トロイの木馬とは？実際の被害事例から考える対策とは？

「トロイの木馬」は、一般のソフトウェアに偽装してデバイスに侵入したのち、データの盗聴や改ざん、目的のウイルスのダウンロードなど、重大な問題を引き起こすマルウェアの一種です。 

一般的に「よく知られた」マルウェアであるため軽視されがちですが、トロイの木馬は常に進化しており、発見が遅れると多大な損失を生む非常に危険な存在といえるでしょう。本記事では、トロイの木馬の基礎知識だけでなく、過去の事件や対処方法まで詳しく解説していきます。

トロイの木馬とは

トロイの木馬は、一般的なファイルに偽装して秘密裏に悪事を働くマルウェアの一種です。感染したパソコンにバックドア（裏口）を仕込んで攻撃者が好きなときに侵入できる手助けをすることもあります。 

「トロイの木馬」はギリシャ神話のトロイア戦争に出てくる巨大な木馬のことです。木馬の中に兵士を潜ませて難攻不落といわれたトロイアの町の中に侵入させ、城門を開けさせた作戦に由来します。一般のファイルに紛れ込んで侵入し、バックドアを仕込んでパソコンに侵入する手口はまさに「トロイの木馬」という名にふさわしいといえるでしょう。 

トロイの木馬はマルウェアの一種

前述のとおり、トロイの木馬は、マルウェアの一種です。

マルウェアとは、「Malicious Software」の略で、ユーザーに被害をもたらすことを目的とした、悪意のあるソフトウェアを指します。

マルウェアに感染すると、悪意のある第三者にデバイスを乗っ取られて個人情報が盗まれたり、データを削除されたりする恐れがあるため、特に機密情報を扱う企業には、感染しないための対処が求められます。

また、マルウェアには、トロイの木馬だけではなく、主に以下のような種類があります。

トロイの木馬とウイルスの違いは？

トロイの木馬はウイルスと混同されやすい傾向にありますが、ウイルスもマルウェアの一種で、次のような違いがあります。

トロイの木馬は寄生先を必要とせず、ユーザーに気づかれることなく感染し、活動を続けます。

一方で、ウイルスは、寄生先が必要で偽装もしないため、感染後はユーザーに気づかれやすい特徴がありますが、短期間で大規模な被害を引き起こします。

このように、それぞれ異なる特徴を持っているため、効果的な対処法も異なります。

トロイの木馬に感染した場合の対処法や、感染しないための対策は後述するので、ぜひ最後までご覧ください。

トロイの木馬の種類

トロイの木馬は、攻撃の手法や内容によって複数の種類に分けられます。

以下で代表的なトロイの木馬の種類を解説するので、特徴を把握しておきましょう。

バックドア型

裏口を意味するバックドア型は、ユーザーが気づかないようにポートを開いてパソコンに潜入し、第三者が遠隔で攻撃を行います。

攻撃者が侵入して自由に行動できてしまうため、パソコンに保存されている情報を流出させたり、ウイルスを仕込んだりなど、さまざまなリスクがあります。

キーロガー型

キーロガー型は、パソコンのキーボード操作履歴を記録し、バックドア経由で攻撃者に送信するタイプのマルウェアです。

操作履歴からIDやパスワード、金融機関の口座情報などを把握され、悪用される危険性があります。

初期のトロイの木馬によくみられるタイプです。

パスワード窃盗型

パスワード窃盗型は、キーロガー型と同様に、パスワードを盗み出すタイプのマルウェアです。

パスワード窃盗型はキーロガー型とは異なり、自ら情報を収集する能力を持っているのが大きな特徴です。

PC内部に侵入すると、パスワードや設定情報を自ら検索し、サーバーやメール経由で攻撃者に送信します。

プロキシ型

プロキシ型は、感染したパソコンのネットワーク設定を変更して、内部にプロキシサーバーを構築し、サイバー攻撃の土台を作ります。

知らないうちにパソコンが感染し、詐欺や不正アクセスなどの犯罪に悪用される可能性があります。

ユーザーが犯罪の加害者になってしまう危険性の高いマルウェアです。

ダウンロード型

ダウンロード型は、パソコンに侵入すると、ほかのマルウェアをダウンロードするタイプのマルウェアです。

近年は、バックドア経由で実行されるタイプが増えており、ダウンロードされたマルウェアが活性化すると、第三者からの遠隔操作やパスワードをはじめとした個人情報の窃盗の被害に遭うリスクがあります。

