トロイの木馬が引き起こす新しいオンライン詐欺

2009年11月17日(火)
斉藤 亘

トロイの木馬、そのメカニズム

ギリシャ神話にその名の由来を持つ、悪意あるコンピューター・プログラムが、インターネットの治安に極めて大きな脅威をもたらしている。神秘的な雰囲気の名前のせいか、トロイの木馬がウイルスやワームとどう違うのか、どれほど危険なのか、よく分からないという声を耳にする。そこで、今回は「トロイの木馬とは」から始まり、その使われ方や具体的な脅威について説明したい。

トロイの木馬の最大の特徴は、ひとたびコンピューターの内部で実行されると、まずサーバーを立ち上げ、次に外部の攻撃者と通信し、多種多様な悪意を持った処理を実行する点にある。木馬に潜んでいたアカイア人がトロイアの国を一夜にして滅ぼしたように、コンピューターの内部から新たな脅威を手引きしたり、外部からの遠隔操作に応えることによって、ほかのマルウエア以上に高度で複雑な攻撃ができるため、トロイの木馬は甚大な被害をもたらすのである(図1)。

トロイの木馬とほかの不正を働くソフトウエア(マルウエア)の関係について、少し整理しておこう。専門的には、マルウエアは、単体で実行可能か、自己増殖するか、といった視点から、以下の3種類に大別される。

【ウイルス】
 ほかのプログラムのファイルに感染して不正に動作するプログラムの断片(単体では実行されない)。自己増殖が可能であるが、ほかのファイルを宿主とする必要がある。

【ワーム】
 単体で動作するプログラムである点がウイルスと異なる。自己増殖可能で、宿主のファイルを必要としない。

【トロイの木馬】
 単体で動作するプログラム。自己増殖はしない。

トロイの木馬の種類

次に、トロイの木馬をタイプ別に分類しながら、もたらす被害を具体的に説明していこう。

【バックドア型】
 攻撃者が他者のコンピューターを遠隔操作するためのプログラム。OSの管理者権限を持っているかのように振る舞うため、比較的検知率が低い。

【パスワード窃盗型】
 被害者のパスワード、IPアドレスやコンピューターの詳細な情報などを収集し、メールなどを用いて攻撃者へ送信する。

【クリッカー型】
 インターネット接続時に攻撃者が指定した特定のWebサイトへ接続するよう、コンピューターのレジストリやWebブラウザの設定を変更する。広告収入を得る、他者を攻撃させる(DoS、DDoS攻撃など)、悪意あるソフトウエアをダウンロードさせるといった目的を持つ。

【ダウンローダ型】
 攻撃者が意図した特定のWebサイトへ接続し、悪意あるプログラムをダウンロード、実行しようとするトロイの木馬。OS起動時に悪意あるプログラムが自動的に起動されるように設定を変更してしまう。

【ドロッパー型】
 ダウンロード型と異なり、元から内包された悪意あるプログラムを、被害者のコンピューターに秘密裏にインストール、実行する。

【プロキシ型】
 被害者のルーターやDNSの設定を変更し、被害者のコンピューター上にプロキシ・サーバーを構築するトロイの木馬。攻撃者は、攻撃の際のインターネット・アクセスを、このプロキシ・サーバーを経由して行うことで、匿名性を保とうとする。このように攻撃者がプロキシ・サーバーとして悪用するコンピューターの集合体を、ボットネットとも呼ぶ。

次ページからは、トロイの木馬を使ったオンライン詐欺の具体的な手口を紹介する。

RSAセキュリティ株式会社 コンサルティング本部 システムエンジニア
オンラインセキュリティ製品の導入・運用支援を行っている。最近の仕事は金融機関Webサイトへのリスクベース認証の導入コンサルティング。以前はPKIベースの電子認証システム製品の開発を行っていた。お気に入りの休日の過ごし方は自家製の燻製とワインでホームパーティーを開くこと。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています