トロイの木馬

ここ数日、ファイル共有ソフトを通じて、また新しいトロイの木馬が流行っているようですね。
今回は日本で流行っている一般的なトロイの木馬について少し書こうと思います。

「トロイの木馬」というのは、有用なアプリケーション(あるいはデータファイル)だと見せかけることで、ユーザー自身の手で実行させ、期待を裏切る悪い動作をするプログラムのこと。
ウイルスと混同されやすいんですれど、ウイルスは勝手に感染してコンピューターが勝手にプログラムを実行してしまうのに対して、トロイの木馬はユーザー自身が実行してしまっているというのがポイントです。

期待を裏切る悪い動作というのは、例えば、システムを破壊してしまったり、保存してある大事なファイルを改竄・削除してしまったり、個人情報を流出させたり、というものです。
これらはウイルスなどでも見られる症状なので、結果だけ見て誤解されやすいのですね。

トロイの木馬は、前述の通りユーザー自身が自らの手で実行します。
ユーザーが実行しなければ、なんの悪さもできません。

そこで、ユーザーに実行させるための巧みな罠が張り巡らされています。
よくあるのは次に紹介する2つのパターンです。


1つ目は、ファイルの種類を偽装します。

次のように2つのファイルがあったとします。
トロイの木馬の例
一見両方とも画像ファイルに見えますが、「種類」の列を見て下さい。下の方のファイルは「アプリケーション」となっています。
また、よく見ると、ファイル名の末尾に "..." と続きを表す点が表示されています。

このファイル、実は "美人すぎる書道家.jpg                              .exe" 1というファイル名なのです。

このファイルは、2つの偽装をしています。
まずは、拡張子を画像ファイルを表す "jpg" だと見せかけておいて、本当はアプリケーションを表す "exe" だということ。
もうひとつは、アイコンです。Windowsで初期設定されている画像用のアイコンが、このアプリケーションファイルに設定されています2

この2つの偽装をされるだけで、ぱっと見分かりにくくなり、ついダブルクリックしてしまいそうになります。3

これが、Antinnyや暴露ウイルスと呼ばれるタイプのトロイの木馬でよく使われている方法で、一時期、「WinnyやShareなどによって感染したウイルスにより個人情報を流出させた」と報道されていたプログラムの正体です。
実は、感染もしてないし、ウイルスでもないし、個人情報を流出させるトリガーを引いたのは被害者本人だったわけですね。

このタイプのトロイの木馬の場合、ユーザーが気をつけてさえいれば実行を回避することが可能です。
だって、偽装にさえ気付いてしまえば、偽装しているアプリケーションファイルなんて、どう見たって悪意のあるプログラムにしか見えないでしょう?

しかし簡単には見抜きにくいのがもうひとつのパターンです。

2つ目は、ユーザーが欲しくて手に入れたプログラムが偽物だったら?というものです。
例えば、動画を閲覧するためのプログラムをダウンロードして実行してみたら、それが期待を裏切る悪い動作をした、などというものです。4

ファイル名は "player.exe" かもしれないし、"setup.exe" かもしれません。
アイコンも、動画再生ソフト風かもしれなければ、簡素な標準のものかもしれません。
どちらにせよ、実行してみるまで、希望してた動作をするプログラムなのかどうかは、ユーザーには分からないのです。

これを防ぐためには、入手経路が不審なプログラムは実行しないとか、ネットから隔離された壊れてもいいパソコン5上で実行してみて、安全が確認できてから実行するとか、一般の人にはその程度しかできません。
このタイプのトロイの木馬が存在するからこそ、インターネットで入手したファイルをむやみに実行しないということが叫ばれているんですね。
フリーウェアなどのオンラインソフトを怖がる人がいるのもこれが原因です。

今流行っているのはまさしくこのタイプですね。6

ウイルスがコンピューターの脆弱性を利用して感染し実行されるのに対して、トロイの木馬は人間の心理を利用して、入手させ、実行させます。
ほとんどのウイルス対策ソフトは、ウイルスだけでなく、トロイの木馬にも対応しています。7

しかし、自分の心理が誰かに狙われているということは、常に心の片隅に置いておいた方がいいでしょう。

  1. 大量のスペースの後ろに本当の拡張子が付く
  2. 画像ファイルに割り当てるアイコンを変更してあれば簡単にバレます。
  3. 画像ファイル以外にも、動画ファイルやフォルダなどに偽装されていることもあります。
  4. スパイウェアが仕組まれていたというのもこのタイプです。
  5. あるいはバーチャルマシン
  6. 校長先生が実行しちゃったやつ
  7. ただし、ウイルスと違い、対応が遅れることも多々あります。

コメントを残す