トロイの木馬とは？ウイルスとの違いや感染被害例について

トロイの木馬は普通のウイルスと違うのか？感染するとどう危険なのか？意味がありそうな名称だからこそ疑問に思っていませんか？

厳密に言えばウイルスとは別のものですが、一般的には「ウイルス」として認知されているものであり、トロイの木馬だけが特別ということはありません。実は最近のマルウェアは90%以上がトロイの木馬であり、PCだけでなくスマートフォンでも被害が拡大しています。

ではトロイの木馬とは改めて一体何なのか？感染するとどうなるのか？そして、今は感染していなくても今後の感染を防ぐためには？ここではそれらの疑問を解決するために以下の項目でトロイの木馬を解説します。

1. トロイの木馬とは?

「悪意のあるソフトウェア」の総称として「マルウェア」という単語が使われますが、これは【悪意がある】(malicious)と【ソフトウェア】(software)を組み合わせた造語であり、トロイの木馬はこのマルウェアの一種です。
マルウェアとウイルスの違いについては以下の記事をご参照ください。
⇒ マルウェアとは？ウイルスとの違いや侵入経路について

トロイの木馬は好ましい(または悪質ではない)プログラムであるかのように見せかけるのがその特徴の一つです。

ギリシア神話で中に兵士が入った木馬をトロイアの街に招き入れたように、ユーザーにそれを危険と思わないで招き入れさせることが偽装の目的です。

実際には、PC用の画像や文書ファイル、スマートフォンの役に立ちそうなアプリなどを装っているケースが多々見られます。つまり、主にAndroidスマートフォンのウイルスと一般的に認知されているものは「役に立つアプリ」を装ったトロイの木馬ということになります。

しかし、近年はこの「偽装」を行わずOSなどの脆弱性(コンピュータ、ソフトウェアの欠陥や仕様の問題によるセキュリティ上の弱点)を悪用して勝手にインストールされてしまうものも多く見受けられます。ドライブバイダウンロードと言われる攻撃手法)

また、トロイの木馬は感染後に攻撃者が感染したコンピュータに自由にアクセスするための秘密の扉(バックドア)を作るケースが多々あります。

このバックドアから攻撃者は感染したコンピュータに自由に出入りし、新たなプログラム(多くの場合マルウェア)のインストール、デスクトップ画面の撮影やキーボードの入力情報の記録によるパスワード情報の盗取など、感染したコンピュータに含まれる多くの個人情報などにアクセスすることが出来るようになります。

2. トロイの木馬とウイルスの決定的な2つの違い

2-1. 自身が感染するための宿主となるファイルを必要としない

実在する病気のウイルス(例えばインフルエンザ)が人に感染して発症するように、コンピュータのウイルスも感染するための「ファイル」が必要です。自らを感染させる「ウイルスの宿主」となるファイルが存在しなければウイルスは活動することができないのですが、トロイの木馬は単体でソフトウェアとして動作することができるため、感染するためのファイルを必要としません。

2-2. 自己複製しない

ウイルスやワームが自分自身を複製し、他のコンピュータにも感染を広げる可能性があることに対し、トロイの木馬は原則として自己複製をすることがないため、感染したコンピュータから他のコンピュータに侵入し感染することはありません。(例外として複数の特性を持ち合わせたマルウェアも存在します)

この特性がかつてのワームのような世界的アウトブレイク(大規模感染)がトロイの木馬で起きない大きな理由になっていますが、感染していることを悟られることなく密かに活動をするためには必要な特性であると言えます。

感染しても悟られることなく、長く感染し続けることを目的の一つとしているため、CPUやストレージへの読み書きといったコンピュータリソースを多く使う自己複製をしないのですが、駆除されると消滅してしまうため、攻撃者は常に新しい感染先を探さねばなりません。

