【被害事例】トロイの木馬とは?感染経路や7つの防止対策を解説
「トロイの木馬」は無害なプログラムを偽装してPC内に侵入し、悪意のある動作を行うマルウェアの一種です。今回は、主な感染経路や感染の兆候、万一感染した場合に受ける被害から、感染を防ぐ対処法や予防策まで包括的に案内します。
- 目次
トロイの木馬とは?偽装して侵入する危険なマルウェア
「トロイの木馬」はマルウェアの一種です。無害なプログラムやソフトウェアのように偽装してPC内に侵入し、悪意のある動作を行うものです。
ギリシア神話の「トロイア戦争」において、内部にギリシア軍が潜む巨大な木馬を敵が自ら城内に運び込むことで侵入し、トロイアを滅亡させたというエピソードにちなんで命名されました。
トロイの木馬とコンピューターウイルスの違い
トロイの木馬とコンピューターウイルスの大きな違いは、自己増殖するかどうかです。
コンピューターウイルスは、宿主となるファイルを書き換え、そのファイルが実行されるタイミングで別のファイルへ自分自身を複製し、自己増殖しながら広がります。
一方、トロイの木馬は単体のプログラムとして動作し、宿主ファイルを必要としません。また、自己増殖もしません。
この違いから、トロイの木馬はコンピューターウイルスではなく、より広い概念である「マルウェア」に分類されています。
| 項目 | トロイの木馬 | コンピューターウイルス |
|---|---|---|
| 感染経路 | 偽アプリ・偽通知・偽メールの添付ファイルなど、ユーザーが自分で開いたときだけ感染する | 感染したファイルの実行、USB、ネットワーク経由で侵入する |
| 拡散方法(増殖) | 自動で増殖しない。 端末内でもほかのファイルに感染しない |
自動で増殖する。 他のファイルを書き換えて次々に感染を広げる |
| ユーザーの認識 | 正常なアプリや通知に見せかけるため気づきにくい | 勝手な挙動や拡散により気づくことが多い |
| 主な目的 | 情報盗み、遠隔操作、バックドア設置など | ファイル破壊、改ざん、混乱・拡散など |
| 代表例 | ・偽のセキュリティアプリ ・偽の配送通知アプリ ・請求書を装った添付ファイル |
・ファイルを壊すウイルス ・USBで勝手に感染するウイルス ・勝手にメールを送るウイルス |
トロイの木馬の特徴や種類
トロイの木馬の特徴は、「一見すると無害なファイルに見えること」です。便利なソフトウェアや有益な画像ファイルを装っている場合も多く、気づかずにインストールや実行してしまう危険性があります。
また、ダウンロードを促す「ダウンロード型」、悪意ある第三者が悪用できるよう通信ポートの「裏口」を作成する「バックドア型」など様々な種類があるため、幅広く注意を向ける必要があります。
2019年に登場し、主にメールを感染経路とした「Emotet」や「AsyncRAT」、Android端末を標的とした「Anatsa」などが大きな被害をもたらしました。また、2024年にはランサムウェア攻撃に悪用される「Interlock RAT」も登場しました。
トロイの木馬の主な感染経路
メールや添付ファイルによる感染
メールの添付ファイルを不用意に開き、怪しいURLをクリックすると、トロイの木馬などのマルウェアに感染することがあります。
後述しますが、感染したPCから発信元などを偽装したメールが自動的に送信される場合もあることに注意しましょう。また、迷惑メールに振り分けられたスパムメールを開封する際には特に注意が必要です。
近年では、Microsoft社のデジタルノートアプリケーション「OneNote」のドキュメントを悪用した攻撃なども確認されています。
Webサイト・SNS・アプリケーションから感染
無害なWebサイトやSNSなどに偽装されたURLをクリックしたり、誘導されたサイトからソフトウェアやアプリケーションをダウンロードしたりすることで感染する危険性もあります。
また、近年ではクラウドストレージでトロイの木馬を含むファイルを共有することにより感染するケースや、「Anatsa」などアプリケーション配信プラットフォームを介して感染するケースなども確認されています。
