情報セキュリティマネジメント試験 用語辞典

トロイの木馬
【Trojan Horse】
見かけ上は正常動作をしているようになりすましておいて、秘密裏に悪意のある動作を行うように仕組まれたマルウェアのこと。外観上は正常なソフトウェアとして振舞うため、利用者がマルウェアだと気付かずに使い続けているケースもある。感染するとOSの設定変更、パスワードの不正取得、遠隔操作の踏み台にされるなどの様々な被害が発生する恐れがある。実行形式のプログラム(.exeや.com)を被害者が実行することで動作を開始することが多い。
↓ 用語データを見る
分野:
情報セキュリティ
脅威
重要度:
(Wikipedia トロイの木馬 (ソフトウェア)より)

トロイの木馬(トロイのもくば、Trojan horse)は、コンピュータの安全上の脅威となるソフトウェアの一つである。ギリシア神話におけるトロイア戦争の伝説に語られるトロイの木馬になぞらえて名前がつけられた。自己増殖機能がないことからコンピュータウイルスとは区別されるが、ほとんどが有害なため一般的にはウイルスとして認知されている。毎年いくつかの新種と、膨大な数の亜種が作り出されている。

概要

トロイの木馬は、様々な経路を通じて被害者がダウンロードしたプログラム実行形式のファイル(Windowsであれば.EXE .COMにあたる)を実行することから悪意ある動作を開始する場合がほとんどである。また種類にもよるが、大半のトロイの木馬は大きく分けて二つのファイルを必要とする。ひとつはサーバ、そしてもう一方は、クライアントと呼ばれている。被害者が実行するのはサーバのほうである。これを実行することにより、被害者のパソコンは、その名前が示すように、一種のサーバと化す。一度サーバ化に成功すると、クライアントを使えば、いつでも、どこからでも、攻撃者の好きな時に被害者のパソコンに秘密裏に接続することが可能となる。

トロイの木馬は、その果たす役割からいくつかの種類に分別されているものの、多くのトロイは意外なほどファイルサイズが小さい。ひとたび実行されると、被害者の同意を一切得ずに、秘密裏にハードディスク内、もしくはメモリ内に自身を複製、インストールする。また、Windowsに感染するほとんどのトロイはレジストリを被害者の同意を得ずに、秘密裏に改変、削除、追加する。トロイは、被害者のネット接続設定やファイアウォールの設定を変更し、攻撃者任意のポートを開放し、外部からの接続を許可する。これにより攻撃者は被害者のパソコンを乗っ取って様々な被害をもたらす。例としてはキーロギング、プログラムの追加/削除、ファイルの追加/削除、アンチウイルスソフトの無効化、被害者のデスクトップ画面の撮影、パスワードの奪取、ウェブからの悪意あるプログラムのダウンロードなどがある。

2005年、日本国内でも、不正ソフトウェアを仕込んだCD-ROMを、送り主を銀行と偽りインターネットバンキングサービスのユーザに送りつけ、不正送金を実行させた事件が発生した。なお、一部マスメディアではスパイウェアだとして報道されているが、不正ソフトウェアの分類的にはトロイの木馬が正しい。

また2005年11月、ソニー・アメリカの関連会社Sony BMGが、コピーコントロールCDに悪質なマルウェア(rootkit型)を仕込んだとして問題になった。

これらの対策については、OSの設定で、CD挿入時の自動再生を無効にする必要がある。

一見、普通のプログラムのように見えるため、無害だと思って実行するとデータを削除したり、最悪の場合はシステムが壊れたりする。

最近では、BADTRANSワームがトロイの木馬型ウイルスとして猛威をふるった。 なお厳密には、ウイルスが、ある特定のファイル(プログラム=実行ファイル)に埋め込まれたプログラムであるのに対して、トロイの木馬は独立のプログラムで、侵入者が直接起動したり、時間指定やほかのプログラムの実行などをトリガにして起動したりする点で、別ものとされているが、広義にはウイルスとして扱われることも多い。

