロイ軍とギリシャ軍が戦争を行っていましたが、トロイの城は難攻不落で非常に攻めるこは出来ませんでした。そこでギリシャ軍はある計画を実行しました。大きな木馬を作ります。
ある日、トロイ軍はギリシャの陣地を攻めようとしましたが、兵士は一人もいなく大きな木馬だけがありました。トロイ軍はてっきり我々の兵軍にビビり退却したのだと思い、戦利品としてこの木馬をトロイの城に持ち帰りました。そしてトロイの城では戦利パーティーを開いて宴をし、みんな酔いつぶれて寝てしまいました。 
 みんなが寝静まったころ、この大きな木馬からギリシャの兵士が出てきたのです。そうです、木馬の中に隠れていたのです。木馬から出てきたギリシャの兵士は城の扉を開け、周りに隠れてあったギリシャの兵士は一斉にトロイの城の中に進軍し、トロイの城は崩落したのです。

 このように正体を偽って簡単に侵入するマルウェアが「トロイの木馬型ウイルス」です。(この説明文は本家ホームページでも掲載しております。)

 トロイの木馬のマルウェアは一見普通のアプリケーションなどに見せかけながら、実はマルウェアが実行されるアプリで、外見上パソコンののスクリーンセーバー、画像ファイル、文書ファイル、スマートフォンのアプリなどを装っており、普通のファイルとして動いている裏でマルウェアを実行させます。

 また、最近はこのようなアプリなどだけでなく、OSのドライバソフトやなどにも偽装しているものもあります。

2.トロイの木馬の手法は昔からあった。セキュリティソフトの歴史に貢献?
SECSOFT

 このトロイの木馬型のマルウェアは昔から存在しており、今でも脅威のマルウェアの1つとなっています。
 最初に発見されたのは1985年で、このころからウイルスやマルウェアなどが少しずつ増えてきた年でもあります。この年に発見されたトロイの木馬型のゴッチャ(Gotcha)と呼ばれるマルウェア、ユーザーを非常に苦しめたマルウェアでありました。 このマルウェアは、グラフィックコンバータを装ったマルウェアで、このプログラムを起動すると、「Arf、Arf、Gotcha!」というメッセージが画面に表示されると同時に、ハードディスクのデータが削除されるといったとても悪質なものでありました。
 実際には翌年の1986年に発見されたPCライトと呼ばれるトロイの木馬型のマルウェアが最初といわれていますが、その原型を作ったのがゴッチャ(Gotcha)と言われています。
 その当時はまだセキュリティソフトなどがなかったため、感染力はすざましいものでした。このことから、1986年、初のウイルス対策ソフトベンダー、マカフィーが誕生したのです。

 このトロイの木馬型のマルウェアの活動があったからこそ今のセキュリティソフトと呼ばれるものが誕生し、現在に至っていることになります。

3.トロイの木馬のマルウェアっていっぱいあるの?
TOROI03

 トロイの木馬型のマルウェアといっても実はさまざまなものがあります。正体を偽って簡単に侵入するマルウェアを総称して「トロイの木馬型のマルウェア」と言っているだけで、このマルウェアの活動はさまざまなものがあります。現在のトロイの木馬型マルウェアの活動は次の通りです。
 ただし、トロイの木馬型マルウェアは進化し続けているため、新たな活動も出るかもしれません。

A.ダウンローダー型

 コンピュータに侵入した後、新しいウイルスやマルウェアをダウンロードします。つまりマルウェアがほかのマルウェアを呼び込みます。このタイプに感染するとパスワードやIDなどが漏えいしたり、不適切なポップアップ広告を表示させたりします。このほとんどが最初のトロイの木馬のマルウェアの活動ではなく、トロイの木馬マルウェアによって新しいウイルスやマルウェアをダウンロードされたものが活動を行います。

B.クリッカー型

 ブラウザの管理者設定を改変したり、勝手に危険なウェブサイトへ接続させたりします。
 このタイプに感染すると、勝手にブラウザを起動したり、ホームページのURLを変更し、特定のアクセス数を増やしたり、攻撃のターゲットとするサイトにDoS・DDoS攻撃(負荷をかけてサーバーをダウンさせる攻撃)を行ったりします。

