記事カテゴリ
MENU

セキュリティ

トロイの木馬とは? 感染した場合の対処法と事前の対策法、被害事例を紹介

このエントリーをはてなブックマークに追加

今回はマルウェアの一種である「トロイの木馬」の特徴や主な感染経路などについて解説します。また、万一感染した場合に発生し得る被害や必要となる対処方法、感染を防ぐ対策についても解説します。自社のトロイの木馬対策に不安をお持ちの方はご一読ください。

この記事で紹介している
サービスはこちら

EDRとEPPの2つの検知エンジンを実装したSecure Access Gatewayの「Cisco Secure Endpoint」

目次

トロイの木馬とは

「トロイの木馬」はマルウェアの一種です。無害なプログラムやソフトのように偽装してPC内に侵入し、悪意のある動作を行うものです。
ギリシア神話の「トロイア戦争」において、木馬の内部にギリシア軍が潜む巨大な木馬を敵が自ら城内に運び込むことで侵入し、トロイアを滅亡させたというエピソードにちなんで命名されました。

トロイの木馬とその他のウイルスとの違い

「なんだ、またコンピューターウイルスの一種か」と思った方もいるでしょう。しかし、厳密にいえばトロイの木馬はマルウェアであり、ウイルスとは異なります。
病原体の「ウイルス」は、宿主の身体に入り込み、宿主のエネルギーや細胞の機能を利用して自己増殖します。インフルエンザウイルスやノロウイルスなどの代表例を思い浮かべれば良いでしょう。そして「コンピューターウイルス」もこれらと同様に、宿主となるファイルの一部を書き換えることで、そのファイルが使用された際に自分自身を複製し、ネットワーク上の別のファイルなどに感染を広げ自己増殖します。
対してトロイの木馬はプログラム単体で動作できるため、宿主となるファイルを必要としません。その点において、コンピューターウイルスではなく、より広義な「マルウェア」の一部として分類されています。

トロイの木馬の特徴や種類

トロイの木馬の特徴として、「一見すると無害な問題のないファイルのように見える」ことがあります。便利なソフトウェアや有益な画像ファイルなどを装っていることも多いため、意識せずにインストールしてしまったり、実行してしまったりする危険性があります。
また、ダウンロードを促す「ダウンロード型」、悪意ある第三者が悪用できるよう通信ポートの「裏口」を作成する「バックドア型」など様々な種類があるため、幅広く注意を向ける必要があります。2019年に登場し、主にメールを感染経路として断続的に大きな被害を与えたトロイの木馬型マルウェア「Emotet(エモテット)」は記憶に新しいところです。

Emotet(エモテット)について、詳しくは「【マルウェア「Emotet(エモテット)」の脅威・特徴と対策を徹底解説!」を参照してください。

トロイの木馬の主な感染経路

メールや添付ファイルによる感染

メールの添付ファイルを不用意に開いたり、トロイの木馬がダウンロードされてしまうURLをクリックしたりすることによって感染します。
後述しますが、感染したPCから発信元などを偽装したメールが自動的に送信される場合もあることに注意しましょう。また、迷惑メールに振り分けられたスパムメールを開封する際には特に注意が必要です。

Webサイト・SNS・アプリから感染

無害なWebサイトやSNSなどに偽装されたURLをクリックしたり、誘導されたサイトからソフトウェアやアプリケーションをダウンロードしたりすることで感染する危険性もあります。
また、近年ではクラウドストレージでトロイの木馬を含むファイルを共有により感染する危険性もあります。

USBメモリ・外付けHDDから感染

クラウドストレージなどの普及により使用頻度は減ったものの、未だUSBメモリや外付けHDDなどの外部ストレージから感染する可能性もあります。感染したこれらのストレージを接続すると、トロイの木馬が自動実行され、感染してしまいます。
過去には実際に感染した状態の外付けHDDが販売されていたケースもあり、注意が必要です。

PCへの直接インストールから感染

第三者によりトロイの木馬を含むソフトウェアやアプリケーションを直接インストールされる危険性もあります。
外出先での作業中に離席した際、悪意のある第三者によりインストールされる場合だけでなく、在宅ワーク中に家族が悪気なく偽装されたゲームなどをダウンロードしてインストールしてしまう場合もあります。特にテレワーク時など、個人でPCを管理する必要がある場合には保管場所や不正操作対策などに注意しましょう。

