コロナウイルス便乗型も巧妙化
2020年、季節が進むと共に新型コロナウイルスに便乗したサイバー攻撃の報告が相次ぎ、手口も巧妙化しています。ロシアのセキュリティ企業からは、居住地で発生した感染者の数をスマートフォンに示し、少額の金銭を払えば詳細な場所まで開示するという攻撃を発見したとの報告がありました。もちろん、感染者の情報が提示される保証はなく、攻撃者の目的はクレジットカード情報です。
銀行口座を狙った攻撃も相次いでいます。2020年1月には2要素認証のアプリを狙い、認証コードを盗む「Cerberus(ケルベロス)」の亜種が見つかりました。2要素認証はネットバンキングやモバイル決済などに用いる強固な認証手段で、ここが破られるとバンキングサービスやメッセージングなど、機密情報を扱うアプリの操作を攻撃者に委ねてしまうことになりかねません。
これらの攻撃に共通する点は、いずれも「トロイの木馬」という手法が使われていたこと。トロイの木馬はマルウェアの一種ですが、現在は攻撃プログラムの70~80%はこのタイプとされています。今回はトロイの木馬の動作と感染の影響、防御対策をまとめてみました。
木馬の中に“悪意”を隠蔽
マルウェアは一般的に、悪意あるソフトウエアの総称とされていますが、“悪意”の定義は必ずしも一様ではありません。不正送金や個人情報を盗むソフトは、誰が見ても悪意しかありませんが、コンピュータの遠隔操作や脆弱性を検出する機能は、開発者の意図や使い方に左右されるからです。トロイの木馬はここを突いてきます。
“ディスク容量の確保”や“バッテリーが長持ち”、“ウイルス検出”など、有益なプログラムの体裁をとってインストールを促し、PCやスマートフォンに侵入。機をみて攻撃を仕掛けるマルウェアです。名前の由来は、巨大な木馬を敵陣に置いて警戒が解かれるのを待ち、中に潜んだ兵士が一気に攻め入ったギリシア神話から来たとされています。
ウイルス、ワームとは一線を画す
マルウェアは、トロイの木馬、ウイルス、ワーム(“虫”の意味)に分類されることが多いのですが、それぞれの違いはその挙動に表れます。
| 増殖 | 感染方法 | |
| トロイの木馬 | なし | 他のプログラムに偽装して侵入 |
| ウイルス | あり | 宿主(他のファイル)に寄生 |
| ワーム | あり | 単体で生存し自己増殖 |
トロイの木馬の特徴は、増殖はしないこと。ここがウイルスとワームとの違いです。ユーザーに気付かれずに情報を盗み、リソースを不正利用するには、爆発的な感染をしないことは必要な特性とも考えられでしょう。なお、近年のマルウェアは、トロイの木馬とウイルスやワームの機能を兼ねたものも出現していますが、もっとも顕著な性質に着目して分類しています。
トロイの木馬の感染経路は?
感染源として、以下のような操作が挙げられます。前半で「有用そうなプログラムに身を潜める」と記しましたが、実はそれだけではなく、サイトを閲覧しただけで侵入する形態もあることが分かっています。
能動的感染
- ダウンロード
Webサイトなどで有用を装ったプログラムをダウンロード
- メール
添付ファイルの実行
メール本文のURLをクリック/タップ→インストール
- SNS
攻撃者のアカウント、乗っ取られたユーザーのアカウントから発せられたメッセージのURLをクリック/タップ→インストール
受動的感染
- サイトアクセス(ドライブバイダウンロード型)
改ざんされたサイト、脆弱性が未修正のサイトへのアクセスで感染
トロイの木馬が与える被害
他のマルウェアと同様、トロイの木馬の目的も、金銭とそれに直結する機密情報の搾取にあります。攻撃の特性上、察知が遅れて傷口を広げるケースが多い点は、留意しておきましょう。多発している被害を挙げてみます。
個人ユーザーへの攻撃
銀行口座から不正送金
“バンキング型マルウェア”のジャンルができるほど頻発する攻撃です。有用なソフトを装うなどの手口でPCやスマートフォンに侵入し、しばらくは鳴りを潜めます。ネットバンキングへのアクセスやアプリの起動と同時に、偽の画面からパスワードなどの認証情報を搾取。ユーザーに気付かれないように不正送金します。残高がゼロになるまで気付かないケースも少なくありません。
迷惑メールの踏み台
メールのアカウント情報を盗まれ、スパムメールの発信元にされた被害も発生しています。マルウェアがボット(遠隔操作された状態のマシン)だった場合、司令塔のコンピュータからリモートで操作され、大量のスパム配信の一端を担ってしまいます。
スマートフォンから個人情報が漏えい
個人情報の流出は、特にAndroid OSのモバイル端末での被害が目立っています。ウイルス検出やディスククリーンアップなどのツールを装って端末に入り込み、電話帳やメッセージアプリの記録を抜き取ります。