クリッカー型

クリッカー型は、感染すると特定のサイトに勝手にアクセスさせるタイプです。

ブラウザの設定変更やブラウザの起動をユーザーが意図しないかたちで実行し、強制的に有害なサイトにアクセスさせ、購入ボタンや不正なソフトウェアのインストールボタンを押させる特徴があります。

ボット型

ボット型に感染すると、攻撃者がパソコンを遠隔操作できるようになり、マルウェアが仕組まれたスパムメールを大量に送信する「DDoS攻撃」などの規模の大きい攻撃が実行されてしまいます。

プロキシ型と同様に、知らないうちにユーザーが加害者になってしまうリスクのあるマルウェアです。

迷彩型ゼウス

迷彩型ゼウスは、JPEG画像に偽装したタイプです。

見た目では判別がつきにくく、侵入を発見するのが困難であるのが特徴です。

2014年ごろに発見された、比較的古いタイプのトロイの木馬にあたります。

トロイの木馬の感染経路

トロイの木馬の主な感染経路を解説します。

今後感染しないために、感染経路を具体的に把握し、感染リスクを抑えましょう。

メール・SMS

トロイの木馬は、メールやSMSに送られてくるURLから感染するケースがよくみられます。

具体的には、近年は宅配便や金融機関を装ったフィッシングメールに貼られているリンクを誤ってクリックし、トロイの木馬に感染する事例が増えています。

そのため、身に覚えのないメールやメッセージが届いたら、まずはURLやメールアドレスが正しいものかを確認し、不用意に開かないようにしてください。

Webサイト

Webサイトの閲覧中にもトロイの木馬に感染する可能性があります。

例えば、悪意のある第三者が脆弱性のあるWebサイトの一部を改ざんし、アクセスしたデバイスにトロイの木馬を侵入させるパターンがあります。

そのため、怪しいサイトにはアクセスしないことはもちろん、サイト内に身に覚えのない広告が表示されているなど、少しでも不審な箇所を発見したら、すぐにブラウザを閉じてください。

共有されたファイル

共有されたファイルからトロイの木馬に感染するケースもあります。

現在は、クラウドストレージを活用したファイル共有が主流ですが、共有フォルダに悪意のある第三者がトロイの木馬を仕掛け、気づかずに開封してパソコンが感染する場合もあります。

クラウドストレージを活用している方は、不正に外部からアクセスされないように、アクセス権限を必要最低限に適切な範囲で設定し、IDやパスワードも流出しないように管理してください。

SNS

トロイの木馬は、SNS経由で感染するリスクもあります。

メールやSMSと同様に、アカウントの本人になりすましてリンクを送信し、トロイの木馬に感染させる事例があります。

そのため、例えば自社でSNSのアカウントを運営している場合は、ユーザーからDMが届いたとしても、不用意にリンクをクリックしたり、添付されたファイルを開封したりしないように注意しましょう。

アプリケーション・ソフトウェア

正規のアプリケーションやソフトウェアを装った手口にも注意が必要です。

業務で使用するためのアプリケーションやソフトウェアを導入するシーンにおいて、名称・ロゴが巧妙に作られた偽物をインストールして、トロイの木馬に感染する場合があります。

そのため、アプリケーションやソフトウェアを導入する際は、必ず正規のストアや公式サイトからインストールしてください。

また、会社単位でインストールのルールや権限者を設けるのもひとつの対処法です。

トロイの木馬に感染するとどうなる？

トロイの木馬は歴史が長く、多くの亜種が生み出されているのも特徴です。そのため感染するとさまざまな問題が引き起こされます。代表的なものとしては 

• ほかのマルウェアをダウンロードする
• アドウェアをダウンロードする
• 勝手に悪質なWebサイトにアクセスする
• 遠隔操作ができるようにバックドアを仕込む
• ログイン情報を盗聴される 

などが挙げられます。トロイの木馬の感染に気づいたときには被害が大きくなっているケースも少なくありません。被害の事例には、インターネットバンキングの残高がゼロになっていた、誰かを攻撃するための踏み台にされて警察に誤認逮捕された、などがあります。 

感染して起きる症状

「パソコンの挙動がおかしくなる」のは、トロイの木馬に感染したときの代表的な症状です。 

例えば突然パソコンの電源が落ちたり、ブラウザが頻繁に再起動されたりなどの不審な挙動をするようになります。そのほかセキュリティソフトが強制修了してしまう、特に操作をしていないのにCPU使用率が上がるなど、パソコンの挙動が明らかにおかしくなるのが特徴です。 

