トロイの木馬 (ソフトウェア)





情報セキュリティ > マルウェア > トロイの木馬 (ソフトウェア)





トロイの木馬(トロイのもくば、Trojan horse)は、マルウェア(コンピュータの安全上の脅威となるソフトウェア)の一分類である。ギリシア神話におけるトロイア戦争のストーリーにあるトロイの木馬になぞらえて名前がつけられたもので、名前の由来の通り、有用な(少なくとも無害な)プログラムあるいはデータファイルのように偽装されていながら、その内にマルウェアとして機能する部分を隠し持っていて、何らかのトリガによりそれが活動するように仕組まれているファイル等を指す。感染したりしないものは分類上はコンピュータウイルスではない。毎年いくつかの新種と、膨大な数の亜種が作り出されている。




目次






  • 1 概要


  • 2 トロイの種類


    • 2.1 バックドア型


    • 2.2 パスワード窃盗型


    • 2.3 クリッカー型


    • 2.4 ダウンローダ型


    • 2.5 ドロッパー型


    • 2.6 プロキシ型




  • 3 感染経路


  • 4 対策


    • 4.1 既知のトロイの場合


    • 4.2 未知のトロイの場合


    • 4.3 トロイの誤検出事例




  • 5 関連項目





概要


トロイの木馬は、様々な経路を通じて被害者の手元に届いたプログラム、実行形式のファイル(Windowsであれば .EXE ないし .COM という拡張子のファイル)を実行することから悪意ある動作を開始する場合がほとんどである(トロイの木馬プログラムに限らず、この世に存在する、およそあらゆるプログラムは、実行されなければ存在しているだけであるが)。さらに、実行形式以外のファイルであるかのように偽装したり、偽装ではなく本当にオフィススイート等のファイルであるが、その中にスクリプト等として悪意あるコードが含まれることもある。


特に、一部のOSメーカーが過去に用意していた、メディアのマウントと同時に、それの中にある何らかのプログラムを実行するなどというようなたぐいの、わざわざクラッカーのために用意したかのような機能が悪用されることが多かった。


悪意ある動作として「ひとたび実行されると、被害者の同意を一切得ずに、秘密裏にハードディスク内、もしくはメモリ内に自身を複製、インストールする。また、Windowsに感染するほとんどのトロイはレジストリを被害者の同意を得ずに、秘密裏に改変、削除、追加する。トロイは、被害者のネット接続設定やファイアウォールの設定を変更し、攻撃者が指定する任意のポートを開放し、外部からの接続を許可する。これにより攻撃者は被害者のパソコンを乗っ取って様々な被害をもたらす。例としてはキーロギング、プログラムの追加/削除、ファイルの追加/削除、アンチウイルスソフトの無効化、被害者のデスクトップ画面の撮影、パスワードの奪取、ウェブからの悪意あるプログラムのダウンロードなどがある。」などと言われているが、そういった被害者がわかりやすい動作をすればするほど発覚して削除され、場合によってはネットで話題となり、それ以上の拡大を阻止されるわけであるから「トロイの木馬とは、このような動作をするもの」という理解は危険であり、むしろ、目立たずにこっそりと悪意あるコードを忍ばせているクラッカーの思う壺である。


2005年、日本国内でも、不正ソフトウェアを仕込んだCD-ROMを、送り主を銀行と偽りインターネットバンキングサービスのユーザに送りつけ、不正送金を実行させた事件が発生した。なお、一部マスメディアではスパイウェアだとして報道されているが、不正ソフトウェアの分類的にはトロイの木馬が正しい。また2005年11月、ソニー・アメリカの関連会社Sony BMGが、コピーコントロールCDに悪質なマルウェア(rootkit型)を仕込んだとして問題になった。



トロイの種類


よく見られる類型を示す。



バックドア型


バックドアは被害者の認識を経ずにインストールされ、実行される遠隔操作のためのプログラムである。バックドアは最も危険なトロイの一種とされている。クラッカーやハッカーの間ではしばしば"RAT"(Remote Administration Toolの略)と呼ばれている。OSの管理者権限を持っているかのように振る舞うため、他のトロイに比べ、比較的検知率が低い。公正な遠隔操作プログラムと異なるのは、被害者に無断かつ秘密裏にインストール、実行されるという点がほとんどであり、プログラムの機能自体は、公正なそれと大した差はない。代表的なバックドアは以下のような機能を持つ。



