![DDF:DIGITAL DATA FORENSICS[デジタルデータ フォレンジック]](/assets/images/ddf_head_logo.png){kind=logo}
パソコンでインターネットを利用中、警告音(エラー音)とともに「トロイの木馬ウイルスが検出されました」などの警告メッセージが画面に表示される場合があります。
しかし、これだけではトロイの木馬に感染しているかどうか分かりません。
そこでこの記事では次の内容をを検討します。
- 警告メッセージを受け取った場合、信じていいのかどうか
- それが詐欺の手口である可能性があるかどうか
また、それにあわせてトロイの木馬の特徴や感染経路についても解説します。
トロイの木馬とは
「トロイの木馬」とは、正規のソフトウェアに見せかけ、実際には悪意のある動作を引き起こすことで知られるマルウェアです。その語源は古く、紀元前の神話にさかのぼります。
トロイの木馬の語源
伝説によると、「トロイの木馬」という言葉は、ギリシャ神話に登場する「トロイ戦争」の物語に由来します。この伝説によれば、ギリシア軍は「トロイの街」という城塞都市を包囲していたのですが、10年間ずっと城壁を破ることができなかったとされています。
そこでギリシア軍は「和平を結ぶ」という建前で、大きな木馬を作りました。そして、トロイア人に対する贈り物として城門の外に置き、そのうえで軍を撤退させるふりをしました。
ギリシア軍によってトロイア城に持ち込まれたトロイの木馬
一方のトロイア軍は、戦利品として木馬を市内に持ち込みます。その夜、木馬に隠れていたギリシア兵が城門を開けました。その結果、10年間陥落しなかったトロイの街は、たった一夜にして瞬く間に征服されたといいます。
以後、「トロイの木馬」は、敵を欺くために、有害なもの、あるいは欺く目的でつくられたものを、あえて有益なものに偽装する戦術の比喩として使われるようになりました。
とくに、同様の手法を用いたマルウェアは「トロイの木馬ウイルス(トロージャン)」と呼ばれており、オンラインに存在する過半数のマルウェアは「トロイの木馬」とされています。現在、トロイの木馬には膨大な数の亜種が存在し、毎年さらに増え続けています。
こうした経緯から、もしお使いの端末が、トロイの木馬に感染した場合は、その兆候を正しく切り分けたうえで、適切な対応をとる必要があるわけです。
トロイの木馬の感染経路はメールやフリーソフト
トロイの木馬は、主に電子メールに添付されたofficeファイルから感染します。このようなメールは、感染した関係者や取引先のパソコンから盗んだ情報を利用して、文面や送信元を巧妙に偽装しています。
そのため、注意深く見ないかぎり、本物か偽物かを判別しにくくなっています。
また、トロイの木馬はユーザーが実行後も、不審な動作をほとんど行いません。そのため、ユーザーは気づかずにトロイの木馬によって金銭や情報が窃取されることがあります。
ネット上で提供されている開発元不明のフリーソフトにも要注意
フリーソフトの中には、一見安全そうに見えるものでも、実行するとトロイの木馬が動いてしまうことがあります。
この場合、攻撃者のC2サーバーにユーザーの機器が勝手に接続され、ハッキングの道を作られたり、パスワードを盗まれたりする恐れがあります。
「トロイの木馬ウイルスが検出されました」と表示される原因
「トロイの木馬に感染しました」と表示される原因は、大きく分けて以下の2つです。
詐欺広告として表示されている(ローグウェア)
このようなメッセージは原則として、虚偽であり、実際にトロイの木馬に感染しているわけではありません。
これは、詐欺ソフトを売りつけるためにユーザーを脅迫するポップアップ広告です。たとえば「スケアウェア」と呼ばれる詐欺広告は、金銭をだましとるため、ユーザーに感染リスクを偽ってあおり、偽物のセキュリティツールを売りつけます。
ただし、広告が表示されるサイトには不正なプログラムが埋め込まれている可能性があるため、閲覧後に不具合が見受けられる場合、マルウェア感染も念頭に入れておきましょう。
実際にセキュリティーソフトがトロイの木馬を検知している
「トロイの木馬に感染しました」というメッセージは原則、偽情報(ローグウェア)です。
しかし、信頼できる大手企業が提供している正規のセキュリティ製品でトロイの木馬が検出された場合は、実際に感染している可能性が高いことから、「スキャン」「隔離」「削除」などをおこない、システムのセキュリティを保護する必要があります。
この際、最新の脅威に対応するため、セキュリティ製品は定期的に更新しておきましょう。
トロイの木馬ウイルスと「偽警告」を区別する方法
トロイの木馬と偽警告を区別するためには、以下のポイントを確認することが重要です。
■偽サイトのURLを確認する
■正規品のセキュリティソフトからのメッセージか確認する
■メッセージの内容を注意深く読む
■ウイルススキャンする
偽サイトのURLを確認する
ブラウザでページが表示された場合は、URLも確認してください。公式ページのように見えても、URLが全く異なる不自然なものである場合、それは詐欺サイトのURLです。
偽サイトの詐欺URLを見抜く方法は以下の通りです。
ドメイン名を確認する
偽サイトの場合、ドメイン名が正規サイトと似たものになっていることがあります。例えば、正規サイトが「example.com」であれば、偽サイトは「examp1e.com」のように数字やアルファベットが似たものになっている場合があります。
HTTPS接続が使われているか確認する