トロイの木馬に感染したら

個人情報の流出につながる

トロイの木馬に感染すると、PCに保存されている個人情報が流出する危険性が高くなります。Webサイトの閲覧履歴を悪用し、ECサイトでの購買履歴やログイン情報(ID/パスワード)などがバックドアを通じて流出する可能性があります。また、メールソフトに保存されているアドレスのリストなどもターゲットとなります。

金銭的な被害に遭う可能性がある

トロイの木馬に感染していることに気づかないままネットバンキングを利用して銀行口座などの情報を入力したり、ECサイトでクレジットカード情報を入力したりすると、それらの情報が不正利用され金銭的な被害に遭う危険性があります。トロイの木馬は感染に気づきにくいという特徴があるため、特に注意が必要です。

PCに不具合が生じる

トロイの木馬により、攻撃者は感染したPCの遠隔操作が可能となります。バックグラウンドで秘密裏に処理を行われた場合、メモリの消費量やCPUの専用率が増加したり、通信量が増加したりなどの影響から処理が遅くなるなどPCに不具合が生じます。
また、新たに有害なソフトウェアやアドインをインストールしたり、重要なファイルを書き換えたりするために、ブラウザーを繰り返し再起動させたり、突然電源が落ちたりする現象も確認されています。

不正行為に使われる可能性がある

トロイの木馬はメールやSNSを通じて感染を拡大しますが、その際にはメールソフトやブラウザーなどから摂取した本人のアドレスやアカウントが使用されます。受け取った人には知り合いからのコンタクトに見えるため、警戒せずに応答してしまうかもしれません。つまり、感染者だけでなくその周りの人にも迷惑をかけてしまう危険性があるのです。
また、遠隔操作よりDDoS攻撃や大量のスパムメールを送信する踏み台として悪用される危険性もあります。

トロイの木馬の被害事例

感染により不正アクセスの踏み台として利用された事例

2023年1月、トロイの木馬に感染したことで自社のグローバルIPアドレスがインターネットバンキングへの不正アクセスの踏み台として悪用されるという事例が発生しました。
ある従業員がインターネット上で配布されていたツールをダウンロードして自分用のPCにインストールしたところ、同梱されていたトロイの木馬に感染。バックドアを通じて不正アクセスした攻撃者によりインターネットバンキング上での不正送金に悪用されるという事態に発展しました。

自治体職員を名乗る「なりすましメール」送信事例

2022年3月、ある自治体の病院事業局のPC1台がトロイの木馬の一種である「Emotet(エモテット)」に感染し、複数のなりすましメールが送信されるという事態が発生しました。
感染により事務局宛にメールで送信した内容やメールアドレスなど2000件以上の情報が流出した可能性があるほか、実在する職員名や過去にやり取りしたメールの内容を含む「なりすましメール」が複数送信されたことが確認されました。
同自治体では発覚後速やかに送信者に謝罪するとともに、添付ファイルやメール本文に記載されているURLを開かないよう注意喚起を行いました。また、この例では差出人として表示されるアドレスと実際の送信元アドレスが異なっていたため、この特徴を利用した不正メールの見分け方も合わせて周知しました。

トロイの木馬に感染した場合の対処方法

ネットワークから切断をする

まずは被害の拡大を避けるため、できるかぎり早期にネットワーク接続を切断します。以前であればLANケーブルを抜けば完了でしたが、無線LANが普及した現在においてはWi-Fiの機能をオフにし、LANケーブルを抜いても自動接続されないようにしておきます。
また、情報を迅速に伝達するため、万が一感染した場合の連絡経路を前もって考えておきましょう。

アンチウイルスソフトで駆除をする

ネットワーク接続を切断し、該当のPCの隔離が終了したら、アンチウイルスソフトで駆除を試みます。前述の通り、トロイの木馬はファイルに寄生するウイルスとは違い独立しているため、既知のものであれば検知・駆除で対策が終了する場合もあります。
念のため、ネットワーク上のほかのPCにもアンチウイルスソフトでスキャンしておきましょう。

PCを初期化する

アンチウイルスソフトで検知できなかった、または駆除できなかった場合には、PCの初期化が必要となります。OSのクリーンインストールに加えて業務に必要なソフトウェアなどの再インストールが必要となりますので、かなりの時間・手間を要する対策となります。
初期化により当然すべてのデータは失われてしまうため、普段からこまめにデータのバックアップを取っておくと良いでしょう。