C.バックドア型

 このタイプの活動は一番危険なものになります。このタイプに感染するとネットワークの特定のポートが開き、攻撃者からの遠隔操作を可能にするソフトなどがインストールされます。これにより、ユーザーがパソコンで行っている行動すべてが筒抜けとなります。また、攻撃者が感染したパソコンを使い、ほかのパソコンなどやサーバーに攻撃を仕掛けることもできます。
 この遠隔操作により企業サイトなどのハッキングに悪用されることがあります。また、通販サイトやバンキングなどの個人情報やクレジットカード番号などの重要情報が流出させられる危険があります。

D.ログインパスワード流出型

 感染したパソコン内のログイン情報を盗み、IPアドレスやコンピューターの詳細情報などを収集、攻撃者に対してメールなどで情報を送信して流出させるウイルスです。これにより、IPアドレスなどの情報を盗まれ、パソコンのログイン情報などの支配権が奪われるケースもあります。

E.プロキシ型

 感染されたパソコンのネットワーク設定を改変してしまいます。このプロキシ型に感染すると、感染者のIPを使い企業や政府機関のWEBサイトを改ざんさせることができます。これによってIPアドレスから間違って犯罪者に仕立てられることもあります。

F.ドロッパー型

 一見ダウンローダー型と似ているような感じがしますが、ダウンローダー型とは違い、オフラインなどで、さらなる悪意あるソフトを複数インストールさせようとします。インストール実行型といった感じです。

G.迷彩型ゼウス

 この形は2014年にヨーロッパ各地で発見されたトロイの木馬の亜種となります。JPEGなどの画像データにマルウェアの設定情報を隠蔽したものです。この迷彩型ゼウスに感染すると、ネットワーク全体がボットネットを構築してしまいます。ボットが組み込まれると遠隔操作や不正な通信を行います。Webカメラやネットワーク監視装置、侵入検知システムなども被害に遭います。

今後、国内で亜種が発見される可能性もゼロではありません。拡張子が.jpgなど画像のようでも油断は禁物です。


4.感染経路はどこから?
UIRUUS07

 トロイの木馬型マルウェアは次のような感染経路があります。

A メールやホームページなどのWebサイト

 トロイの木馬は、ワームなどのマルウェアと同じような方法でメールの添付ファイルやWebサイトの不正リンクなどから感染します。
また、迷彩型ゼウスなどはWebサイトに使用されている画像などを使って感染します。

B.脆弱性の悪用

  メールやホームページなどのWebサイトと一緒にこの脆弱性の悪用を使って感染します。特にMicrosoftの代表製品である「Office」の脆弱性やWeb上の動画などを閲覧するソフトAdobeのFlash Player、またPDFビューアのAcrobatなどの脆弱性も悪用しています。ソフトがアップデートされたときには、なるべく早く適用するようにしてください。

C. ソフトウェアアップデートの悪用

 最近はこのソフトウェアアップデートのプロセスを悪用しているケースもあります。この方法は正規のホームページとそっくりなページを用意し、不正にその偽のページにシャンプさせて、トロイの木馬を仕込んだアップデートファイルをダウンロードさせるという方法です。この場合、見た目上では見分けが付かないため、URLなどの綴りで確認するしかありません。また、変なWebページなどからのリンクをクリックしないで、きちんと検索サイトから直接検索して正規のサイトにいくしかありません。

5.感染されているかどうか見分けるには?
 
KANSEN02

 トロイの木馬型マルウェアに感染した場合、ちょっとしたことで感染されていることが分かる場合があります。

 
  A. コンピュータを使用している場合に突然電源が落ちたり、ブラウザが再起動することがある。またブラウザを開いたままのつもりがいつのまにか閉じている。

  B.セキュリティソフトが突然強制終了する。

  C.アプリを使用していないのにCPU使用率が急上昇ままになっている。

 D.インターネットを行っていないのに、ネットワークの送受信を行っており、送信と受信のバイト数が異常に増えている。
 
 E.急にタスクバーあたりからポップアップ広告が出る。


 トロイの木馬型マルウェアは原始的な方法ながら非常に威力を持っており、放置しておくと非常に危険なマルウェアです。定期的なマルウェアスキャンを行いましょう。