トロイの木馬(トロイの木馬型マルウェア)とは
トロイの木馬は、正当なコードやソフトウェアになりすますマルウェアの一種です。ネットワーク内に侵入すると、攻撃者は、ファイルのエクスポート、データの変更、ファイルの削除、デバイスのコンテンツの変更など、正当なユーザーに可能なあらゆるアクションを実行できます。トロイの木馬は、ゲーム、ツール、アプリ、あるいはソフトウェアパッチのダウンロードにパッケージ化されている場合があります。トロイの木馬攻撃の多くは、ソーシャルエンジニアリングの戦術、なりすましやフィッシングを利用して、目的とするアクションをユーザーに促します。
トロイの木馬: ウイルスかマルウェアか
トロイの木馬はトロイウイルスやトロイの木馬ウイルスと呼ばれることもありますが、この用語は技術的には正しくありません。ウイルスやワームとは異なり、トロイの木馬型マルウェアはそれ自体の複製や自己実行はできません。ユーザーからの具体的で意図的なアクションが必要です。
トロイの木馬はマルウェアであり、ほとんどの形式のマルウェアと同様に、ファイルの損傷、インターネットトラフィックのリダイレクト、ユーザーの行動の監視、機密データの盗用、システムへのバックドアアクセスポイントの設定などを行うように設計されています。トロイの木馬は、データを削除、ブロック、変更、漏洩、コピーして、身代金やダークウェブでユーザーに売り戻すこともあります。
2024年版クラウドストライクグローバル脅威レポート
クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。
今すぐダウンロードトロイの木馬型マルウェアの10形態
トロイの木馬は、サイバー犯罪者により非常によく使われる用途の広い攻撃手段です。ここでは、トロイの木馬の10の例とその動作について説明します。
- エクスプロイト型トロイの木馬: 名前が示すように、この種のトロイの木馬は、システムへのアクセスを得るために、ソフトウェアアプリケーション内の脆弱性を特定して悪用します。
- ダウンローダー型トロイの木馬: このタイプのマルウェアは通常、感染したデバイスを標的とし、悪意のあるプログラムの新しいバージョンをデバイスにインストールします。
- ランサム型トロイの木馬: 一般的なランサムウェアと同様、このトロイの木馬型マルウェアは、感染したデバイスとそのコンテンツの復元についてユーザーを恐喝します。
- バックドア型トロイの木馬: 攻撃者はこのマルウェアを使用してネットワークへのアクセスポイントを設定します。
- 分散型サービス拒否(DDoS)攻撃型トロイの木馬: バックドア型トロイの木馬は、複数のデバイスに展開されてボットネットまたはゾンビネットワークを作成し、それによってDDoS攻撃を実行します。この種類の攻撃では、感染したデバイスがワイヤレスルーターにアクセスし、トラフィックのリダイレクトやネットワークのフラッディングに使用されます。
- 偽ウイルス対策型トロイの木馬: この種のトロイの木馬は、ウイルス対策ソフトウェアを装っていますが実際にはランサムウェアであり、ユーザーに脅威の検知もしくは削除のために料金の支払いを要求します。ソフトウェア自体も偽物ですが、このプログラムが見つけたと主張する問題も通常は偽物です。
- ルートキット型トロイの木馬: このプログラムは、感染したコンピューターまたはデバイス上のオブジェクトを隠したり見つかりにくくして、感染したシステムで検知されないまま実行できる時間を延長しようとします。
- SMS型トロイの木馬: このトロイの木馬マルウェアはモバイルデバイスに対する攻撃で、テキストメッセージの送信や傍受を行います。有料番号にSMSメッセージを送信することによって収益を上げるためにも使用されます。
- バンキング型トロイの木馬、Trojanバンカー:この種のトロイの木馬は、特に金融口座を標的にします。銀行口座、クレジットカード、デビッドカード、電子決済プラットフォームに関連するデータを盗み出すように設計されています。
- Trojan GameThief(トロイの木馬型ゲーム泥棒): このプログラムはオンラインゲームのプレーヤーをターゲットとし、ゲームアカウントの認証情報へのアクセスを試みます。
トロイの木馬型マルウェアの例