  • 外部からのあらゆるシェルコマンドの実行

  • 被害者のスクリーンの撮影

  • プログラム、データファイルの実行、停止、削除

  • 被害者のハードディスクへのファイル、プログラムのアップロード/ダウンロード


こういった機能のほかにも、ディスクドライブトレーの開閉、ニセのエラーメッセージやダイアログの表示、デスクトップスクリーンへの落書き、壁紙の変更、ウェブカメラの乗っ取りによる盗撮、被害者とのICQを利用したチャットなどの、直接攻撃者に利益をもたらさない、悪戯用の機能を搭載したバックドアーも存在する。また、バックドアはトロイの中ではかなり多機能の部類に数えられている。そのため、他のトロイに比べ、比較的ファイルサイズは大きい場合が多い。



パスワード窃盗型


パスワード窃盗型トロイ、(以下PSW)は、被害者のマシン上のあらゆる種類のパスワード、IPアドレス、被害者のマシンの詳細な情報などを収集し、電子メール、ICQ、IRCを用い、攻撃者へ送信するトロイである。PSWは、主に以下のような情報を盗むことが多い。



  • オンラインショッピング、オークション、オンライン電子メールのアカウント情報、


  • OSのBIOSパスワード、OSの管理者権限のパスワード(LinuxOSを搭載しているマシンであればルート権限)、被害者のMACアドレス、 ローカルIPアドレス、 グローバルIPアドレス


上記のような極めて重大な情報を盗むため、被害に遭うと、中にはマシン全体の支配権を完全に奪取されてしまう場合もある。この種類のトロイは比較的ファイルサイズが小さいものが多い。



クリッカー型


トロイのクリッカー(以下クリッカー)は、起動すると、レジストリを改変、追加もしくは、ウェブブラウザのセキュリティーホールを悪用するエクスプロイトを使用し、ブラウザの、本来管理者権限でしか変えることのできない設定を改変する。そして、被害者のマシンが起動、もしくは、インターネットに接続した瞬間に、常時攻撃者が指定した特定のウェブサイトへ接続させるトロイである。
目的としては、



  • 特定のウェブサイトのアクセス数を上昇させ、広告収入を上げる。

  • 特定のサイトに接続要求を集中させることにより、DoS、DDoS攻撃を実行させる。

  • 悪意あるソフトウェアをダウンロードさせるために接続させる。


のようなものが挙げられる。この種類のトロイのファイルサイズは、概してかなり小さい(2-10KB)場合がほとんどである。



ダウンローダ型


ダウンローダ型のトロイは、起動する攻撃者が意図した特定のウェブサイトへ接続し、悪意あるプログラムをダウンロードしようと試みる。ダウンロードに成功すると、次にそれらの悪意あるプログラムを被害者の同意を得ずに順次実行する。実行の手続きと同時に、悪意あるプログラムがOSの起動時に自動的に起動するよう、レジストリ情報の改竄、ミューテックスオブジェクトの作成などを行う。この種のトロイも、概してそのファイルサイズは小さい場合が多い。



ドロッパー型


ドロッパー型トロイは、元から内包された悪意あるプログラムを秘密裏にインストール、実行するために使用される。
従って、ダウンローダのように、ネット上から実行させるプログラムをダウンロードしない。そのため、ほとんどのドロッパー型トロイは、実行役のプログラム、そしていくつかの実行させるための悪意あるプログラムという複数のファイルで構成されている。



プロキシ型


トロイのプロキシは、実行されると被害者のルータやDNSの設定を無許可で改変し、被害者のマシン上にプロキシサーバを構築する。攻撃者のインターネットへのアクセスは全て、このトロイを実行したマシンを経由して行われるようになるため、攻撃者は、匿名性を上げることが可能となる。一方で、被害者は、自分のIPアドレスをハイテク犯罪に乱用されるため、知らず知らずのうちにハイテク犯罪の加害者となってしまう場合も少なくない。このように、攻撃者がプロキシサーバとして悪用するマシンのことを、ボットネットとも言う。



感染経路


トロイは、その性質上、まずは被害者にプログラムを実行してもらう必要がある。当然、一見して危険を察知されるような怪しげなファイル名や、アイコンは(当然)回避される。そして例えば、動画の再生コーデックのインストーラ、アンチウイルスソフトウェア、メディアプレーヤーなどの名に偽装し、被害者にダウンロード及びインストールを促す。


