トロイの木馬 (ソフトウェア)





情報セキュリティ > マルウェア > トロイの木馬 (ソフトウェア)





トロイの木馬(トロイのもくば、Trojan horse)は、マルウェア(コンピュータの安全上の脅威となるソフトウェア)の一分類である。ギリシア神話におけるトロイア戦争のストーリーにあるトロイの木馬になぞらえて名前がつけられたもので、名前の由来の通り、有用な(少なくとも無害な)プログラムあるいはデータファイルのように偽装されていながら、その内にマルウェアとして機能する部分を隠し持っていて、何らかのトリガによりそれが活動するように仕組まれているファイル等を指す。感染したりしないものは分類上はコンピュータウイルスではない。毎年いくつかの新種と、膨大な数の亜種が作り出されている。




目次






  • 1 概要


  • 2 トロイの種類


    • 2.1 バックドア型


    • 2.2 パスワード窃盗型


    • 2.3 クリッカー型


    • 2.4 ダウンローダ型


    • 2.5 ドロッパー型


    • 2.6 プロキシ型




  • 3 感染経路


  • 4 対策


    • 4.1 既知のトロイの場合


    • 4.2 未知のトロイの場合


    • 4.3 トロイの誤検出事例




  • 5 関連項目





概要


トロイの木馬は、様々な経路を通じて被害者の手元に届いたプログラム、実行形式のファイル(Windowsであれば .EXE ないし .COM という拡張子のファイル)を実行することから悪意ある動作を開始する場合がほとんどである(トロイの木馬プログラムに限らず、この世に存在する、およそあらゆるプログラムは、実行されなければ存在しているだけであるが)。さらに、実行形式以外のファイルであるかのように偽装したり、偽装ではなく本当にオフィススイート等のファイルであるが、その中にスクリプト等として悪意あるコードが含まれることもある。


特に、一部のOSメーカーが過去に用意していた、メディアのマウントと同時に、それの中にある何らかのプログラムを実行するなどというようなたぐいの、わざわざクラッカーのために用意したかのような機能が悪用されることが多かった。


悪意ある動作として「ひとたび実行されると、被害者の同意を一切得ずに、秘密裏にハードディスク内、もしくはメモリ内に自身を複製、インストールする。また、Windowsに感染するほとんどのトロイはレジストリを被害者の同意を得ずに、秘密裏に改変、削除、追加する。トロイは、被害者のネット接続設定やファイアウォールの設定を変更し、攻撃者が指定する任意のポートを開放し、外部からの接続を許可する。これにより攻撃者は被害者のパソコンを乗っ取って様々な被害をもたらす。例としてはキーロギング、プログラムの追加/削除、ファイルの追加/削除、アンチウイルスソフトの無効化、被害者のデスクトップ画面の撮影、パスワードの奪取、ウェブからの悪意あるプログラムのダウンロードなどがある。」などと言われているが、そういった被害者がわかりやすい動作をすればするほど発覚して削除され、場合によってはネットで話題となり、それ以上の拡大を阻止されるわけであるから「トロイの木馬とは、このような動作をするもの」という理解は危険であり、むしろ、目立たずにこっそりと悪意あるコードを忍ばせているクラッカーの思う壺である。


2005年、日本国内でも、不正ソフトウェアを仕込んだCD-ROMを、送り主を銀行と偽りインターネットバンキングサービスのユーザに送りつけ、不正送金を実行させた事件が発生した。なお、一部マスメディアではスパイウェアだとして報道されているが、不正ソフトウェアの分類的にはトロイの木馬が正しい。また2005年11月、ソニー・アメリカの関連会社Sony BMGが、コピーコントロールCDに悪質なマルウェア(rootkit型)を仕込んだとして問題になった。



トロイの種類


よく見られる類型を示す。



バックドア型


バックドアは被害者の認識を経ずにインストールされ、実行される遠隔操作のためのプログラムである。バックドアは最も危険なトロイの一種とされている。クラッカーやハッカーの間ではしばしば"RAT"(Remote Administration Toolの略)と呼ばれている。OSの管理者権限を持っているかのように振る舞うため、他のトロイに比べ、比較的検知率が低い。公正な遠隔操作プログラムと異なるのは、被害者に無断かつ秘密裏にインストール、実行されるという点がほとんどであり、プログラムの機能自体は、公正なそれと大した差はない。代表的なバックドアは以下のような機能を持つ。



