トロイの木馬とは何か

トロイの木馬とは、もともとはギリシャ神話の「トロイア戦争」に登場する難攻不落の城塞都市トロイアを陥落させた戦術のことです。
トロイア陥落のためには正門を排除することが必要不可欠でした。そこで、門を壊さないと入れないような巨大な木馬を作り、その中に兵士を潜ませます。そしてその木馬を戦利品として、自ら門を壊して城内に持ち込ませるように仕向けたのです。機をうかがってその木馬から出てきた兵士たちが不意を衝き、都市陥落を成功に導いたという話です。

それになぞらえてITの世界では、正規なものや安全なもののような振る舞いをするマルウェア（悪意のあるソフトウェア）を「トロイの木馬」と呼ぶようになりました。

ウイルスとトロイの木馬の違い

コンピュータウイルスは、実は特殊なものではなく単なるプログラムの構文です。そのものだけでは機能せずに宿主となるファイルが必要という点や、次々と感染して自己増殖する挙動が自然界のウイルスと非常に似ているため、そのようなプログラムを「ウイルス」と呼ぶようになりました。
たとえば、元のファイルを書き換えたり置き換えたりして、感染を次々に拡げていきます。症状がさまざまな形で現れるため、感染に気がつきやすいのが特徴です。

一方トロイの木馬は、ウイルスとは違って自己増殖はせず、宿主も必要なくプログラム単体で実行可能です。正規なもの、信頼できるものを装って内部に侵入します。しかし、何らかのトリガーがない状態では活動しません。時期が来たりトリガーが実行されたりすることで活動を開始します。そのため感染していても気がつかないことがあります。

なお、悪意のあるソフトウェアのことを総称して「マルウェア」と呼びます。つまりウイルスもトロイの木馬もマルウェアの一種です。

トロイの木馬に感染する6つの主な経路とは

トロイの木馬は、名前の由来のように表向きには正規なもののように偽装して、ユーザーを信用させます。その感染経路は多岐におよびます。その中でも、以下の6つの主要な経路には注意が必要です。

ファイルを踏んでしまう

メールやSNSに添付されたファイルから感染するケースがあります。特に添付ファイルに関連付けされたアプリケーションに脆弱性などがあると、開くだけで容易に感染を引き起こします。また、マルウェアが仕込まれたフリーソフトやドライバーなどをネットからダウンロードさせて感染を招くこともあります。

URLから感染する

メールやSNSなどに記載された不正なリンク先にアクセスすることでも感染します。リンク先を良く確かめずにアクセスしてしまうことで、そのリンク先に仕込まれたアタックを受けてしまいます。

Webサイトから感染する

改ざんされたサイトや悪意のあるサイトの中には、アクセスするだけでファイルをダウンロードさせるものがあります。特にブラウザのバージョンが古い場合は脆弱性を狙われやすくなります。

フラッシュメモリなどの共有媒体から感染する

メールやネット上だけでなく、フラッシュメモリや外付けストレージデバイスなどの共有媒体も感染経路になります。そのような媒体から感染したエクセルやPDFファイルなどを入手し開く際に感染します。

圧縮ファイルを展開して感染する

ネットやメールまたは記憶媒体などから圧縮ファイルを入手し、展開（解凍）するという経路で感染することもあります。圧縮ファイルを展開した際に、アーカイバの脆弱性や自動実行を利用した感染が引き起こされる場合があります。

偽のログイン画面、リモート操作から感染する

フィッシングや標的型攻撃などを受けて表示された偽のログイン画面から感染することもあります。他にもリモートデスクトップや最近激増しているサポート詐欺によるリモート操作も感染経路になるため、注意が必要です。