トロイの種類

トロイの木馬は、以下のような種類に分類されている。

バックドア型

バックドアは被害者の認識を経ずにインストールされ、実行される遠隔操作のためのプログラムである。バックドアは最も危険なトロイの一種とされている。クラッカーやハッカーの間ではしばしば"RAT"(Remote Administration Toolの略)と呼ばれている。OSの管理者権限を持っているかのように振る舞うため、他のトロイに比べ、比較的検知率が低い。公正な遠隔操作プログラムと異なるのは、被害者に無断かつ秘密裏にインストール、実行されるという点がほとんどであり、プログラムの機能自体は、公正なそれと大した差はない。代表的なバックドアは以下のような機能を持つ。

  • 外部からのあらゆるシェルコマンドの実行
  • 被害者のスクリーンの撮影
  • プログラム、データファイルの実行、停止、削除
  • 被害者のハードディスクへのファイル、プログラムのアップロード/ダウンロード

こういった機能のほかにも、ディスクドライブトレーの開閉、ニセのエラーメッセージやダイアログの表示、デスクトップスクリーンへの落書き、壁紙の変更、ウェブカメラの乗っ取りによる盗撮、被害者とのICQを利用したチャットなどの、直接攻撃者に利益をもたらさない、悪戯用の機能を搭載したバックドアーも存在する。また、バックドアはトロイの中ではかなり多機能の部類に数えられている。そのため、他のトロイに比べ、比較的ファイルサイズは大きい場合が多い。

パスワード窃盗型

パスワード窃盗型トロイ、(以下PSW)は、被害者のマシン上のあらゆる種類のパスワード、IPアドレス、被害者のマシンの詳細な情報などを収集し、電子メール、ICQ、IRCを用い、攻撃者へ送信するトロイである。PSWは、主に以下のような情報を盗むことが多い。

  • オンラインショッピング、オークション、オンライン電子メールのアカウント情報、
  • OSのBIOSパスワード、OSの管理者権限のパスワード(LinuxOSを搭載しているマシンであればルート権限)、被害者のMACアドレス、 ローカルIPアドレス、 グローバルIPアドレス

上記のような極めて重大な情報を盗むため、被害に遭うと、中にはマシン全体の支配権を完全に奪取されてしまう場合もある。この種類のトロイは比較的ファイルサイズが少ないものが多い。

クリッカー型

トロイのクリッカー(以下クリッカー)は、起動すると、レジストリを改変、追加もしくは、ウェブブラウザのセキュリティーホールを悪用するエクスプロイトを使用し、ブラウザの、本来管理者権限でしか変えることのできない設定を改変する。そして、被害者のマシンが起動、もしくは、インターネットに接続した瞬間に、常時攻撃者が指定した特定のウェブサイトへ接続させるトロイである。
目的としては、

  • 特定のウェブサイトのアクセス数を上昇させ、広告収入を上げる。
  • 特定のサイトに接続要求を集中させることにより、DoS、DDoS攻撃を実行させる。
  • 悪意あるソフトウェアをダウンロードさせるために接続させる。

のようなものが挙げられる。この種類のトロイのファイルサイズは、概してかなり小さい(2-10KB)場合がほとんどである。

ダウンローダ型

ダウンローダ型のトロイは、起動する攻撃者が意図した特定のウェブサイトへ接続し、悪意あるプログラムをダウンロードしようと試みる。ダウンロードに成功すると、次にそれらの悪意あるプログラムを被害者の同意を得ずに順次実行する。実行の手続きと同時に、悪意あるプログラムがOSの起動時に自動的に起動するよう、レジストリ情報の改竄、ミューテックスオブジェクトの作成などを行う。この種のトロイも、概してそのファイルサイズは小さい場合が多い。

ドロッパー型

ドロッパー型トロイは、元から内包された悪意あるプログラムを秘密裏にインストール、実行するために使用される。
従って、ダウンローダのように、ネット上から実行させるプログラムをダウンロードしない。そのため、ほとんどのドロッパー型トロイは、実行役のプログラム、そしていくつかの実行させるための悪意あるプログラムという複数のファイルで構成されている。

