トロイの木馬とは？ わかりやすく10分で解説

業務も生活もオンラインが前提になった現在、サイバー攻撃は特定の大企業だけが警戒すべき問題ではありません。メール、添付ファイル、ログイン画面、ソフトウェアのインストーラーなど、日常的な操作が攻撃の起点になることがあります。中でもトロイの木馬は、無害なファイルや正規ソフトに見せかけて利用者に実行させるため、感染に気づきにくいマルウェアです。

トロイの木馬を防ぐには、定義や種類を知るだけでは不十分です。感染経路、侵入後の動作、情報窃取や遠隔操作につながる流れを理解し、OS更新、メール確認、権限管理、バックアップ、多要素認証などを組み合わせて、侵入されにくく、侵入されても被害を広げにくい状態を作る必要があります。

トロイの木馬とは

トロイの木馬の定義

トロイの木馬とは、一見すると正常なソフトウェア、文書、画像、インストーラーなどに見せかけながら、内部で不正な動作を行うマルウェアの一種です。利用者が便利そうなツールや正規の通知だと思って開くことで実行され、感染後に情報窃取、遠隔操作、追加マルウェアの導入などを行います。

一般的なウイルスが自己増殖を特徴とするのに対し、トロイの木馬は「利用者をだまして実行させる」点に特徴があります。自己増殖しないものも多く、メール添付、偽の配布サイト、改ざんされたWebサイト、非公式アプリなどを通じて端末に入り込みます。

トロイの木馬の由来

名称は、古代ギリシャの伝承「トロイ戦争」に由来します。木馬の内部に兵士を隠し、贈り物に見せかけて城内へ運び込ませた逸話になぞらえ、無害に見える外見の内側に攻撃機能を隠す性質を表しています。

コンピューターの世界でも、トロイの木馬型の攻撃は古くから存在します。現在では、メール、クラウドサービス、Web広告、モバイルアプリ、ファイル共有など利用環境の変化に合わせ、見せかけの手口も巧妙化しています。

トロイの木馬とサイバー攻撃の関係

トロイの木馬は、単体で情報を盗むだけでなく、別の攻撃を始めるための足場として使われることがあります。例えば、感染端末から認証情報を盗み、その情報を使って社内システムへ不正ログインしたり、ランサムウェアを追加で送り込んだりするケースです。

そのため、トロイの木馬対策は端末単体の問題に留まりません。メール、Web、認証、端末管理、ネットワーク監視、バックアップ、インシデント対応を含めて、組織全体の防御設計として考える必要があります。

トロイの木馬型サイバー攻撃の種類と特徴

トロイの木馬は、侵入後の目的によって複数の型に分けられます。実際の攻撃では複数の機能を組み合わせる場合もありますが、代表的な種類を把握しておくと、被害の性質を判断しやすくなります。

バックドア型

バックドア型トロイの木馬は、感染端末に外部から接続できる裏口を作ります。攻撃者はこの経路を使い、端末の遠隔操作、ファイルの取得、設定変更、追加マルウェアの導入、内部ネットワークの探索などを行います。

バックドア型の危険は、感染端末が攻撃者の操作拠点になり得る点です。端末1台の感染が、社内ネットワークへの横展開や機密情報の持ち出しにつながる可能性があります。

ダウンローダ型

ダウンローダ型トロイの木馬は、感染後に外部サーバーから別のマルウェアを取得し、実行します。最初に侵入するプログラムは小さく、検知を避けたあとで本命の攻撃プログラムを呼び込むことがあります。

この型では、初期感染時点で見える被害が小さくても安心できません。後からランサムウェア、情報窃取ツール、遠隔操作ツールなどが導入される場合があります。

インフォスチーラ型

インフォスチーラ型トロイの木馬は、ID、パスワード、クレジットカード情報、ブラウザに保存された認証情報、業務ファイルなどを盗み出す目的で使われます。

盗まれた情報は、不正ログイン、なりすまし、追加侵入、金銭被害、情報漏えいにつながります。認証情報が流出すると、端末の駆除後もアカウントが悪用され続ける可能性があるため、パスワード変更やセッション無効化、多要素認証の確認も必要になります。

ランサムウェア型

ランサムウェア型トロイの木馬は、ファイルやシステムを暗号化して利用できない状態にし、復号の対価として金銭を要求します。近年は、暗号化前に情報を盗み、公開を示唆して支払いを迫る二重恐喝型の手口もあります。