トロイの木馬に感染した際の対処法

トロイの木馬に感染した際の対処法を解説します。

実施すべき順序に沿って駆除する方法を解説するので、ぜひ参考にしてください。

パソコンをネットワークから切断する

トロイの木馬の感染が確認されたら、駆除する前にまずは感染したパソコンをネットワークから切断してください。

トロイの木馬に感染したパソコンをそのままにしておくと、社内ネットワーク経由でほかのパソコンにも感染し、被害が拡大してしまう恐れがあります。

ネットワークを切断すれば感染を食い止められるので、まずは接続を切って隔離してください。

セキュリティソフトを使って駆除する

感染したパソコンのネットワークを切断したら、次はセキュリティソフトを活用してトロイの木馬を駆除しましょう。

一般的なマルウェアに対応したセキュリティソフトであれば、トロイの木馬の検知から駆除まで対処できます。

感染が確認された場合は、セキュリティソフトでパソコンをスキャンして、トロイの木馬を駆除しましょう。

まだセキュリティソフトがパソコンにインストールされていない方は、導入を検討してください。

パソコンの初期化を検討する

万が一、セキュリティソフトを使ってトロイの木馬を駆除できなかった場合は、パソコンの初期化を検討してください。

パソコンを初期化すれば、トロイの木馬に感染していても駆除できます。

ただし、パソコンを初期化すると、保存されているデータも削除されてしまうため、事前にバックアップを取ってから実施してください。

トロイの木馬の被害事例

「トロイの木馬」はマルウェアとしては有名ですので、脅威に感じる人は少ないかもしれません。しかしその危険性は年々増しています。ここではトロイの木馬における国内の被害事例を見ながらその進化を解説していきます。 

（2012年）パソコン遠隔操作事件

2012年、トロイの木馬に感染したパソコンを遠隔操作してインターネット掲示板に犯罪予告を複数回書き込むという事件が起きました。この事件ではトロイの木馬に感染したパソコンの所有者が誤認逮捕されています。バックドア機能で遠隔操作されたことがわかっています。 

（2013年）バンキングマルウェア大規模感染事件

2013年、トロイの木馬「Gameover ZeuS（ゲームオーバーゼウス）」が世界的に大流行しました。「Gameover ZeuS」はインターネットバンキングのIDやパスワード、クレジットカード情報を盗聴しました。感染経路は無作為に送信されたばらまき型メールに添付されたドキュメントファイルです。感染したのは世界で50万～100万台のパソコンといわれています。 

（2015年）政府機関の情報漏えい事件

2015年、政府機関のパソコンが「Emdivi（エムディビ）」と呼ばれるトロイの木馬に感染して100万件以上の個人情報が流出しました。このトロイの木馬はリモートアクセスタイプで、感染したパソコンから攻撃者に情報を送信していました。 

（2019年）大学職員による情報漏えい事件

2019年、大学職員のパソコンが「Emotet（エモテット）」と呼ばれるトロイの木馬に感染しました。この事件では18,000件以上のメール情報が流出。手口は標準型攻撃メールで、実在の企業の名前を使って巧妙に偽装されたメールが職員に送信されていました。職員は怪しむことなく開いてしまったのです。 

このEmotetは最凶のトロイの木馬と名高く、その被害総額は25億ドルに及ぶともいわれています。メールアカウントのIDとパスワードはもちろん、アドレス帳も抜き取られ、既存のメールに返信するかたちでウイルスメールをばらまくのです。返信メールでウイルスが仕込まれているとは考えにくいため、取引先企業にまで被害が拡大します。 

さらに自己増殖を繰り返し、ランサムウェアに感染させてデータの暗号化や破壊活動を繰り返します。このように、トロイの木馬は年々巧妙化しており、一度感染すると被害が大きくなりやすいのも特徴です。 

情報セキュリティについては、「情報セキュリティとは？押さえておきたい3つの基礎知識を紹介！」をご覧ください。 

（2023年）大学内におけるEmotetの配布

2023年には、大学内における「Emotet」の配布が複数件みられました。

前述のとおりEmotetは、主にメールに添付されたマクロ付きのファイルを介して感染し、個人情報の漏えいなどの被害をもたらします。

実際に中央大学や電気通信大学によると、メールに添付されているZIPアーカイブを展開すると、500MBを超えるdocファイルが展開される、新たな配布手法が確認されています。