いくつかのWindows向けのトロイは、Windowsの不用意な(みかけのユーザフレンドリィを目的とした)デフォルトである、拡張子が表示されない設定を悪用し、意図的にファイル名の末尾に.jpg、.mp3、.avi、.zip等の画像や、音声、動画、アーカイヴ形式の拡張子名を付加し、最後に.exeとしているものもある。また、通常はスクリーンセーバー用にしか用いられない拡張子.scrや、バッチ処理ファイルの拡張子.bat、さらにVBScriptの拡張子.vbsなどになっている場合もある。



対策


既知のものについてはダイジェスト等のデータベースにもとづいて発見する、未知のものについては危険なパターンの静的な発見や動的な検出による、という、他のマルウェアと一般に同様の手法で対策される。偽陰性による見逃がし、偽陽性による誤検出、などの可能性についても同様である。



既知のトロイの場合


既知という意味は、アンチウイルス会社やセキュリティーの専門家により既にそのトロイに関する詳細な情報、例えばその行動、ファイルサイズ、書かれた言語等が判明している場合である。このような場合、主要な最新状態に更新されたアンチウイルスソフトウェアによって容易に検出、削除可能な場合が多い。ただし、完全には削除出来ない場合がある。



未知のトロイの場合


トロイに限ったことではないが、悪意あるプログラムは毎日、莫大な数の新種(その大半は既知で有名なトロイの一部分をわずかに改変した亜種)が生み出されている。そのため専門家などに発見されるまでにはどうしても一定の分析時間が掛かる。その期間中の、未知のトロイに被害者が感染してしまった場合、その検出には詳細なコンピュータやネットワーク、使用しているOSの特徴、及びその脆弱性等に関する知識が必要とされる。また、仮に検出できたとしても、その削除には更に深い知識が要求される。そのため、一般的ユーザは、ほとんどの場合、アンチウイルスソフトの更新によってその存在を知ることになる。


ただし、一部ではあるが、未知のものであってもアンチウイルスソフトがヒューリスティックスキャン機能を持っていると、これによって「未知のトロイ」などという形で検出する場合がある。



トロイの誤検出事例



Generic.dx

コピープロテクト関連の認証ファイルを検知するためのエンジンプログラム。Picasa 2などに同梱。

マカフィーの「Active Protection」によってスキャンされる際、時々、「トロイの木馬」として、誤検出される。通常、ウイルスとして検知しない。同名のウイルスがあり。削除してもソフトの起動には問題ない。



関連項目



  • コンピュータウイルス

  • ワーム

  • アンチウイルスソフトウェア

  • スパイウェア

  • ルートキット

  • アドウェア

  • エクスプロイト

  • ボットネット

  • キーロガー

  • トロイアの木馬

  • Windowsのパスワード回復ソフトウェア

  • 最小権限の原則



































マルウェア
伝染性マルウェア


  • コンピュータウイルス

  • コンピューターウイルスの一覧

  • ワーム

  • ワームの一覧(英語版)

  • コンピュータウイルスとワームの年表
潜伏手法

  • トロイの木馬

  • ルートキット

  • バックドア

  • ゾンビコンピュータ

  • 中間者攻撃

  • マン・イン・ザ・ブラウザ

    		•
    収益型マルウェア

  • プライバシー侵害ソフトウェア(英語版)

  • アドウェア

  • スパイウェア

  • ボットネット

  • キーロガー

  • Web threat(英語版)

  • 詐欺ダイヤラー

  • マルボット

  • スケアウェア

  • 偽装セキュリティツール

  • ランサムウェア

    		•
    OS別マルウェア

  • Linuxにおけるマルウェア

  • 携帯電話ウイルス

  • マクロウイルス

    		•
    マルウェアからの保護

  • アンチキーロガー(英語版)

  • アンチウイルスソフトウェア

  • ブラウザ・セキュリティ(英語版)

  • モバイル・セキュリティ(英語版)

  • ネットワーク・セキュリティ

  • 防御コンピューティング(英語版)

  • ファイアウォール

  • 侵入検知システム

  • データ損失防止ソフトウェア(英語版)

    		•
    マルウェアへの対策

  • コンピュータサーベイランス(英語版)

  • ボットロースト作戦(英語版)