被害は端末内のファイルだけに限られません。共有フォルダ、ファイルサーバー、バックアップ領域にアクセス権が及ぶ場合、被害範囲が急速に広がる可能性があります。

バンキングトロイの木馬

バンキングトロイの木馬は、オンラインバンキングや決済サービスを狙うトロイの木馬です。偽のログイン画面を表示したり、通信内容を盗み見たり、入力された認証情報を取得したりします。

端末側が感染している場合、利用者が正規サイトにアクセスしていても、画面上の入力情報やセッション情報が攻撃者に奪われることがあります。金融サービスでは、多要素認証、利用通知、不審取引の監視を組み合わせる必要があります。

トロイの木馬の動作原理

トロイの木馬は、感染させる段階と侵入後の行動が分かれていることが多く、被害に気づくまで時間がかかる場合があります。ここでは、感染経路、実行後の挙動、攻撃者による操作の流れを整理します。

感染経路：どうやって端末に侵入するのか

トロイの木馬は、正規のファイルや便利なツールに見せかけて端末へ侵入します。主な経路は次の通りです。

• メール：請求書、配送通知、取引連絡などを装った添付ファイルやリンク
• Webサイト：偽のダウンロードページ、改ざんサイト、不正広告からの誘導
• ソフトウェア配布：非公式インストーラー、クラックツール、チートツール、偽アップデート
• ファイル共有：共有文書、圧縮ファイル、業務資料を装ったファイル
• クラウドサービス：共有リンクやオンラインストレージを悪用した配布

利用者が「業務上必要なファイル」「正規の通知」「便利なツール」と誤認すると、実行につながります。送信元、URL、ファイル形式、入手経路を確認する運用が必要です。

実行後に起きること

利用者がファイルを開いたり、インストーラーを実行したりすると、トロイの木馬がバックグラウンドで動作を始めます。代表的な挙動は次の通りです。

• 設定変更や権限の取得
• ブラウザ保存情報、入力情報、認証情報の窃取
• キーロガーによる入力内容の取得
• 追加マルウェアの導入
• 外部サーバーとの通信
• セキュリティ機能やログの無効化

利用者から見ると、端末が重くなる、見慣れない通信が発生する、警告が表示される、アカウントに不審なログインがある、といった形で兆候が現れる場合があります。ただし、症状が目立たないまま情報窃取が進むケースもあります。

攻撃者による遠隔操作

感染後、攻撃者はC2サーバーなどを通じて感染端末へ指示を送ることがあります。バックドア型では遠隔操作や内部探索、ランサムウェア型では暗号化、インフォスチーラ型では認証情報の収集と送信が行われます。

被害は端末1台に留まらない場合があります。盗まれた認証情報を使った他システムへのログイン、共有フォルダの暗号化、社内ネットワークでの横展開、取引先へのなりすましメール送信などにつながる可能性があります。

代表的なトロイの木馬型サイバー攻撃事例

トロイの木馬は、過去にさまざまな攻撃で悪用されてきました。ここでは、代表例としてZeuS、CryptoWall、Emotetを取り上げます。

ZeuS（ズース）

ZeuSは、オンラインバンキングを狙うバンキングトロイの代表例として知られています。感染後、利用者の認証情報を盗み取り、不正送金やアカウント乗っ取りに悪用されました。

ZeuSの特徴は、端末側で認証情報を取得する点です。利用者が正規サイトにアクセスしていても、感染端末上で入力情報を奪われる可能性があるため、端末防御と認証強化を組み合わせる必要があります。

CryptoWall（クリプトウォール）

CryptoWallは、ランサムウェアの代表例として知られています。感染端末内のファイルを暗号化し、復号のために金銭を要求する手口で被害を拡大しました。

一度感染すると、業務文書や画像などのファイルが利用できなくなり、復旧が困難になります。共有フォルダやバックアップ領域にもアクセスできる状態では、被害が端末外へ広がる可能性があります。

Emotet（エモテット）

Emotetは、当初はバンキングマルウェアとして知られ、その後は他のマルウェアを呼び込む基盤として悪用されました。メールのやり取りを悪用し、実在する相手からの返信に見える文面を装うなど、利用者が開いてしまいやすい手口が特徴です。

Emotetのような攻撃では、利用者教育だけでは限界があります。添付ファイルやリンクの検査、マクロ実行の制御、メール認証、端末監視、感染時の隔離手順を組み合わせる必要があります。