「トロイの木馬」から身を守るために必要な対策

感染すると厄介なトロイの木馬ですが、防ぐことはそこまで難しくはありません。ここからはトロイの木馬から身を守るために必要な対策をご紹介していきます。セキュリティソフトを導入して不審なものは閲覧しない、クリックしないという対応が基本となります。 

• 不審なサイトは開かない 
• 不審なメールは閲覧しない 
• リンク先（ドメイン）を確認する 
• セキュリティソフトを導入する 
• OSやJavaを最新のバージョンにする
• バックアップを取る 

不自然な日本語や警告文が出るサイトはすぐに閉じる

Web上では見るからに怪しいサイトに出会うことがあります。これらのサイトにはマルウェアが仕込まれている可能性が高く、リンクをクリックするだけでも感染する恐れがあるため見つけたら素早く離脱するようにしましょう。 

また、掲示板などの不特定多数が匿名でやり取りしている場所では、有害なサイトに誘導するリンクが貼られていることが多いので近づかないほうが賢明です。 

不審なメールは閲覧しない

最近は標準型攻撃メールも巧妙化し、関係者を装っているため見分けるのが難しくなってきています。しかし、タイトルや本文が明らかにおかしいメールはもちろんのこと、少しでも違和感を覚えたらすぐにウイルスチェックにかけるといった対応を日頃から心がけましょう。特に不自然に長いURLや脈絡のない添付ファイルなどは必ず警戒するようにしてください。 

リンク先（ドメイン）を確認する

リンクをクリックするときにはURLのドメインを確認する習慣を身につけましょう。巧妙に有名ドメインに偽装したURLでトロイの木馬をダウンロードさせるような手口もあります。 

ドメイン偽装例：amazon.com → amason.com 

ほかには短縮URLを使ったリンク添付方法があります。短縮URLの場合は、ドメインが確認できません。もし業務連絡で短縮URLを使う必要性がないのであれば、怪しんだほうがよいでしょう。 

短縮URL例：https://akhsd.es/k 

セキュリティソフトを導入する

セキュリティソフトは最後のとりでです。必ず導入しましょう。どれだけ気をつけていても侵入を許してしまうことはあります。もしうっかりURLを開いてしまってトロイの木馬に感染してしまっても、セキュリティソフトが検知してくれる可能性があります。また、ウイルス定義を最新のものにしてパソコンの定期チェックは欠かさず実施するとより安全です。 

情報セキュリティ対策については、「重要度が高まる情報セキュリティ対策｜過去の事例や基本的な進め方を紹介！」をご覧ください。 

OSやJavaを最新のバージョンにする

OSやJavaを最新のバージョンにするメリットは、セキュリティアップデートが含まれている点です。OSやソフトウェアには脆弱性と呼ばれる弱点があります。脆弱性はアップデートによって修正されるため、常に最新に保つことが重要です。最新バージョンにアップデートしないということは、脆弱性を放置しているのと同じなので攻撃者に狙われやすくなります。 

脆弱性については、「脆弱性とは？今すぐ対策すべきことは？」をご覧ください。 

バックアップを取る

OSやデータをバックアップする習慣をつけておくと、何かあったときに復元できます。トロイの木馬に感染してデータを改ざんされた、パソコンが不調になったという場合はOSを感染前の状態に戻すことで解決可能です。

データファイルであればクラウドストレージを利用するのもおすすめです。有名なクラウドストレージはセキュリティレベルも高いので自社で管理するよりも安全性は高いでしょう。 

まとめ

トロイの木馬は画像ファイルやドキュメントファイルに偽装して侵入するタイプのマルウェアで、サイバー攻撃ではメジャーな手口といえます。一度侵入を許すとバックドアを仕込まれる、ほかのマルウェアをダウンロードされるなど、被害が大きくなるのが特徴です。普段から不審なサイトやメールは閲覧しない、怪しいURLリンクはクリックしないなど自衛の対策を身につけましょう。 

もし、企業内の情報セキュリティ対策を進めたいのであれば「ISM CloudOne」などに代表されるセキュリティパッケージサービスが導入しやすいでしょう。URLのフィルタリングや脆弱性対策、ふるまい検知で未知の脅威にも対応できるのが特徴です。