Overview
トロイの木馬(Trojan Horse)とは、正規のソフトウェアやファイルに偽装してユーザーにインストールさせ、裏で悪意のある活動を行うマルウェアの一種です。名称はギリシャ神話のトロイア戦争に登場する「トロイの木馬」に由来し、一見無害に見える外見の中に危険な機能を隠し持つことが特徴です。
ウイルスやワームとは異なり、トロイの木馬は自己複製機能を持たないため、ユーザー自身がダウンロード・実行するという行為を必要とします。その代わり、バックドアの設置、情報窃取、他のマルウェアのダウンロードなど、多様な悪意ある機能を備えています。種類も多岐にわたり、バックドア型、バンキング型、ダウンローダー型、RAT(Remote Access Trojan)などに分類されます。
近年ではEmotetに代表されるように、トロイの木馬がランサムウェアやその他のマルウェアの「配送役(ドロッパー/ダウンローダー)」として機能するケースが増加しており、サイバー攻撃のキルチェーンにおける初期侵入段階で重要な役割を果たしています。
Details
トロイの木馬の種類
- バックドア型:感染端末にバックドア(裏口)を設置し、攻撃者がリモートからシステムに不正アクセスできるようにする。C2(Command and Control)サーバーと通信して指示を受け取る
- RAT(Remote Access Trojan):感染端末を遠隔操作するための高機能なトロイの木馬。画面キャプチャ、キーロギング、ファイル操作、Webカメラの制御など幅広い機能を持つ
- バンキングトロイ:オンラインバンキングの認証情報を窃取することに特化したトロイの木馬。Webインジェクション技術でログインページを改ざんし、入力された情報を攻撃者に送信する
- ドロッパー / ダウンローダー:他のマルウェア(ランサムウェア、スパイウェアなど)をダウンロード・実行することを主目的としたトロイの木馬。検知を回避するため、本体には悪意のあるペイロードを含まない場合が多い
- インフォスティーラー:パスワード、Cookie、暗号資産ウォレット情報、クレジットカード情報など、保存された認証情報や個人情報を窃取する。RedLine、Raccoon、Vidarなどが有名
主な感染経路
トロイの木馬は多様な手口でユーザーを欺きます。フィッシングメールに添付されたOffice文書(マクロ付き)、正規ソフトウェアを装った偽インストーラー、ソフトウェアのクラック版やキージェネレーター、偽のセキュリティ警告から誘導されるダウンロードなどが代表的な感染経路です。近年ではSNSやメッセージアプリ経由の拡散も増加しています。
Emotet の脅威
Emotetは、2014年にバンキングトロイとして登場した後、世界最大級のマルウェア配信基盤へと進化したトロイの木馬です。既存のメールスレッドに返信する形で悪意のある添付ファイルを送信する高度なソーシャルエンジニアリング手法を使用し、受信者を欺きます。感染後はTrickBot、Qakbot、Ryukランサムウェアなど他のマルウェアを次々とダウンロードする配信プラットフォームとして機能しました。
2021年1月にEuropol主導の国際共同作戦によってインフラが解体されましたが、同年11月に活動を再開。その後も断続的に活動と停止を繰り返しています。
検知手法
トロイの木馬の検知には複数のアプローチが有効です。シグネチャベースの検知(既知のマルウェアパターンとの照合)、振る舞い検知(不審なプロセス実行や通信パターンの監視)、サンドボックス解析(隔離環境でのファイル実行と挙動分析)、ネットワークトラフィック分析(C2サーバーへの不審な通信の検出)などを組み合わせた多層防御が重要です。
Security Measures
- 01信頼できるソースからのみソフトウェアを入手:ソフトウェアは公式サイトや正規のアプリストアからのみダウンロードしてください。クラック版や非公式サイトからのダウンロードはトロイの木馬感染の主要な経路です。ダウンロードファイルのハッシュ値を公式と照合することも有効です。
- 02メール添付ファイルの慎重な取り扱い:不審なメールの添付ファイルは開かず、既知の送信者からのメールでも予期しない添付ファイルには注意してください。Office文書のマクロは既定で無効化し、業務上必要な場合のみ限定的に許可しましょう。
- 03エンドポイント保護ソフトの導入と更新:最新のアンチウイルス/EDRソリューションを導入し、リアルタイム保護を有効にしてください。定義ファイルの自動更新を設定し、定期的なフルスキャンも実施しましょう。振る舞い検知機能を備えた製品を選択することが重要です。
- 04ネットワーク監視とC2通信の遮断:ファイアウォールやIDS/IPSでネットワークトラフィックを監視し、既知のC2サーバーへの通信をブロックしてください。DNSフィルタリングや脅威インテリジェンスフィードの活用も効果的です。
- 05最小権限の原則の適用:ユーザーアカウントには必要最低限の権限のみ付与してください。管理者権限での日常的な作業を避け、UAC(ユーザーアカウント制御)を有効にすることで、トロイの木馬がシステムレベルの変更を行うことを防止できます。
- 06セキュリティ教育の実施:従業員に対してソーシャルエンジニアリングの手口やトロイの木馬の感染経路について定期的な教育を実施してください。不審なファイルやリンクの見分け方、感染が疑われる場合の報告手順を周知しましょう。
Incidents
📋 Emotet による世界規模の被害(2014年〜2023年)
Emotetは2014年にバンキングトロイとして登場して以来、世界で最も危険なマルウェアの一つとして猛威を振るいました。日本では2019年後半から感染が急増し、大学、自治体、大手企業など多くの組織が被害を受けました。実在する取引先からのメールを装った巧妙なフィッシングにより、受信者が添付ファイルを開いてしまうケースが続出しました。
2021年1月にEuropol主導の「Operation Ladybird」で一度は壊滅しましたが、同年11月に復活。JPCERT/CCやIPAが繰り返し注意喚起を発出し、社会的な問題となりました。Emotetの感染はランサムウェア攻撃の入口としても利用され、多重的な被害をもたらしました。
📋 Zeus/Zbot バンキングトロイ(2007年〜)
2007年に登場したZeus(別名Zbot)は、史上最も広く拡散したバンキングトロイの一つです。Webインジェクション技術を駆使してオンラインバンキングのログインページに偽のフォームを挿入し、認証情報やクレジットカード情報を窃取しました。世界中で推定360万台以上のPCに感染したとされています。
2011年にソースコードが流出したことで多数の派生型(Citadel、GameOver Zeus、Terdotなど)が生まれ、被害が長期化しました。FBIは2014年にGameOver Zeusのボットネットを解体する「Operation Tovar」を実施しましたが、Zeusの血統を受け継ぐマルウェアは現在も進化を続けています。
📋 SolarWinds SUNBURST 攻撃(2020年)
2020年12月に発覚したSolarWinds攻撃では、ネットワーク管理ソフトウェア「SolarWinds Orion」の正規アップデートにバックドア型トロイの木馬「SUNBURST」が仕込まれていました。これはサプライチェーン攻撃の典型例であり、約18,000の組織がトロイの木馬入りのアップデートをインストールしました。
標的にはMicrosoft、FireEye、米国財務省、国土安全保障省など多くの政府機関・大手企業が含まれていました。攻撃はロシアの情報機関SVRに関連するグループ(APT29/Cozy Bear)によるものとされています。SUNBURSTは非常に巧妙に作られており、実行前に2週間の潜伏期間を設け、サンドボックス環境やセキュリティ製品の存在を確認してから活動を開始する高度な検知回避機能を備えていました。