  • 外部からのあらゆるシェルコマンドの実行

  • 被害者のスクリーンの撮影

  • プログラム、データファイルの実行、停止、削除

  • 被害者のハードディスクへのファイル、プログラムのアップロード/ダウンロード


こういった機能のほかにも、ディスクドライブトレーの開閉、ニセのエラーメッセージやダイアログの表示、デスクトップスクリーンへの落書き、壁紙の変更、ウェブカメラの乗っ取りによる盗撮、被害者とのICQを利用したチャットなどの、直接攻撃者に利益をもたらさない、悪戯用の機能を搭載したバックドアーも存在する。また、バックドアはトロイの中ではかなり多機能の部類に数えられている。そのため、他のトロイに比べ、比較的ファイルサイズは大きい場合が多い。



パスワード窃盗型


パスワード窃盗型トロイ、(以下PSW)は、被害者のマシン上のあらゆる種類のパスワード、IPアドレス、被害者のマシンの詳細な情報などを収集し、電子メール、ICQ、IRCを用い、攻撃者へ送信するトロイである。PSWは、主に以下のような情報を盗むことが多い。



  • オンラインショッピング、オークション、オンライン電子メールのアカウント情報、


  • OSのBIOSパスワード、OSの管理者権限のパスワード(LinuxOSを搭載しているマシンであればルート権限)、被害者のMACアドレス、 ローカルIPアドレス、 グローバルIPアドレス


上記のような極めて重大な情報を盗むため、被害に遭うと、中にはマシン全体の支配権を完全に奪取されてしまう場合もある。この種類のトロイは比較的ファイルサイズが小さいものが多い。



クリッカー型


トロイのクリッカー(以下クリッカー)は、起動すると、レジストリを改変、追加もしくは、ウェブブラウザのセキュリティーホールを悪用するエクスプロイトを使用し、ブラウザの、本来管理者権限でしか変えることのできない設定を改変する。そして、被害者のマシンが起動、もしくは、インターネットに接続した瞬間に、常時攻撃者が指定した特定のウェブサイトへ接続させるトロイである。
目的としては、



  • 特定のウェブサイトのアクセス数を上昇させ、広告収入を上げる。

  • 特定のサイトに接続要求を集中させることにより、DoS、DDoS攻撃を実行させる。

  • 悪意あるソフトウェアをダウンロードさせるために接続させる。


のようなものが挙げられる。この種類のトロイのファイルサイズは、概してかなり小さい(2-10KB)場合がほとんどである。



ダウンローダ型


ダウンローダ型のトロイは、起動する攻撃者が意図した特定のウェブサイトへ接続し、悪意あるプログラムをダウンロードしようと試みる。ダウンロードに成功すると、次にそれらの悪意あるプログラムを被害者の同意を得ずに順次実行する。実行の手続きと同時に、悪意あるプログラムがOSの起動時に自動的に起動するよう、レジストリ情報の改竄、ミューテックスオブジェクトの作成などを行う。この種のトロイも、概してそのファイルサイズは小さい場合が多い。



ドロッパー型


ドロッパー型トロイは、元から内包された悪意あるプログラムを秘密裏にインストール、実行するために使用される。
従って、ダウンローダのように、ネット上から実行させるプログラムをダウンロードしない。そのため、ほとんどのドロッパー型トロイは、実行役のプログラム、そしていくつかの実行させるための悪意あるプログラムという複数のファイルで構成されている。



プロキシ型


トロイのプロキシは、実行されると被害者のルータやDNSの設定を無許可で改変し、被害者のマシン上にプロキシサーバを構築する。攻撃者のインターネットへのアクセスは全て、このトロイを実行したマシンを経由して行われるようになるため、攻撃者は、匿名性を上げることが可能となる。一方で、被害者は、自分のIPアドレスをハイテク犯罪に乱用されるため、知らず知らずのうちにハイテク犯罪の加害者となってしまう場合も少なくない。このように、攻撃者がプロキシサーバとして悪用するマシンのことを、ボットネットとも言う。



感染経路


トロイは、その性質上、まずは被害者にプログラムを実行してもらう必要がある。当然、一見して危険を察知されるような怪しげなファイル名や、アイコンは(当然)回避される。そして例えば、動画の再生コーデックのインストーラ、アンチウイルスソフトウェア、メディアプレーヤーなどの名に偽装し、被害者にダウンロード及びインストールを促す。


