概要
トロイの木馬は、マルウェアの一分類で、昨今のサイバー攻撃においては主流の不正プログラムです。
この名称は、ギリシア神話トロイア戦争の伝説に登場する「トロイの木馬」になぞらえたもの。
多くはメールの添付ファイルやインターネットを経由して、標的PC上に不正にインストールされます。
コンピュータウイルスとは異なり、自己増殖機能はありません。
遠隔操作することを目的に作られており、サーバとクライアントで構成されます。
攻撃者側はクライアントを起動し、標的PCに密かにインストールされたサーバの役割を持つ不正プログラムからの通信を待ち受けるのです。
標的PC上でサーバが実行されると、秘密裏にプロセスが起動され攻撃者側のクライアントからリモート操作が可能な状態となります。
攻撃者はサーバを通じて、標的PCあるいは標的PCが接続されたネットワーク上の情報窃取や、破壊活動が可能な状態になるのです。
近年では、RAT(ラット)と呼ばれることが多くなりました。
なお、インシデント対応を行う立場からは、攻撃者側のクライアントはコマンド・アンド・コントロールサーバ(C&Cサーバ/C2サーバ)と呼びます。
主な種類
多くの場合、ダウンローダーやドロッパーを最初に実行することで、バックドアやインフォ・スティーラーをインストールするなど、攻撃の段階毎に使い分けがされています。
- バックドア型
外部からシステムを不正操作するためのソフトウェア。
第三者がリモートからインターネット経由で標的PCへ侵入し、不正操作を行う。
- パスワード窃取型
IDやパスワードなどの情報窃取を目的としたソフトウェア。
パスワードを窃取するものを「パスワード・スティーラー」と呼ぶこともある。
- ダウンローダー型
インターネット上の悪意あるサーバからバックドアなどの不正プログラムをダウンロードしようとする。
一般に、ダウンロード機能のみのため、ファイルサイズは小さい。
- ドロッパー型
ファイルに不正プログラムが内包されている。
ダウンローダー型と異なるのはインターネット上からプログラムをダウンロードするのではない点である。
- プロキシ型
被害者の環境のルータやDNSなどを改変し、PC上にプロキシサーバを構築する。
攻撃者はこのPCを踏み台とすることで匿名性を向上させることができる。
背景と事例
トロイの木馬は、高度標的型攻撃やAPTと呼ばれるサイバー攻撃に悪用されています。
日本を狙ったサイバー攻撃でも利用されており、インシデントで悪用されたRATとして、以下のものがあります。
- Gray Pigeon/Hupigon
2001年頃から開発されていた中国製のRAT。
2008年~2010年頃に日本国内で多く確認され、防衛産業や官公庁も攻撃対象にされている。
- PlugX
2012年頃から現在でも国内にて悪用され続けているRAT。
特徴の1つとして、DLLハイジャッキングを行うことが挙げられる。
これによりコード証明された正規のDLLを実行するのではなく、PlugXのDLLを読み込んでローダを実行する。
従来のRATは自動起動を実現するためにレジストリヘ登録していたのに対し、その必要がないために検出されにくい。
- Emdivi
2015年の日本年金機構の情報漏洩事件で有名になったRAT。
攻撃オペレーションに関与したグループにより悪用されているとされている。
2012年頃には存在が確認されており、比較的長期で攻撃グループが活動していたとみられる。
- Elirks
ブログを活用したRATの1つだ。
標的PCに潜伏し、ブログ記事内に書かれた「秘密」の文字列が読み込まれることによって、RATの本体をダウンロードする仕組。
その特徴として、ネットワーク・トラフィックが一見通常のウェブ閲覧のものと変わらず、セキュリティ製品での検出が難しかった。
- gcat
Gmailのメールボックスをコマンド・アンド・コントロールサーバとして活用するオープンソースのRAT。
ネットワーク・トラフィックはGmailの送受信のように見え、セキュリティ製品での検出が難しい。
gcatに限らず、オープンソースのマルウェアは、改造利用されるため亜種が登場しやすいので、その意味でも注目のRAT。