USBメモリ・外付けHDDから感染
USBメモリや外付けHDDなどの外部ストレージから感染する可能性もあります。感染したこれらのストレージを接続すると、トロイの木馬が自動実行され、感染してしまいます。
USBメモリなど物理的メディアを経由する感染は一見古い手段に思えるかもしれませんが、多要素認証やクラウド使用の厳格化などの進展でオンライン経由での感染が減少した現在において、物理的侵入は依然として注意すべき手段といえます。
ソフトウェアの脆弱性を利用して感染
ソフトウェアの脆弱性を突いた攻撃により感染する危険性もあります。例えばWebサイトを閲覧した際にトロイの木馬に感染させるような悪意のあるコードが実行されるなどのケースが考えられます。
2017年にはWindowsの脆弱性を悪用するツールである「EternalBlue」を経由したトロイの木馬への感染が相次ぎ、問題となりました。
トロイの木馬によって起きる可能性のある被害
個人情報が流出する
トロイの木馬に感染すると、PCに保存されている個人情報が流出する危険性が高くなります。Webサイトの閲覧履歴を悪用し、ECサイトでの購買履歴やログイン情報(ID/パスワード)などがバックドアを通じて流出する可能性があります。また、メールソフトに保存されているアドレスのリストなどもターゲットとなります。
金銭的な被害に遭う
トロイの木馬に感染していることに気づかず、ネットバンキングの利用やECサイトでクレジットカード情報を入力すると、銀行口座やカード情報が盗まれ、不正利用される危険があります。その結果、金銭的な被害を受ける可能性があります。
PCに不具合が生じる
トロイの木馬により、攻撃者は感染したPCの遠隔操作が可能となります。バックグラウンドで秘密裏に処理を行われた場合、メモリの消費量やCPUの専用率が増加し、通信量が増加するなどの影響から処理が遅くなりPCに不具合が生じます。
また、新たに有害なソフトウェアやアドインをインストールしたり、重要なファイルを書き換えたりするために、ブラウザーを繰り返し再起動させ、突然電源が落ちる現象も確認されています。
不正行為に使われる
トロイの木馬はメールやSNSを通じて感染を拡大しますが、その際にはメールソフトやブラウザーなどから窃取した本人のアドレスやアカウントが使用されます。受け取った人には知り合いからのコンタクトに見えるため、警戒せずに応答してしまうかもしれません。つまり、感染者だけでなくその周りの人にも迷惑をかけてしまう危険性があるのです。
また、遠隔操作よりDDoS攻撃や大量のスパムメールを送信する踏み台として悪用される危険性もあります。
実際に起きたトロイの木馬の被害事例
感染により不正アクセスの踏み台として利用された事例
2023年1月、トロイの木馬に感染したことで自社のグローバルIPアドレスがインターネットバンキングへの不正アクセスの踏み台として悪用されるという事例が発生しました。
ある従業員がインターネット上で配布されていたツールをダウンロードして自分用のPCにインストールしたところ、同梱されていたトロイの木馬に感染。バックドアを通じて不正アクセスした攻撃者によりインターネットバンキング上での不正送金に悪用されるという事態に発展しました。
自治体職員を名乗る「なりすましメール」送信事例
2022年3月、ある自治体の病院事業局のPC1台がトロイの木馬の一種である「Emotet(エモテット)」に感染し、複数のなりすましメールが送信されるという事態が発生しました。
感染により事務局宛にメールで送信した内容やメールアドレスなど2,000件以上の情報が流出した可能性があるほか、実在する職員名や過去にやり取りしたメールの内容を含む「なりすましメール」が複数送信されたことが確認されました。
同自治体では発覚後速やかに送信者に謝罪するとともに、添付ファイルやメール本文に記載されているURLを開かないよう注意喚起を行いました。また、この例では差出人として表示されるアドレスと実際の送信元アドレスが異なっていたため、この特徴を利用した不正メールの見分け方も合わせて周知しました。