  • ハニーポット

  • スパイウェア対策連合(英語版)

    		•



    -

    Popular posts from this blog

    Nidaros erkebispedøme

    Image
    For det lutherske bispedømet, sjå Nidaros bispedøme. Nidaros erkebispedøme var eit katolsk erkebispedøme med sete i Nidaros. Det vart oppretta av kong Olav Kyrre mellom 1070 og 1080 som bispedøme. Bispedømet vart opphøgd til erkebispedøme i 1153. Erkebispedømet vart innstifta av pave Anastasius IV i 1154, og var i funksjon fram til reformasjonen i 1537. Erkebiskopen sitt hovudsete var Erkebispegarden, rett ved domkyrkja Nidarosdomen. Frå 1152 til 1154 var Nicholas Breakspear i Skandinavia som paveleg utsending, og organiserte opprettinga av erkesetet. Innhaldsliste 1 Utbreiing og jurisdiksjon 2 Overhyrdar 2.1 Lydbiskopar 3 Biskopar 3.1 Biskopar 3.2 Erkebiskopar Utbreiing og jurisdiksjon | Kart over den nordiske kyrkjeprovinsen (1153-1387) Erkebispedømet omfatta i tillegg til Noreg øyane i vest i Noregsveldet. Nidaros var eit metropolitanerkebispedøme med fylgjande underliggjande bispedøme suffraganar: Bjørgvin bispedøme Oslo bispedøme Hamar bispedøme Stavanger bispedøme Kirkjub
    Read more

    Birsay

    Image
    Tettstaden Birsay på Orknøyane. Ruinane av jarleplasset om lag midt i biletet. (Fotografi frå 2012) Utsikt mot Birsay og Brough of Brisay (fotografi frå 2009) Birsay er ein tettstad i eit sokn (parish) med same namn, nordvest på øya Mainland [Note 1] på Orknøyane, om lag 31 km frå Kirkwall. Staden er omtala fleire stader i Orknøyingasoga [1] , der han er kalla «Byrgesherad» (norrønt: Birgisherað ). Namnet skriv seg truleg frå elvenamnet Birgisá [2] . Innhaldsliste 1 Den gamle hovudstaden 2 Bispesetet 3 Jarlepalasset 4 Kjelder og utfyllande opplysningar 4.1 Notar 4.2 Fotnotar 4.3 Bakgrunnsstoff Den gamle hovudstaden | Hovudartikkelen for dette emnet er Torfinn Sigurdsson . Soknet er i dag i hovudsak ei jordbrukskommune men er mest kjend for dei mange kulturminna i området. Tettstaden Birsay blir gjerne omtala som «den gamle hovudstaden på Orknøyane» [3] , og ein viser då gjerne til Orknøyingasoga (kap.31) som fortel at orknøyjarlen Torfinn Sigurdsson den mektige «hadde jamleg
    Read more

    Where did Arya get these scars? Unicorn Meta Zoo #1: Why another podcast? Announcing the arrival of Valued Associate #679: Cesar Manara Favourite questions and answers from the 1st quarter of 2019Why did Arya refuse to end it?Has the pronunciation of Arya Stark's name changed?Has Arya forgiven people?Why did Arya Stark lose her vision?Why can Arya still use the faces?Has the Narrow Sea become narrower?Does Arya Stark know how to make poisons outside of the House of Black and White?Why did Nymeria leave Arya?Why did Arya not kill the Lannister soldiers she encountered in the Riverlands?What is the current canonical age of Sansa, Bran and Arya Stark?

    Image
    How to translate "red flag" into Spanish? France's Public Holidays' Puzzle How did Elite on the NES work? Where can I find how to tex symbols for different fonts? In search of the origins of term censor, I hit a dead end stuck with the greek term, to censor, λογοκρίνω How to check if string is entirely made of same substring? What's called a person who works as someone who puts products on shelves in stores? What helicopter has the most rotor blades? Did war bonds have better investment alternatives during WWII? Page Layouts : 1 column , 2 columns-left , 2 columns-right , 3 column Marquee sign letters Why did Israel vote against lifting the American embargo on Cuba? What *exactly* is electrical current, voltage, and resistance? Mechanism of the formation of peracetic acid Does Prince Arnaud cause someone holding the Princess to lose? Bright yellow or light yellow? What is /etc/mtab in Linux? What is the ongoing value of the Kanban
    Read more