これが、迷惑メール、偽のSMSや偽アプリなど、手を替え品を替え新たな攻撃が続く理由の一つでもあります。

3. トロイの木馬に感染するとどうなるのか？

セキュリティソフトを使用していない場合、トロイの木馬に感染したとしても気付く事はほぼ不可能と思っても良いでしょう。

なぜならば、前章でも述べたように攻撃者はマルウェアを短時間で広域に拡散させるよりも、特定のコンピュータに密かに感染し、感染先に可能な限り長く滞在し、目的の(多くの場合金銭になるための)情報を盗み取る事を重視していると思われるからです。

実際に、Androidの偽アプリ含め、大半のケースではユーザーが自分自身でトロイの木馬をインストールしているため、そもそも「危険なアプリ」「危険なプログラム」という認識がありません。また、脆弱性を悪用したドライブバイダウンロードの場合も知らないうちに勝手にインストールされてしまうため、感染に気付くことはほぼ不可能です。

PC、Androidスマートフォンなどハードウェアの高性能化とトロイの木馬が多くの場合コンピュータのパワーをあまり消費しない事も気付かれない原因の一つです。

では、そんな感染に気付きにくいトロイの木馬に感染したらどのような危険があるのでしょうか？次項で実際にあった例をいくつか紹介します。

4. トロイの木馬の感染被害3つの例

先に述べたとおり、セキュリティソフトがなければトロイの木馬に感染していることに気がつくケースは希です。だからこそ、実際の被害に遭ってから気がつくケースが多く報告されています。

4-1. 気がついたら銀行の預金が無くなっていた

被害者はなぜ預金がなくなっているのか、コンピュータを疑うこともできないかもしれません。
では、攻撃者はどのような手口で被害者の口座から預金を盗むのでしょうか？以下それをかいつまんで解説します。

I. トロイの木馬をインストール

まず、攻撃者はインターネットバンキングのユーザーのPCにトロイの木馬をインストールしなくてはなりません。

脆弱性を悪用して勝手にトロイの木馬をインストールするドライブバイダウンロードの攻撃手法を用いる場合は、任意のサイトを改ざんして、そこにアクセスしただけで勝手にインストールを行うようにします。

また、 フィッシング詐欺の手法を用いる場合はメールをインターネットバンキングのユーザーに送りつけ「もっと安全にインターネットバンキングをするための新しいソフト」などと称してトロイの木馬をインストールさせます。

II. トロイの木馬が活動を開始

そして、インストールされたトロイの木馬は標的とした銀行のインターネットバンキングサイトに被害者がアクセスするまでブラウザを密かに監視します。

その後、感染したPCが標的とした銀行の該当ページにアクセスすると、トロイの木馬はその銀行のロゴやデザインを使用した別のウィンドウを立ち上げ(別ウィンドウではなく、表示されるページそのものを改ざんするケースもあり)認証に必要なパスワードなどの情報を入力するよう促します。

III. ユーザーのパスワード情報などを取得

銀行のサイトにアクセスした際にトロイの木馬によって表示される全く同じデザインの画面から認証に必要なパスワードなどの情報を取得した攻撃者は、被害者本人になりすまして口座からお金を盗みます。

ワンタイムパスワードの情報も含めて攻撃者に全ての情報が渡ってしまうと、二要素認証も意味を成しません。

実際に、銀行のサイトにアクセスした際に表示される同じデザインの画面を怪しいと思う人はほとんどいないでしょう。

また、画面の一部が改ざんされた場合は事実上偽物と見分けるのは不可能です。そして何も気が付かないままパスワードなどの情報を入力してしまいます。

全てがトロイの木馬というわけでは無く、フィッシングも多用されているようですが、警察庁の調べによると、インターネットバンキングの不正送金被害額は2020年に11億円以上の被害が出ているとされています。
⇒ （参考 PDF ）令和２年におけるサイバー空間をめぐる脅威の情勢等について