いくつかのWindows向けのトロイは、Windowsの不用意な(みかけのユーザフレンドリィを目的とした)デフォルトである、拡張子が表示されない設定を悪用し、意図的にファイル名の末尾に.jpg、.mp3、.avi、.zip等の画像や、音声、動画、アーカイヴ形式の拡張子名を付加し、最後に.exeとしているものもある。また、通常はスクリーンセーバー用にしか用いられない拡張子.scrや、バッチ処理ファイルの拡張子.bat、さらにVBScriptの拡張子.vbsなどになっている場合もある。



対策


既知のものについてはダイジェスト等のデータベースにもとづいて発見する、未知のものについては危険なパターンの静的な発見や動的な検出による、という、他のマルウェアと一般に同様の手法で対策される。偽陰性による見逃がし、偽陽性による誤検出、などの可能性についても同様である。



既知のトロイの場合


既知という意味は、アンチウイルス会社やセキュリティーの専門家により既にそのトロイに関する詳細な情報、例えばその行動、ファイルサイズ、書かれた言語等が判明している場合である。このような場合、主要な最新状態に更新されたアンチウイルスソフトウェアによって容易に検出、削除可能な場合が多い。ただし、完全には削除出来ない場合がある。



未知のトロイの場合


トロイに限ったことではないが、悪意あるプログラムは毎日、莫大な数の新種(その大半は既知で有名なトロイの一部分をわずかに改変した亜種)が生み出されている。そのため専門家などに発見されるまでにはどうしても一定の分析時間が掛かる。その期間中の、未知のトロイに被害者が感染してしまった場合、その検出には詳細なコンピュータやネットワーク、使用しているOSの特徴、及びその脆弱性等に関する知識が必要とされる。また、仮に検出できたとしても、その削除には更に深い知識が要求される。そのため、一般的ユーザは、ほとんどの場合、アンチウイルスソフトの更新によってその存在を知ることになる。


ただし、一部ではあるが、未知のものであってもアンチウイルスソフトがヒューリスティックスキャン機能を持っていると、これによって「未知のトロイ」などという形で検出する場合がある。



トロイの誤検出事例



Generic.dx

コピープロテクト関連の認証ファイルを検知するためのエンジンプログラム。Picasa 2などに同梱。

マカフィーの「Active Protection」によってスキャンされる際、時々、「トロイの木馬」として、誤検出される。通常、ウイルスとして検知しない。同名のウイルスがあり。削除してもソフトの起動には問題ない。



関連項目



  • コンピュータウイルス

  • ワーム

  • アンチウイルスソフトウェア

  • スパイウェア

  • ルートキット

  • アドウェア

  • エクスプロイト

  • ボットネット

  • キーロガー

  • トロイアの木馬

  • Windowsのパスワード回復ソフトウェア

  • 最小権限の原則



































マルウェア
伝染性マルウェア


  • コンピュータウイルス

  • コンピューターウイルスの一覧

  • ワーム

  • ワームの一覧(英語版)

  • コンピュータウイルスとワームの年表
潜伏手法

  • トロイの木馬

  • ルートキット

  • バックドア

  • ゾンビコンピュータ

  • 中間者攻撃

  • マン・イン・ザ・ブラウザ

    		•
    収益型マルウェア

  • プライバシー侵害ソフトウェア(英語版)

  • アドウェア

  • スパイウェア

  • ボットネット

  • キーロガー

  • Web threat(英語版)

  • 詐欺ダイヤラー

  • マルボット

  • スケアウェア

  • 偽装セキュリティツール

  • ランサムウェア

    		•
    OS別マルウェア

  • Linuxにおけるマルウェア

  • 携帯電話ウイルス

  • マクロウイルス

    		•
    マルウェアからの保護

  • アンチキーロガー(英語版)

  • アンチウイルスソフトウェア

  • ブラウザ・セキュリティ(英語版)

  • モバイル・セキュリティ(英語版)

  • ネットワーク・セキュリティ

  • 防御コンピューティング(英語版)

  • ファイアウォール

  • 侵入検知システム

  • データ損失防止ソフトウェア(英語版)

    		•
    マルウェアへの対策

  • コンピュータサーベイランス(英語版)

  • ボットロースト作戦(英語版)