トロイの木馬に感染した場合の対処方法
ネットワークから切断する
まずは被害の拡大を避けるため、できるかぎり早期にネットワーク接続を切断します。以前であればLANケーブルを抜けば完了でしたが、無線LANが普及した現在においてはWi-Fiの機能をオフにし、LANケーブルを抜いても自動接続されないようにしておきます。
また、情報を迅速に伝達するため、万が一感染した場合の連絡経路を前もって考えておきましょう。
アンチウイルスソフトで駆除する
ネットワーク接続を切断し、該当のPCの隔離が終了したら、アンチウイルスソフトで駆除を試みます。前述の通り、トロイの木馬はファイルに寄生するウイルスとは違い独立しているため、既知のものであれば検知・駆除で対策が終了する場合もあります。
念のため、ネットワーク上のほかのPCにもアンチウイルスソフトでスキャンしておきましょう。
PCを初期化する
アンチウイルスソフトで検知できなかった、または駆除できなかった場合には、PCの初期化が必要となります。OSのクリーンインストールに加えて業務に必要なソフトウェアなどの再インストールが必要となりますので、かなりの時間・手間を要する対策となります。
初期化により当然すべてのデータは失われてしまうため、普段からこまめにデータのバックアップを取っておくと良いでしょう。
やり取りのある取引先に連絡する
対策終了後、メールのやり取りのある取引先などに連絡し、感染があったこと、現在は対策が終了していることを合わせて周知します。
迅速な連絡は被害の拡大を防ぐだけではなく、信用の失墜を最小限に抑えるためにも必要です。可能であればメールの送信履歴などをチェックし、不正な操作があった場合は個別に連絡を取るなどきめ細やかな対応を心がけましょう。
パスワード変更/クレデンシャルリセットをする
被害を受けた場合、使用中のログインIDやパスワードなどのアカウント情報が流出している危険性があります。そのため、対策終了後には2次被害の防止のためすべてのアカウントについてパスワードを変更することを推奨します。
使用中のアカウントを利用停止にし、新たにアカウントを発行してすべての信用情報を刷新する「クレデンシャルリセット」を行えば、より確実な対策といえます。
トロイの木馬に感染を未然に防ぐ7つの対策が重要
1:添付ファイルを開く際の注意喚起をする
「不審なメールの添付ファイルは開かない」は情報リテラシーの基本です。普段から従業員に対し、繰り返し注意喚起を行っておく必要があります。
また、送信元が従業員のものであったり、添付ファイルに自然なファイル名が付けられていたりする場合でも感染している可能性もあります。すぐに添付ファイルを開かず、「本当に必要なファイルか」「送信元は正しいか」「本文に違和感はないか」など確認しましょう。
2:信頼できるソフトウェアのみダウンロードを許可する
ネット上で配布されているフリーソフトウェアや便利アプリケーションなどにトロイの木馬が仕掛けられている危険性があります。やむを得ず業務に使用する場合には、信頼できる開発者のものに限定してダウンロードを許可しましょう。
組織で承認されたソフトウェアやアプリケーション以外のダウンロード、インストールを禁止する旨を通知し、合わせて管理も実施しましょう。
3:OSなどを最新版にしておく
トロイの木馬が使用するバックドアや感染経路には、OSの脆弱性を利用したものもあります。それらの脆弱性を放置しておくと感染する可能性が高くなるため、OSや業務アプリケーションは定期的にアップデートをして最新の状態を保つように心がけましょう。
また、アンチウイルスソフトの定義ファイルも定期的に更新しましょう。
4:ログ監視・行動制御を行う
ネットワーク機器のログを監視し分析することで、異常な通信を感知して被害を未然に防ぐこともできます。急激な通信量の上昇や不審なサーバーとの通信を検知し、異常通信アラートを発報する体制を整えましょう。
また、トロイの木馬を介したランサムウェアの予兆として、大規模なファイル拡張子の変更や暗号化などがあります。そうしたファイル操作を禁止する行動制御を設定しておけば、被害を未然に防ぐことができます。