4-2. スマートフォンの電話帳にある個人情報が全部漏れていた

Android用のマルウェアはその大半が「役に立つ」と見せかけたトロイの木馬です。

ある偽バッテリーソフトも最初から電話帳を盗み、攻撃者の元に送信することが目的で作られています。以下の画面を見ただけでは全く分かりませんが、この偽アプリがインストール・実行されるとその電話帳に入っている個人情報が攻撃者の手に渡ります。

4-3. 知らないうちにスパムメールを大量に送っていた / サーバーを攻撃していた

インストールしてしまったトロイの木馬が「ボット」（特定の命令に従って自動的に作業を行うプログラム）であった場合、被害者のコンピュータは攻撃者によって操られます。知らないうちに遠隔操作されて大量のスパムメール配信を行っていたり、DDoS攻撃用の端末として特定のサイトを攻撃していたり、身に覚えの無い反社会的な活動に結果として手を貸していることになります。

ボットについての詳細は以下の記事をご参照ください。

⇒ ウイルス性のあるボット完全解説｜被害、感染経路、対策など

5. トロイの木馬の感染経路6つ

トロイの木馬の感染経路はある程度限定されます。

なぜならば、前述の通り、トロイの木馬はウイルスやワームと違い自己複製を行わないため、基本的に他のコンピュータに勝手に侵入することが無いからです。

一般的なケースとして、感染するためには、被害者となるユーザーにプログラムをダウンロードさせた後、実行しインストールしてもらう必要があります。

そのため、ユーザーに対して「好ましいまたは悪質ではないプログラム」であるという認識をさせるための偽装を行います。しかし、偽装を必要としないドライブバイダウンロードも一般的な手口なので注意が必要です。

では、その主な感染経路6つを見てみましょう。

5-1. メールやSMSを介した感染

攻撃者（または既に感染しているコンピュータ）が送信するメールおよびスパムメールに添付されているファイルを実行、記載されているURLを被害者がクリックすることによりトロイの木馬をダウンロード・実行(または、スマートフォン アプリの場合インストール)することにより感染します。

近年はスパムメールの対策も進み、かつ攻撃者同士の競合も増えたことからスマートフォンのSMS(ショートメッセージサービス)に宅配便の不在メッセージなどを装った偽SMSを送るスミッシングのケースも多々見られます。
メッセージにあるリンクをタップするとスマートフォンのアプリをアップデートする指示と共に偽アプリがダウンロードされます。これをインストールすることにより感染します。

5-2. SNSを介した感染

Facebook/TwitterなどのSNSで自分がフォローしている(攻撃者にアカウントを乗っ取られた)人が投稿したメッセージに含まれるURLからトロイの木馬をダウンロード・実行することにより感染します。

5-3. Webサイトを介した感染

攻撃者が準備した悪意のあるサイトにメールやSNSなどのメッセージを介して、または検索エンジンの検索結果、役に立つプログラムに偽装したトロイの木馬をダウンロード・実行することにより感染します。

また、企業などのウェブページが不正に改ざんされた場合、OS（またはブラウザのプラグインやその他のアプリ）を最新版にアップデートしていないような、脆弱性のあるPCでそのページにアクセスしただけでトロイの木馬が勝手にインストール・感染する、ドライブバイダウンロードの被害も報告されています。

5-4. クラウドストレージを介した感染

Google Drive / Dropbox / Microsoft OneDrive など信頼されるクラウドストレージにトロイの木馬のファイルを保存し、そのリンクを共有する形で被害者にトロイの木馬をダウンロード・感染させます。

特にこの場合、ファイル共有をするクラウドストレージのアカウントが「信頼できる」人になりすましていたり、信頼できる人のアカウントが実際に乗っ取られていたりすると、普段は気をつけている人でも感染してしまう危険性が高まります。

5-5. Google Play からダウンロードしたアプリによる感染

Android アプリは基本的に公式サイトである Google Play からダウンロード・インストールされるケースが大半ですが、全てのアプリが安全であると保証されているわけではありません。
Google社によって多くのトロイの木馬アプリはGoogle Playに載る前に排除されているものの100%排除は難しいと思われます。