偽サイトの場合、HTTPS接続を使用していないことがあります。HTTPS接続を使用する正規のサイトは、URLの先頭に「https://」がついています。もしも偽サイトのURLには、この「https://」がついていない場合は注意が必要です。
ドメイン名の正確なスペルを確認する
偽サイトの場合、ドメイン名にスペルミスがあることがあります。正規サイトのURLを確認し、そのスペルを正確に記憶しておきましょう。
正規品のセキュリティソフトからのメッセージか確認する
偽警告が送信される場合、しばしば信頼できないブラウザ(例えば、アドレスを偽装したウェブサイト)やスパムメールから送信されることがあります。
一方で、トロイの木馬に感染した場合、セキュリティ通知は、正規品のセキュリティソフトから送信されることがほとんどです。
この際、ソフトは使用者にトロイの木馬の削除を促し、システムを保護するために必要な手順を提供します。速やかに対処しましょう。
メッセージの内容を注意深く読む
偽警告は、深刻な問題であるように見せかけるため、過剰な言葉で恐怖をあおります。
たとえば以下は偽警告の具体例ですが、これらはすべて詐欺です。実際にセキュリティ侵害が起きているわけではありません。
- 「すぐに行動してください。お使いのPCでトロイの木馬ウイルスが検出されました。」
- 「今すぐウイルス対策ソフトをダウンロードして、コンピューターを守りましょう!」
- 「あなたのアカウントが侵害されました。アカウントを保護するために、今すぐログインしてパスワードを変更してください。」
- 「あなたが不正なサイトにアクセスしました。あなたのコンピューターはウイルスに感染しており、今すぐダウンロードして感染を取り除く必要があります。」
- 「あなたが不正なプログラムをダウンロードしました。個人情報が危険にさらされています。今すぐ問題を解決するために、お支払いください。」
また有名な偽警告の例の一つに、「Microsoft Tech Support Scam」があります。
これは、ウェブブラウザで偽のセキュリティ警告を表示し、電話番号をクリックして「マイクロソフトのテクニカルサポート」と称する詐欺師に連絡するように促すものです。このとき、詐欺師は、コンピューターに対するアクセスを要求し、問題を解決するために数百ドルから数千ドルの支払いを要求します。
このような偽警告は、警告音とともに、相手に行動を強要し、ソフトウェアをインストールさせようとします。
あせって偽警告に従うと「ウイルスやマルウェアなどを含んだ悪意のあるサイトへの遷移」「悪意のあるマルウェアのダウンロード」などを促されやすく、相手の言われるがままの行動をとってしまった結果、個人情報が漏えいするなどの悪影響を受ける可能性があります。
もし偽警告に従って個人情報を入力してしまった場合は、すぐに関連するアカウントのパスワードを変更しましょう。また、クレジットカード情報などの重要な個人情報を入力した場合は、即座に関連する金融機関に連絡し、アカウントを停止しましょう。
またデータ漏えいやマルウェアの感染有無を確認するため、ハッキング調査の専門家に対応を依頼することをあわせて検討しておきましょう。
ウイルススキャンする
トロイの木馬が存在するかどうかを確認するために、信頼できるソフトウェアでシステムをスキャンしておきましょう。偽警告は、通常、ウイルススキャンでは検出できず、実際には何も問題がないことが多いです。
以上のようなポイントを確認することで、トロイの木馬と偽警告を区別することができます。しかし、警告が正当なものか偽のものかわからない場合は、信頼できるサイバーセキュリティの専門家などにアドバイスを求めることが最善です。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計23,703件のご相談実績(※1)があり、他社にはないデータ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔退職者がデータを持ち出しているかもしれない
✔社員がデータを改ざんして金銭を横領しているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
※2 累計ご相談件数23,703件を突破(期間:2016年9月1日~)
トロイの木馬の被害事例
トロイの木馬の攻撃手法は、2010年代以降、大きく変化しました。
ここでは、トロイの木馬を用いたサイバー攻撃事例から、その移り変わりを紹介します。
2ちゃんねる上でのパソコン遠隔操作事件
2012年、匿名掲示板サイト「2ちゃんねる」でトロイの木馬が配布され、犯罪予告を他人に行わせるプログラムが組まれました。このため、襲撃・殺人など意図しない犯罪予告が10数件も発生し、結果として4人の誤認逮捕が生じました。
この事件は、トロイの木馬が不特定多数の掲示板ユーザーを感染させ、企業・団体に対してやみくもに犯罪予告を行うことで発生しました。この手法は、発生当時は非常に新しく、様々な問題を引き起こしました。
しかし、最近では、トロイの木馬が用いられる攻撃において、特定の企業や団体を絞った「標的型攻撃」が増えているといわれています。このような攻撃は、より効果的にターゲットを攻撃できるため、その被害はより深刻なものとなっています。
「Emotet」による大学職員による情報漏えい
Emotetは、不正アクセスして攻撃対象のデバイスからインターネットバンキングの認証情報を騙し取るために作成されたマルウェアです。
最初はスパムメールを使用して「不特定多数に広がるマルウェア」になり、その後、標的型メール攻撃でも使用されるようになりました。