トロイの木馬の種類

トロイの木馬は活動の内容によって主に以下の5種類に分類されます。

ダウンローダー型

ダウンローダー型トロイの木馬が侵入に成功すると、他のマルウェアをダウンロードして悪意ある活動を実行させます。
例えば「Emotet」（エモテット）というダウンローダー型トロイの木馬は、ランサムウェアをダウンロードして実行させます。そしてコンピュータのデータを暗号化して使えなくし、複合するための身代金を要求します。その被害は世界的な拡がりを見せ、あらためてトロイの木馬による被害の深刻さが浮き彫りとなりました。

クリッカー型

感染を引き起こすWebサイトに誘導されて、ユーザーの意図しない操作で広告やリンクをクリックし感染します。

バックドア型

コンピュータに潜伏して遠隔操作用のバックドアを作成します。「Zloader」など金融取引を狙ったものがあります。

キーロガー型

キーボードの機能を乗っ取って打鍵した情報やID、パスワードなどを取得し送信します。他のマルウェアと組み合わせて利用されることもあります。

プロキシ型

コンピュータに潜入して踏み台にし、ユーザーに気づかれることなく外部とインターネット通信を行います。

最近ではそれぞれの特徴を組み合わせて効果を高めたものも出現しており、さらなる脅威となっています。

トロイの木馬に感染した時に見られる症状

トロイの木馬の多くは、感染しても表向きにすぐわかるような挙動は示しません。潜伏してバックグラウンドで活発に活動するため、パソコンのリソースを消費します。
例えば以下のような変化がシステム内部で起きるようになります。

1. CPUの稼働率が異常に上昇する
2. 不審なプロセスが実行される、メモリ容量を多く占有する
3. ネットワークトラフィック（通信量）が増大する

このような症状は普段コンピュータを使用する際には気づきにくく、発見が遅れることがあります。

さらに症状が進んだり悪化したりすると、以下のようなはっきりとした症状が現れることがあります。

1. ネットワークが遅くなる、つながらなくなる
2. プログラムが起動しなくなる、動作が不安定になる
3. たびたびフリーズする、突然システムエラー画面が出現する
4. 突然再起動する、頻繁に再起動がかかるようになる
5. OSが起動しなくなる

トロイの木馬に感染したらどうなる？

前述のように、トロイの木馬は増殖したりいきなり活動を開始したりすることはありませんが、ウイルスのように挙動で感染にすぐに気付く場合と違い、感染したこと自体がわからないことがあります。そのためいったん活動を始めると、非常に深刻な被害をもたらすことになります。

パソコンが乗っ取られてしまう

トロイの木馬はパソコンの管理者権限を取得し、目的の活動を行いやすくします。またバックドア（ネットワークやサーバーに作られる不正アクセスのための裏口）を仕込み、別ルートの通信接続を確立して情報を外部に送ります。さらに、外部からのリモート操作を可能にして乗っ取ることもあります。当然パソコン内部の情報は筒抜けになります。

個人情報が流出してしまう

内部の個人情報やデータなどへも自由にアクセスできるので、情報漏洩が起きます。またデータの保存状況や内容によっては、登録してある金融機関のネットバンキングなどから預金が引き出されるなどの被害が起きてしまいます。

データが暗号化される、破損する

最近増えているのが、「ランサムウェア」による被害です。トロイの木馬に感染すると、重要なファイルが暗号化され使用できなくされたうえ、その復元に多額の身代金の支払いを要求されます。支払っても復元できるとは限らず、被害が二重になってしまう可能性もあります。 そして最悪の場合、データが破損し完全に失われることもあります。

パソコンに不具合が出てくる

トロイの木馬に感染すると上記のようにリモート操作や大量のデータ送信などが発生するため、ネットワークトラフィックが増大したり、ストレージへのアクセス、メモリ消費量などパソコンのリソース消費が増大したりすることがあります。そうなるとパソコンの動きが遅くなったり、ネットがつながりにくくなったりするなどの症状が出ることがあります。ただし、パソコンの性能が低い場合は症状が顕著に現れますが、高性能なパソコンの場合は症状が現れにくいことがあります。