5-6. 目を離したスキに直接インストール

これは少し事情が異なりますが、自分の身近にいる人が攻撃者となり、目を離したスキにPCやスマートフォンにこっそりとトロイの木馬型のマルウェアをインストールすることによって感染します。

6. 駆除方法と感染しないための対策

もしトロイの木馬に感染してしまった場合、また感染しないようにするためにはどのようにすれば良いのでしょうか？要点を簡単に説明します。

6-1. 感染してしまった場合の駆除方法

トロイの木馬に感染してしまった場合、以下の対策を順番に試すと良いでしょう。まずは対策1を、それでも駆除できなければ対策2以下を試してみてください。

対策1. セキュリティソフトの無料体験版をインストールしてスキャン・駆除する

対策2. ノートン パワーイレイサーを使用する (Windowsのみ)

対策3. ノートン ブータブルリカバリツールを使用する (Windowsのみ)

対策4. 専用の駆除ツールが無いか探し、あればそれを使用して駆除する

対策5.オペレーティングシステム(OS)のリカバリ/再インストールを行う

なお、対策1のセキュリティソフトは無料ソフトではなく、まずは機能が豊富な有料ソフトの無料体験版を使用されることを強く推奨します。
以下は実績のあるセキュリティソフトの無料体験版一覧です。これらは無料のセキュリティソフトとは大きく異なり、多くのセキュリティ技術を複数搭載しているのでより安心できます。

パソコン内部の情報を外に出すようなトロイの木馬に感染していたとしても、(ウイルスバスター以外は)それぞれ最適化されたファイアウォールを搭載しており、Windowsの内部から外部に向けての通信を監視しているため、無料ソフトと比べて大切な情報が盗まれる可能性は低いと言えます。(ウイルスバスターはWindows標準のファイアウォールをチューンすることでほぼ同様の機能を実現しています)

期限内はどの製品も有料版と同様の機能が無料で使用できます。(各社仕様が変更になる可能性はありますので、その点はご注意ください)

6-2. 今後感染しないようにするための対策6つ

トロイの木馬感染を予防するために有効な根本的な対策2つと今すぐできる対策4つを紹介します。ただ、これらの対策はトロイの木馬だけではなく、ほぼ全ての脅威に対して有効です。

6-2-1. 必ずやっておくべき2つの根本的な対策

対策1. OS、Java、Flashやブラウザのプラグインなどを常に最新版に保つ

対策2. セキュリティソフトを使用する

6-2-2. 覚えておきたい今すぐにできる4つの対策

対策3. 送られてきたメールやメッセージが本物かどうかを確認し、添付ファイルを不用意に開かない

対策4. SNSやメールに含まれるリンクを不用意にクリックしない

対策5. 信用できるWebサイトからのみプログラムをダウンロードするようにする

対策6. スクリーンロックを確実に行う

なお、トロイの木馬の駆除に関する詳細は以下の記事をご参照ください。

⇒ 感染したトロイの木馬を確実に駆除する5つの方法と今後の対策6つ

7. まとめ

トロイの木馬は決して特別な何かではなく、現在一般的に「ウイルス」と称されるものの多くがトロイの木馬です。

繰り返しになりますが、その特徴の一つである「自分で自分の複製を行わない/自己増殖しない」ことから感染のためには原則としてAndroidの不正アプリも含め基本的にユーザー自身がインストールを行う必要があります。(ドライブバイダウンロードは例外) ただ、この記事をご覧になられた方であれば自らトロイの木馬を招き入れないために気をつけるべきポイントもご理解いただけたと思います。

攻撃者は常に新たな手口で標的を狙います。しかし、気をつけるべきポイントを常に意識し、適切な対策を行うことさえ知っていれば、トロイの木馬は決して得体の知れないものではありませんし、それを特別不安に感じる必要もなくなるでしょう。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。