  • ハニーポット

  • スパイウェア対策連合(英語版)

    		•



    -

    Popular posts from this blog

    Magento 2 - Add success message with knockout Planned maintenance scheduled April 23, 2019 at 23:30 UTC (7:30pm US/Eastern) Announcing the arrival of Valued Associate #679: Cesar Manara Unicorn Meta Zoo #1: Why another podcast?Success / Error message on ajax request$.widget is not a function when loading a homepage after add custom jQuery on custom themeHow can bind jQuery to current document in Magento 2 When template load by ajaxRedirect page using plugin in Magento 2Magento 2 - Update quantity and totals of cart page without page reload?Magento 2: Quote data not loaded on knockout checkoutMagento 2 : I need to change add to cart success message after adding product into cart through pluginMagento 2.2.5 How to add additional products to cart from new checkout step?Magento 2 Add error/success message with knockoutCan't validate Post Code on checkout page

    Image
    What were wait-states, and why was it only an issue for PCs? “Since the train was delayed for more than an hour, passengers were given a full refund.” – Why is there no article before “passengers”? Will I be more secure with my own router behind my ISP's router? Short story about an alien named Ushtu(?) coming from a future Earth, when ours was destroyed by a nuclear explosion When does Bran Stark remember Jamie pushing him? How to charge percentage of transaction cost? Pointing to problems without suggesting solutions false 'Security alert' from Google - every login generates mails from 'no-reply@accounts.google.com' Why doesn't the university give past final exams' answers? Like totally amazing interchangeable sister outfit accessory swapping or whatever Does traveling In The United States require a passport or can I use my green card if not a US citizen? Who's this lady in the war room? Who can become a wight? "Destructi
    Read more

    Fil:Tokke komm.svg

    Image
    Skildring Skildring Tokke komm.svg Norsk nynorsk: Våpen for Tokke kommune i Telemark fylke, godkjent ved kongeleg resolusjon 6. februar 1987. Motiv: På gull grunn ein gåande svart bjørn. [1] Tokke ligg i eit gamalt bjørneområde og bjørnen er eit viktig innslag i fleire lokale historier. Bjørnen kan òg symbolisere naturen og dyrelivet i kommunen. English: Coat of arms of the Norwegian municipality of Tokke, Telemark. Dato 6. februar 1987 Kjelde Original by Stein Davidsen, based upon image from caplex.no. Opphavsperson Eige arbeid Vektorgrafikken vart laga med Inkscape. Løyve (Gjenbruk av denne fila) Public domain Public domain false false This official Norwegian coat of arms is ineligible for copyright, but its usage is restricted according to Norwegian penal law, independent of the copyright status of the depiction shown here. Dette biletet er sett saman av eit flagg, eit våpen, eit sigill eller eit anna offisielt insignium . Bruken av slike symbol er avgrensa i fleire land. Desse r
    Read more

    Where did Arya get these scars? Unicorn Meta Zoo #1: Why another podcast? Announcing the arrival of Valued Associate #679: Cesar Manara Favourite questions and answers from the 1st quarter of 2019Why did Arya refuse to end it?Has the pronunciation of Arya Stark's name changed?Has Arya forgiven people?Why did Arya Stark lose her vision?Why can Arya still use the faces?Has the Narrow Sea become narrower?Does Arya Stark know how to make poisons outside of the House of Black and White?Why did Nymeria leave Arya?Why did Arya not kill the Lannister soldiers she encountered in the Riverlands?What is the current canonical age of Sansa, Bran and Arya Stark?

    Image
    How to translate "red flag" into Spanish? France's Public Holidays' Puzzle How did Elite on the NES work? Where can I find how to tex symbols for different fonts? In search of the origins of term censor, I hit a dead end stuck with the greek term, to censor, λογοκρίνω How to check if string is entirely made of same substring? What's called a person who works as someone who puts products on shelves in stores? What helicopter has the most rotor blades? Did war bonds have better investment alternatives during WWII? Page Layouts : 1 column , 2 columns-left , 2 columns-right , 3 column Marquee sign letters Why did Israel vote against lifting the American embargo on Cuba? What *exactly* is electrical current, voltage, and resistance? Mechanism of the formation of peracetic acid Does Prince Arnaud cause someone holding the Princess to lose? Bright yellow or light yellow? What is /etc/mtab in Linux? What is the ongoing value of the Kanban
    Read more