パソコンが使用できなくなってしまう

トロイの木馬の中にはパソコンのUEFIファームウェア（BIOS）や起動ドライブのブートセクタに影響を与えたり、感染したりするものがあります。感染した場合、パソコンが起動できなくなる、またはデータが消去されたり破壊されたりします。そのような場合は復旧が難しい、あるいは復旧が不可能になってパソコン自体が使用できなくなってしまうこともあります。

感染の拡大

感染したパソコンから、ネットワーク上の他のパソコンへ感染が広がることがあります。また、ネットワーク全体が感染被害を受けることで、大規模な障害が発生する恐れもあります。

トロイの木馬に感染してしまった時の応急処置

トロイの木馬に感染した場合は、まずは以下のような応急処置が必要です。

インターネットから切断する

トロイの木馬に感染した場合、不正なアクセスが疑われるため早急に外部との通信を遮断する必要があります。そのためまずはインターネットへの接続を切断します。
具体的には、Wi-Fi接続を設定で切断する、Wi-Fiアダプタを無効化する、有線LANの場合はケーブルをパソコンから抜くことでネット通信を絶って対処します。

セキュリティソフトで駆除する

ネットワークから切り離した後、セキュリティソフトによるフルスキャンを行います。トロイの木馬が感知できない場合は、セキュリティソフトフトと併用可能なスタンドアロン型のウイルススキャナなどを使用して駆除を試みます。検出したファイルの駆除が上手くいかない場合は、手動で削除する必要もあるでしょう。

すでに操作をしてしまっていた場合の処置

感染時の挙動をイベントログなどで確認し、被害の程度や範囲を調べます。また、メールの送受信をチェックして不正な操作があれば、正常なパソコンから送信先に連絡を送り注意喚起するなど対応を促します。
さらにデータ漏洩の可能性があるので、正常なパソコンを使用して、 各種IDやパスワードなどをただちに変更する必要があります。

トロイの木馬からパソコンを守る方法

トロイの木馬に感染しないためには、セキュリティ対策をしておくことは当然です。しかし対策をしているつもりでも、セキュリティ対策ソフトやOS、アプリケーションのバージョンが古くてサポート期限が切れていたり、更新が止まっていたりすると脆弱性の温床となり危険度が増します。ソフトウェアを必要に応じて適宜更新しておく必要があります。

トロイの木馬に対応したセキュリティソフトを導入

検出率が低いセキュリティ対策ソフトではトロイの木馬に対応できない場合があります。たとえば無料のセキュリティ対策ソフトの中には、性能が非常に低いものもあります。できれば未知の脅威などにも柔軟に対応できるヒューリスティック検知（特異な挙動を検知する手法）などが可能なものを導入しましょう。

覚えがないURLやファイルは極力開かない

URLやファイルなどはいきなりアクセスせずに、一呼吸おいて確かなものかどうか確認することを習慣付けましょう。不正なものは、URLやメールアドレスのドメインの文字が正式なものと一部異なっていたり、余計な文字が追加されていたりします。URL、リンク、メールアドレスなどに少しでも違和感を覚えたら確認が終わるまでアクセスしないようにしましょう。また、添付ファイルなどはいきなり開かずにいったん保存して、セキュリティ対策ソフトでスキャンを行ってからアクセスします。

個人情報の取り扱いには気をつける

パソコンにIDやパスワードなどを平文（暗号化されていない状態）で保存するのは危険です。特に「ID、パスワード一覧」や「重要ファイル」など、それとはっきりわかるファイル名などを使用したりしないことです。

トロイの木馬についてまとめ

トロイの木馬は、普通のファイルやソフトを装って侵入します。そしていったん感染するとそれに気付くまで被害は拡大していきます。セキュリティ対策ソフトを導入していても、感染を確実に防げるとはいえません。日ごろからパソコンの安全な操作方法を習慣付け、リテラシー向上のための情報収集に積極的に取り組むことも、トロイの木馬対策になるでしょう。