トロイの木馬から自衛する方法

トロイの木馬は、利用者による実行が起点になることが多い一方で、運用を整えれば被害確率と被害範囲を下げられます。個人と組織の双方で押さえるべき対策を整理します。

OS・ブラウザ・アプリを更新する

OS、ブラウザ、アプリ、セキュリティソフトの更新には、脆弱性の修正が含まれます。更新を後回しにすると、既知の脆弱性を悪用される余地が残ります。

組織では、利用者任せにせず、更新状況を管理できる仕組みを用意します。業務影響を確認しながら、重要度の高い更新を遅らせすぎない運用が必要です。

信頼できる提供元からのみ入手する

ソフトウェア、資料、ツールは、公式サイト、正規ストア、社内で承認された配布元から入手します。非公式サイトのインストーラー、クラックツール、出所不明の便利ツールは、トロイの木馬を含む可能性があります。

業務では、ダウンロード先や利用可能なツールをルール化し、利用者が迷わない状態にします。例外的に外部ツールを使う場合は、管理者やセキュリティ担当者が確認する手順を設けます。

メールとリンクの扱いをルール化する

トロイの木馬は、請求書、配送通知、採用連絡、取引先からの連絡などに見せかけて届くことがあります。送信元、文面、添付ファイル名、リンク先URLに違和感がある場合は、開く前に別経路で確認します。

組織では、利用者に注意を促すだけでなく、疑わしいメールを報告しやすい窓口を用意します。報告しにくい環境では、不審メールが放置され、被害確認が遅れます。

バックアップを取り、復旧できることを確認する

ランサムウェア被害では、バックアップの有無と復元可能性が復旧を左右します。バックアップを取得していても、同じ権限で接続された領域に保存していると、同時に暗号化される可能性があります。

バックアップは、世代管理、分離保管、アクセス権管理、復元テストまで含めて設計します。重要なのは、取得していることではなく、必要な時点へ復元できることです。

多要素認証と権限管理を導入する

認証情報を盗まれても不正ログインを成立しにくくするには、多要素認証が有効です。特に、管理者アカウント、クラウドサービス、メール、VPN、リモートアクセスには優先的に適用します。

あわせて、日常業務を管理者権限で行わない運用も必要です。権限を最小化すれば、トロイの木馬が実行された場合でも、設定変更、情報窃取、横展開の範囲を抑えやすくなります。

端末監視と感染時の対応手順を整える

トロイの木馬は、感染後に外部通信や不審なプロセスを発生させる場合があります。端末監視、ログ収集、EDR、ネットワーク監視を組み合わせることで、感染の兆候を早期に把握しやすくなります。

感染が疑われる場合は、端末をネットワークから切り離し、証跡を保全し、関係するアカウントのパスワード変更やセッション無効化を行います。手順が決まっていないと、初動が遅れ、被害範囲の確認も難しくなります。

感染が疑われる場合の初動対応

トロイの木馬感染が疑われる場合、端末を使い続けると情報送信や横展開が進む可能性があります。状況を悪化させないため、初動対応を事前に決めておく必要があります。

• ネットワーク接続を切り、端末を隔離する
• 不審なメール、ファイル、URL、表示された警告を記録する
• 社内の情報システム部門やセキュリティ担当へ報告する
• 感染端末で利用したアカウントのパスワード変更とセッション無効化を検討する
• バックアップからの復元が必要か確認する
• 取引先や顧客へ影響する可能性がある場合は、連絡範囲を確認する

個人利用でも、ネットワーク切断、セキュリティソフトでのスキャン、重要アカウントのパスワード変更、金融機関やサービス事業者への確認を行います。業務端末では、自己判断で削除や初期化を行う前に、担当部門へ報告することが必要です。

まとめ

トロイの木馬は、無害なファイルや正規ソフトに見せかけて利用者に実行させ、情報窃取、遠隔操作、追加マルウェアの導入、ランサムウェア展開などにつながるマルウェアです。攻撃の起点が利用者の通常操作に紛れやすいため、感染に気づくまで時間がかかる場合があります。

対策は、OSやアプリの更新、信頼できる提供元の利用、メールとリンクの確認、バックアップ、多要素認証、権限最小化、端末監視を組み合わせて実施します。ウイルス対策ソフトだけに依存せず、侵入されにくく、侵入されても広がりにくく、復旧できる状態を作ることが必要です。

組織では、利用者教育だけでなく、報告しやすい窓口、感染時の隔離手順、アカウント無効化、復元テスト、ログ確認まで運用に組み込みます。日常業務で実行できる手順にしておくことで、トロイの木馬による被害を抑えやすくなります。