5:従業員へのセキュリティ教育を実施する
トロイの木馬への感染は多くの場合、従業員の不注意や知識不足によって発生します。そのため、従業員にセキュリティへの意識を醸成するような教育を実施することも効果的です。
例えば、メール本文に不審なURLが含まれている場合は、絶対にクリックしないよう徹底しましょう。これにより、Webページを経由した感染を防ぐことができます。また、怪しい添付ファイルは安易に開かないことを心がけることで、添付ファイルからの感染リスクも減らせます。
6:脆弱性スキャンを導入する
「脆弱性スキャン」とは、ツールを活用してシステムやネットワークにおけるセキュリティ上の欠陥を洗い出すことを指し、米国のQualys社の「Qualys」、同じく米国のTenable Network Security社の「Nessus」などの脆弱性診断ツールが知られています。
これらのツールを導入し、定期的に脆弱性診断を実施することで、自社システムのリスクを把握できます。ただし、脆弱性スキャンだけでは十分なセキュリティ対策にはならない点には注意が必要です。
7:感染対策サービスを活用する
PCをトロイの木馬などのマルウェアから守るソリューションとして、現在EPP(Endpoint Protection Platform)およびEDR(Endpoint Detection and Response)が注目されています。EPPは既知のマルウェアを侵入前に検知し、感染を防ぐ働きを持ちます。一方、EDRはマルウェアの不審な挙動を検知し、駆除や隔離といった対策を実施します。
EPPとEDRを併用することで、マルウェア対策を強化することができます。
EDR/EPPならNTTPCのSecure Access Gateway
NTTPCの「Secure Access Gateway」は、SASEで快適なテレワーク環境を実現しつつ、セキュリティを強化できるソリューションです。
特にSecure Access Gatewayのセキュリティ機能の1つである「セキュアエンドポイント」は、パターンファイルからマルウェアを検知する「シグネチャー検知」を行うEPPと端末内の怪しい挙動からマルウェアを発見する「振る舞い検知」を行うEDRの2つの検知エンジンを実装し、サイバー攻撃に対する強固な防御を実現します。また、万一感染した場合にも端末を自動で隔離して駆除し、二次被害を迅速に防ぐことができます。
セキュアエンドポイントはWindows/Mac OSに対応しており、管理コンソールから業務端末を一元的に制御できます。
トロイの木馬を始めとするマルウェア対策の強化をお考えの場合には、導入を検討してみてはいかがでしょうか。
まとめ
今回はマルウェアの一種であるトロイの木馬について解説しました。
メール、Webサイト、USBメモリなどのメディアなど、様々な感染経路を用いて感染を広げるトロイの木馬は、無害なプログラムやソフトのように偽装してPC内に侵入し、悪意のある動作を行います。
被害事例でも紹介したように、一旦感染してしまうと個人情報の流出や金銭的被害、PCの不具合、遠隔操作によるPCの悪用などの被害を受ける危険性があります。万一感染してしまった場合には、迅速にネットワークから切断およびアンチウイルスソフトで駆除を実施しましょう。また、やり取りのある取引先への連絡も必要となります。
ほかのマルウェアと同様、トロイの木馬への感染対策には「添付ファイルを開く際の注意喚起をする」「信頼できるソフトウェアのみダウンロードを許可する」「OSなどを最新版にしておく」などの対策が有効です。
また、「感染対策サービスを活用する」という対策もあります。もし自社内でのトロイの木馬対策が不十分だと感じている場合には、そうしたサービスを活用してみるのも良いでしょう。
※Androidは、Google Inc.の商標または登録商標です。
※Microsoftは、米国 Microsoft Corporation およびその関連会社の商標です。
※Windowsは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