やり取りのある取引先に連絡する

対策終了後、メールのやり取りのある取引先などに連絡し、感染があったこと、現在は対策が終了していることを合わせて周知します。
迅速な連絡は被害の拡大を防ぐだけではなく、信用の失墜を最小限に抑えるためにも必要です。可能であればメールの送信履歴などをチェックし、不正な操作があった場合は個別に連絡を取るなどきめ細やかな対応を心がけましょう。

トロイの木馬の感染対策

添付ファイルを開く際の注意喚起をする

「不審なメールの添付ファイルは開かない」は情報リテラシーの基本です。普段から従業員に対し、繰り返し注意喚起を行っておく必要があります。
また、送信元が従業員のものであったり、添付ファイルに自然なファイル名が付けられていたりする場合でも感染している可能性もあります。添付ファイルを開く前には一呼吸置く習慣を付けましょう。

信頼できるソフトウェアのみダウンロードを許可する

ネット上で配布されているフリーソフトウェアや便利アプリなどにトロイの木馬が仕掛けられている危険性があります。やむを得ず業務に使用する場合には、信頼できる開発者のものに限定してダウンロードを許可しましょう。
組織で承認されたソフトウェアやアプリ以外のダウンロード、インストールを禁止する旨を通知し、合わせて管理も実施しましょう。

OSなどを最新版にしておく

トロイの木馬が使用するバックドアや感染経路には、OSのぜい弱性を利用したものもあります。それらのぜい弱性を放置しておくと感染する可能性が高くなるため、OSや業務アプリケーションは定期的にアップデートをして最新の状態を保つように心がけましょう。
また、アンチウイルスソフトの定義ファイルも定期的に更新しましょう。

感染対策サービスを活用する

PCをトロイの木馬などのマルウェアから守るソリューションとして、現在EPP(Endpoint Protection Platform)およびEDR(Endpoint Detection and Response)が注目されています。EPPは既知のマルウェアを侵入前に検知し、感染を防ぐ働きを持ちます。一方、EDRはマルウェアの不審な挙動を検知し、駆除や隔離といった対策を実施します。
EPPとEDRを併用することで、マルウェア対策を強化することができます。

EDR/EPPならNTTPCのSecure Access Gateway

NTTPCの「Secure Access Gateway」は、SASEで快適なテレワーク環境を実現しつつ、セキュリティを強化できるソリューションです。
特にSecure Access Gatewayのセキュリティ機能の1つである「Cisco Secure Endpoint」は、パターンファイルからマルウェアを検知する「シグネチャー検知」を行うEPPと端末内の怪しい挙動からマルウェアを発見する「振る舞い検知」を行うEDRの2つの検知エンジンを実装し、サイバー攻撃に対する強固な防御を実現します。また、万一感染した場合にも端末を自動で隔離して駆除し、2次被害を迅速に防ぐことができます。
さらにCisco Secure EndpointはWindows / Mac OS / Android / iOSに対応しており、PCだけでなくモバイル端末も保護。管理コンソールから業務端末を一元的に制御できます。
トロイの木馬を始めとするマルウェア対策の強化をお考えの場合には、導入を検討してみてはいかがでしょうか。

EDRとEPPの2つの検知エンジンを実装したSecure Access Gatewayの「Cisco Secure Endpoint」

まとめ

今回はマルウェアの一種であるトロイの木馬について解説しました。
メール、Webサイト、USBメモリなどのメディアなど、様々な感染経路を用いて感染を広げるトロイの木馬は、無害なプログラムやソフトのように偽装してPC内に侵入し、悪意のある動作を行います。
被害事例でも紹介したように、一旦感染してしまうと個人情報の流出や金銭的被害、PCの不具合、遠隔操作によるPCの悪用などの被害を受ける危険性があります。万一感染してしまった場合には、迅速にネットワークから切断およびアンチウイルスソフトで駆除を実施しましょう。また、やり取りのある取引先への連絡も必要となります。
ほかのマルウェアと同様、トロイの木馬への感染対策には「添付ファイルを開く際の注意喚起をする」「信頼できるソフトウェアのみダウンロードを許可する」「OSなどを最新版にしておく」などの対策が有効です。
また、「感染対策サービスを活用する」という対策もあります。もし自社内でのトロイの木馬対策が不十分だと感じている場合には、そうしたサービスを活用してみるのも良いでしょう。

※Windowsは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
※Androidは、Google Inc.の商標または登録商標です

※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。

この記事で紹介している
サービスはこちら

EDRとEPPの2つの検知エンジンを実装したSecure Access Gatewayの「Cisco Secure Endpoint」

関連するおすすめ記事