Emotetは、ランサムウェアを含むさまざまなマルウェアに感染するのを手助けする役割を果たし、2010年代後半には「最も危険なトロイの木馬」の一つと見なされていました。
2019年には、Emotetを仕込んだメールが大学機関に送信され、実在の企業名を装っていたことから、気づかずに開封した職員の端末から1万件以上のメール情報が流出しました。攻撃者は、騙し取った流出情報を使用して、さらなるサイバー攻撃を行いました。
Emotetは現在は減少の兆しが見えますが、同様のトロイの木馬は増加し続け、その手口もますます巧妙化・複雑化しています。
実際にトロイの木馬などに感染した場合の対応方法
トロイの木馬の感染対策としては、次の4点が挙げられます。
■セキュリティーソフトを導入する
■定期的にOSをアップデートする
■提供元不明のソフトやアプリをダウンロードしない
■不審なメールに添付されたofficeファイルを開封しない
しかし、トロイの木馬は1日当たり何十万という膨大な亜種が作られており、いくら細心の注意を払っていても完全に感染を防ぎ切ることは出来ません。
またトロイの木馬は感染が発覚しにくいマルウェアですが、以下のケースではトロイの木馬の感染が強く疑われます。
■スパムメールが届き、怪しい添付ファイルを開封してしまった
■CPU使用率が異常に上がる(サイバー攻撃の踏み台にされている恐れがある)
■正規のセキュリティー製品で「トロイの木馬ウイルスが検出されました」と表示される
このようなケースに当てはまる場合、以下の対応方法があります。
セキュリティーツールで削除する
トロイの木馬の感染が疑われる時、セキュリティーソフトでフルスキャンをかけましょう。セキュリティソフトの種類によっては、トロイの木馬を駆除できるものがあります。
継続利用を控える
トロイの木馬に感染したデバイスを継続して使用すると、以下のように被害拡大につながってしまう恐れが強まります。
■メールでのやり取りの流出による取引先や顧客への感染拡大
■営業秘密や顧客情報の流出による多額の損害賠償の発生
■取引先や顧客からの信用失墜
■マルウェア感染によるデータの改ざんや削除、システムの停止
また機器を継続使用すると、サイバー攻撃の痕跡を気づかないうちに削除・上書きして証拠を失う可能性があり、被害実態の調査にも支障が出る恐れがあります。
もし挙動がおかしい際は、継続使用を控えましょう。
フォレンジック専門業者に相談する
トロイの木馬を用いたサイバー攻撃が発覚し、情報流出の有無など被害の実態を確認したい場合、社内のシステム担当者がむやみに操作すると、攻撃の痕跡が上書きされ、調査が困難になる恐れがあります。
この際、フォレンジック調査という手法が有効です。
フォレンジック調査とは、パソコンやスマートフォンなどデジタル機器を分析し、被害の全容を明らかにする調査手法です。
これにより、トロイの木馬を用いたサイバー攻撃の有無や被害範囲を調査し、適切な対処をおこなうことができます。もしインシデントが発生した場合、まずは実績のあるフォレンジック専門業者へ相談することをおすすめします。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
\24時間365日 相談受付/
フォレンジック調査を行うメリットは、主に次の2です。
①専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社では、高度な技術を持つ専門エンジニアが、正しい手続きでハッキング被害を確認できるため、社内や個人で調べるよりも正確にハッキング被害の実態を確認することができます。
また、自社調査だけでは不適切とみなされてしまうケースがありますが、フォレンジックの専門業者と提携することで、調査結果を具体的にまとめた報告書が作成でき、これは公的機関や法廷に提出する資料として活用が可能です。
②セキュリティの脆弱性を発見し対策できる
フォレンジック調査では、デジタル端末のハッキング経路や被害の程度を明らかにし、セキュリティの脆弱性を発見することで、今後のリスクマネジメントに活かすことができます。
また弊社では解析調査や報告書作成に加え、お客様のセキュリティ強化に最適なサポートもご案内しています。
フォレンジック調査会社への相談方法
ハッキングの疑いがある場合、早めの相談で、被害が拡大する前に対処を図ることが可能です。まずは気軽にご相談ください。無料で相談・診断を承っております。
フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
フォレンジック調査の流れ
社内でインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、一度専門会社へ相談するのをおすすめします。なぜなら専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、証拠となるデータが故意に改ざん・削除されている可能性も想定されるからです。
フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
\24時間365日 相談受付/
デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで23,703件以上を数えます。
お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法定資料としても活用できる報告書の作成も承っております。