企業への攻撃
深刻なデータ流出
トロイの木馬はどちらかと言うと、個人ユーザーを狙った攻撃が多いのですが、“カネになる情報”が随所にある企業も標的になることは言うまでもありません。例えば、メールの添付ファイルを介して社内LANに侵入したマルウェアが、ファイルサーバーやActive Directoryにログインするための認証情報を入手し、機密情報を盗むようなケースです。
PC業務の停滞もまねく
社内ネットワークの偵察や情報の搾取を企てるトロイの木馬は、バックエンドで何らかの動きをしています。ユーザーに気付かせない軽微な動作も多いのですが、ピーク時にはPCの動きが異常に遅くなったり、勝手に再起動したり、停止してしまうこともあります。
バックドアから波状攻撃
巧妙なトロイの木馬は、PCに侵入した後、バックドア(後述)を仕掛け、攻撃者のC&C(Communication & Control)サーバーから、遠隔操作ができるようにします。不審な動作に気付いてマルウェアを検出したとしても、バックドアの存在を見落としてしまうと、悪質なプログラムを再び仕込まれるリスクを抱えてしまいます。
ビジネスメール詐欺の起点にも
経理担当者や経営層のメールを盗み見し、大きな請求が発生した際に、偽の送金指示を出して攻撃者の口座に振り込ませるビジネスメール詐欺。メールの内容を熟知し、絶妙なタイミングで割り込む手口には、多くの企業が被害に遭っています。メールのアカウント情報の搾取も、トロイの木馬型マルウェアが発端になるケースが少なくありません。
攻撃パターンから見える実像
今度は攻撃手法の角度から、あらためてトロイの木馬の実像を整理してみましょう。典型的な攻撃パターンとして、以下が挙げられます。
バックドア型
バックドアは、侵入に成功した攻撃者が再び攻撃を仕掛けるときのため、裏口を空けておくこと。もっとも危険なタイプで、機密情報の流出やスパムメールの踏み台といった大きな被害にも直結します。
クリッカー型
Webブラウザの設定を変更し、特定サイトのリンクを強制的にクリックさせます。ユーザーの意志に反してサイトや広告を表示させ、違法に収益を得ることが攻撃者の狙いです。比較的安全性が高いとされるAPP Store(iOS向けアプリ配信サービス)でも、このタイプが審査をすり抜けて登録された例がありますから油断はできません。
ダウンローダー/ドライブバイダウンロード型
ダウンローダーはそれ自体では攻撃を実行せず、侵入に成功した後、他のマルウェアをダウンロードする起点として機能します。
ドライブバイダウンロード型は、悪意あるサイト、あるいは脆弱性があるサイトにアクセスするだけで、インストールされる形態です。
プロキシ型
乗っ取ったPCのネットワーク設定を変更し、不正アクセスやスパム配信などの起点にします。この手口も正規のプログラムにうまく潜むため、容易に検出はできません。
対処は基本作法の実践を
トロイの木馬への対処方法も、マルウェア対策の基本作法から外れるところはありません。
- セキュリティ対策ソフトの稼動
- OS、プラグイン、アプリケーションの更新
- 添付ファイルに注意
- メール、SNSのリンクは安易にクリックしない
まずはセキュリティ対策ソフトの導入とパターンファイルの更新。世界では新種も頻出していますが、その多くは既知の攻撃かその亜種で、セキュリティソフトで検知できています。
OSとアプリケーションの更新や、既知の相手からのメールでも添付ファイルの開封は慎重を記す、不用意にURLはクリックしないという点も、繰り返し注意喚起されていると思います。
- ファイアウォール設定
- エンドポイントセキュリティ
- スタッフへの研修・教育
マルウェア対策の基本作法に加えて、企業では上記3点も再チェックしてください。いずれもトロイの木馬に特化した対策ではありませんが、サイバー攻撃に対する日常の安全強化策として必要な要素です。
まずファイアウォールの設定を点検し、許可しない通信先からのアクセスと、内部から外部への通信を監視。トロイの木馬は、外部のC&Cサーバーとの通信を定期的に交わすタイプも多いため、不審な動きを検知・遮断する機能は不可欠です。
先鋭化したサイバー攻撃は、ファイアウォールによる水際対策をすり抜けることも少なくありません。万一の侵入時に、サーバーやPCなどエンドポイント機器の単位で監視し、被害を最小限に食い止める「エンドポイントセキュリティ」の強化も有効です。
最後はやはり従業員や常駐するスタッフの教育。システムのガードをいくら強化しても、使う人間に認識不足や油断があれば、ここを突かれてしまいます。ファイルサーバーへのアクセス権限やインストール権限の見直しを行なうと同時に、定期的な啓発活動も続けるようにしましょう。