プロキシ型

トロイのプロキシは、実行されると被害者のルータやDNSの設定を無許可で改変し、被害者のマシン上にプロキシサーバを構築する。攻撃者のインターネットへのアクセスは全て、このトロイを実行したマシンを経由して行われるようになるため、攻撃者は、匿名性を上げることが可能となる。一方で、被害者は、自分のIPアドレスをハイテク犯罪に乱用されるため、知らず知らずのうちにハイテク犯罪の加害者となってしまう場合も少なくない。このように、攻撃者がプロキシサーバとして悪用するマシンのことを、ボットネットとも言う。

感染経路

トロイは、その性質上、まずは被害者にサーバとなるファイルを実行してもらう必要が生じる。当然、一見して危険を察知されるような怪しげなファイル名や、アイコンは使用されない。ほとんどの場合、動画の再生コーデックのインストーラ、アンチウイルスソフトウェア、メディアプレーヤーなどの名に偽装し、被害者にダウンロード及びインストールを促す。

いくつかのWindows向けのトロイは、OSの初期設定では拡張子が表示されない設定を悪用し、意図的にファイル名の末尾に.jpg、.mp3、.avi、.zip等の画像や、音声、動画、アーカイヴ形式の拡張子名を付加し、最後に.exeとしているものもある。また、通常はスクリーンセーバー用にしか用いられない拡張子.scrや、バッチ処理ファイルの拡張子.bat、さらにVB Scriptの拡張子.vbsなどになっている場合もある。
特に、.scr形式の場合、無料スクリーンセーバーとして配布されている場合が多いので注意が必要である。そして上記のようなファイルを被害者がダウンロードし、実行した瞬間に活動が始まる。従って、ほとんどのトロイは、ダウンロードしただけでは活動することができない。

対策

トロイの脅威は大きく分けて二種類に分けられる。

既知のトロイの場合

既知という意味は、アンチウイルス会社やセキュリティーの専門家により既にそのトロイに関する詳細な情報、例えばその行動、ファイルサイズ、書かれた言語等が判明している場合である。このような場合、主要な最新状態に更新されたアンチウイルスソフトウェアによって容易に検出、削除可能な場合が多い。ただし、完全には削除出来ない場合がある。

未知のトロイの場合

トロイに限ったことではないが、悪意あるプログラムは毎日、莫大な数の新種(その大半は既知で有名なトロイの一部分をわずかに改変した亜種)が生み出されている。そのため専門家などに発見されるまでにはどうしても一定の分析時間が掛かる。その期間中の、未知のトロイに被害者が感染してしまった場合、その検出には詳細なコンピュータやネットワーク、使用しているOSの特徴、及びその脆弱性等に関する知識が必要とされる。また、仮に検出できたとしても、その削除には更に深い知識が要求される。そのため、一般的ユーザは、ほとんどの場合、アンチウイルスソフトの更新によってその存在を知ることになる。

ただし、一部ではあるが、未知のものであってもアンチウイルスソフトがヒューリスティックスキャン機能を持っていると、これによって「未知のトロイ」などという形で検出する場合がある。

トロイの誤検出事例

Generic.dx
コピープロテクト関連の認証ファイルを検知するためのエンジンプログラム。Picasa 2などに同梱。
マカフィーの「Active Protection」によってスキャンされる際、時々、「トロイの木馬」として、誤検出される。通常、ウイルスとして検知しない。同名のウイルスがあり。削除してもソフトの起動には問題ない。

出題例

データの破壊,改ざんなどの不正な機能をプログラムの一部に組み込んだものを送ってインストールさせ,実行させるものはどれか。

[出典]基本情報技術者 平成20年秋期 問64

  • DoS攻撃
  • 辞書攻撃
  • トロイの木馬
  • バッファオーバフロー攻撃
正解 

「脅威」の用語

「情報セキュリティ」の他の分野

「セキュリティ」の他のカテゴリ

このページのWikipediaよりの記事は、ウィキペディアの「トロイの木馬 (ソフトウェア)」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。


Pagetop