トロイの木馬のようなマルウェアプログラムは常に進化しており、侵害を防止し被害を最小限に抑える方法の1つは、過去のトロイの木馬攻撃を包括的に調べることです。以下にいくつかの例を挙げます。
- NIGHT SPIDERのZloader: Zloaderは、Zoom、Atera、NetSupport、Brave Browser、JavaPlugin、TeamViewerインストーラーなどの正規のプログラムになりすましていましたが、そのプログラムには、自動偵察を実行しトロイの木馬をダウンロードする悪意のあるスクリプトとペイロードもパッケージ化されていました。脅威アクターが検知を回避しようとした行動が、クラウドストライクの脅威ハンターの注目を集め、進行中のキャンペーンの証拠をすばやく組み立てることができました。
- QakBot: QakBotはeCrimeバンキング型トロイの木馬であり、ネットワーク共有とActive Directoryユーザーグループアカウントへのブルートフォース攻撃によるワームのような機能の利用、もしくはサーバーメッセージブロック(SMB)の悪用を通じて、ネットワーク全体に横方向に拡散する能力があります。QakBotは分析対策や回避の機能を備えていますが、CrowdStrike Falcon®プラットフォームは、そのVBScriptの実行を検知することで、このマルウェアが実行チェーンを完了するのを防ぎます。
- Andromedia: Andromedaはモジュラー型トロイの木馬で、バンキング型トロイの木馬など追加のマルウェアペイロードを配信するためのダウンローダーとして主に使用されます。多くの場合、ルートキット、HTMLフォームグラバー、キーロガー、SOCKSプロキシなど、機能を拡張するプラグインとのバンドルで販売されています。クラウドストライクは、リアルタイムレスポンスプラットフォームを介し、PowerShellを使用してエスカレーションやドライブのフォーマットの必要なくマルウェアを削除しますが、全プロセスを通じてユーザーの操作には影響を与えませんでした。
専門家のヒント
豆知識: トロイの木馬の名前は、ギリシャ神話の物語であるユリシーズに由来しており、そこではギリシャの戦士が中空の木製の馬の中に隠れたと言われています。その対戦相手であるトロイア王国は、馬が神々からの祝福であると考えてその馬を城壁の中に引き入れ、意識せずに攻撃を解き放ちました。この叙事詩におけるトロイの木馬と同じく、トロイの木馬を展開するデジタル攻撃者は、多くの場合、ソーシャルエンジニアリングや偽情報によってユーザーをだまし、悪意のあるプログラムをダウンロードして実行させます。
トロイの木馬はどのようにデバイスに感染するか
トロイの木馬はインターネット上で最も一般的な脅威の1つであり、企業にも個人にも同様に被害を及ぼします。過去にはWindowsやPCユーザーを対象とした攻撃が多かったのですが、Macユーザーの急増によりmacOSへの攻撃が増加し、アップル信者がこのセキュリティリスクの影響を受けやすくなってきています。さらに、携帯電話やタブレットなどのモバイルデバイスもトロイの木馬に対して脆弱です。
デバイスがトロイの木馬に感染する方法として一般的なものは、次のようなユーザーの行動に関連している場合があります。
- 音楽、ビデオゲーム、映画、書籍、ソフトウェア、有料コンテンツなどの海賊版メディアのダウンロード
- 添付ファイル、写真、ドキュメントなど送りつけられたファイルのダウンロード(よく知った発信者からであっても)
- メッセージを読んだり内容を理解したりせずにポップアップ通知を承認または許可する。
- 正規のアプリケーションまたはソフトウェアをダウンロードするときにユーザー契約を読まない。
- ブラウザ、OS、アプリケーション、ソフトウェアのアップデートとパッチを最新の状態に保っていない。
モバイル版トロイの木馬
トロイの木馬攻撃と言えばほとんどの人はデスクトップPCやラップトップコンピューターを思い浮かべるでしょうが、スマートフォンやタブレットなどのモバイルデバイス、またインターネットに接続するあらゆるデバイスも、トロイの木馬による攻撃の標的になります。
従来のマルウェア攻撃と同様に、モバイル版トロイの木馬攻撃は、通常はアプリなど一般的なダウンロードの対象など、正当なプログラムを装っています。これらのファイルの多くは、非公式の海賊版アプリマーケットプレイスから発信され、デバイスからデータやファイルを盗むように設計されています。
トロイの木馬攻撃を防ぐ方法
一般的なユーザーにとって、トロイの木馬攻撃から保護する最善の方法は、責任あるオンラインでの振る舞いを実践し、いくつかの基本的な予防策を実装することです。
責任あるオンラインでの振る舞いのベストプラクティスは次のとおりです。
- 一方的に送りつけられたリンクをクリックしたり、心当たりのない添付ファイルをダウンロードしたりしない。
- すべてのオンラインアカウントとデバイスに、強力な一意のパスワードを使用する。
- HTTPSで始まるURLのみにアクセスする。
- Eメールやテキストメッセージのリンクからではなく、新しいブラウザタブもしくは公式アプリからアカウントにログインする。
- 保存されたパスワードが(なりすましサイトには入力されず)認識されたサイトだけに自動的に入力されるパスワードマネージャーを使用する。
- 迷惑メールフィルターを使用して、なりすましEメールのほとんどが受信トレイに入らないようにする。
- 可能な限り相互認証を有効にして、攻撃者によるエクスプロイトをさらに困難にする。
- ソフトウェアプログラムとOSの更新が直ちに完了するようにする。
- ファイルを定期的にバックアップして、攻撃を受けた場合にコンピューターを復元できるようにする。
さらに、利用者はデバイスを保護し、あらゆる種類のマルウェア攻撃から保護するための措置を講じる必要があります。脅威の多くを検知し、デバイスへの感染を阻止できるサイバーセキュリティソフトウェアに投資するということです。
トロイの木馬マルウェア攻撃への対処方法
デジタル攻撃者が巧妙さを増しているため、ユーザーが自力でトロイの木馬攻撃を適切に解決することは、ますます困難になっています。理想的には、システムがトロイの木馬やその他の種類のマルウェア攻撃に感染していると疑われる場合は、定評のあるサイバーセキュリティの専門家にすぐに連絡し、状況を修復した上で、同様の攻撃が将来発生しないように適切な対策を講じることが必要です。最低限でも、ウイルス対策プログラムとマルウェア除去サービスを信頼できるプロバイダーからダウンロードする必要があります。
エンタープライズクライアントの場合は、信頼できるサイバーセキュリティパートナーと協力して、攻撃の性質とその範囲を評価することが重要です。ここまでで説明したように、従来のウイルス対策プログラムやマルウェア除去プログラムの多くは、既存の脅威を適切に修復したり、将来のイベントを防止したりしません。
トロイの木馬マルウェアに対するクラウドストライクのソリューション
企業体にとって、トロイの木馬に対する保護は、1台のコンピューターへの侵害がネットワーク全体の侵害につながる可能性があるため、特に重要です。組織では、スパイウェアを含むあらゆる種類のマルウェアを防止および検知できる方法を統合的に組み合わせて採用する必要があります。その方法の中には、機械学習とエクスプロイトブロックが含まれます。ここでは、市場をリードするクラウドネイティブのセキュリティプラットフォームであるCrowdStrike Falcon®のコンテキストでこれらの機能を確認します。
- 機械学習: Falconは機械学習を使用してマルウェアをブロックします。シグネチャは使用しません。代わりに、数学的アルゴリズムを使用してファイルを分析し、インターネットに接続されていない場合でもホストを保護できます。
- エクスプロイトブロック: マルウェアは、機械学習で分析できるファイルの形式で提供されるとは限りません。マルウェアには、エクスプロイトキットを使用してメモリに直接展開される種類のものもあります。こうしたものからの保護のために、Falconはもう1層上の保護を加えるエクスプロイトブロック機能を提供しています。
CrowdStrike Falcon®は、これらの手法とクラウドで実行される革新的なテクノロジーを組み合わせて、より高速で最新の防御を実現しています。詳細については、当社にお問い合わせいただき、デモをスケジュールするか、試用の登録をしてください。
