トロイの木馬とは、正体を偽って(善意のプログラムのように見せかけておいて)コンピュータへ侵入し、データ消去やファイルの外部流出、他のコンピュータへの攻撃、ネットワーク経由でシステムを制御可能にする裏口(バックドア)を作ったりするなどの悪意のあるプログラムの総称を言います。このウィルスの名前は、ギリシャ神話に登場する「トロイの木馬」に由来し、トロイア戦争(Trojan
War)において、敵を欺くためにギリシャ連合軍が戦場に残していった、内部が空洞になった大きな木馬のことです。この木馬の中にギリシャ軍の兵士が潜んでいて、夜になると木馬から抜け出して城の門を内部から開け、城外から味方の軍勢を引き入れたとされています。その結果,トロイア軍は敗北してしまう、というありきたりなお話なのですが、感心している場合ではありません。もし、コンピュータ内にトロイの木馬を侵入させてしまったら、あなたのコンピュータはクラッカーの意のままに操られてしまいます。ウィルスよりもはるかに脅威を感じるもの、それがトロイの木馬なのです。ここでは、「トロイの木馬」の特徴について解説していきます。
■トロイの特徴
①便利なプログラムであるかのように見せかけ振舞うが、その背後で破壊活動を行ったり、ユーザーの個人情報を盗んだりする。
②コンピュータ内に侵入し、スパイとして働くタイプ(バックドア)。
◎バックドア
一般にトロイといえば前者のことを指し、ゲームやオンラインフリーソフトなどにトロイを潜ませ、実行した途端、自動的にコンピュータ内に侵入するようになっています。主に破壊活動を中心としたプログラムが多く、特定の日に実行されるような仕掛けになっています。そして、最近の主流が後者の「
バックドア」タイプで、バックドアを作ることに成功すると、あとは悠々と標的のコンピュータに侵入し、遠隔操作などを行うことができるようになります。もし、バックドアタイプのトロイに侵入されたら、ファイルの覗き見、パスワードの漏洩、踏み台としてほかのコンピュータへの侵入に使われたりします。また、トロイの木馬の中には「トロイの木馬の除去ソフトウェア」と称しながら、実はそのソフトウェア自体が「そのトロイの木馬そのもの」だったという事実もあるくらいです。
トロイの木馬はウイルスとは異なり、無数に増殖するようなこともなく、電子メールを勝手に送信したりもしません。必ずしもコンピューターのパフォーマンスを妨害するというわけでもなく、アンチウイルス・プログラムでも確実に検出できる保証はありません。したがって、感染したユーザーの多くは、自分のマシンにトロイの木馬が潜んでいるとは夢にも思わないのです。
■トロイの木馬の種類
現在、有名なものとしては「
BackOrifice」「
Subseven(Sub7)」「
NetBus」などがあり、Macintoshでは、「Takedown」、「WRT」などのバックドアが存在します。これらのツールはコンピュータを遠隔操作することが可能で、レジストリの編集からファイル操作、盗聴など、自分のコンピュータでできることは相手側もほぼ何でもできるようになり、さらにはCD-ROMトレイの開閉、スピーカーを鳴らす、モニタのオン・オフ、コンピュータのシャットダウンなどのハードウェア的な操作まで行えるようになります。もう、ここまでくると幽霊です。「悪意のある第3者」にアドミニストレーター権限を握られたときの被害は計り知れないものがあります。しかも、これらのツールは公式サイトでいつでもダウンロードすることが可能であったため(今となっては公式サイトは存在しない?ようですが)、かなり普及したトロイの木馬なのではないでしょうか?今でも一般に流出はしていますが、ウィルスに感染していたりすることがほとんどなので気安くダウンロードしようとは考えないようにしてください。他人を攻撃しようと思って怪しげなサイトをうろついていると自分自身が痛い目に遭うことになります(←自分で経験しました)。その他にも、ファイル共有ソフト(P2P)でダウンロードしたファイルなどにこれらトロイのプログラムが含まれている可能性も大いにありますので利用している方は注意したいところです。
◎BackOrifice2000
ハッカー集団の「Cult of the Dead Cow」が開発・配布しているクラッキングツールです。侵入のきっかけは「umger32.exe」(名前が変更されている可能性もあります)をターゲットのコンピュータ内で起動させると、特定の悪意ある第3者は、コンピュータのIPアドレスを操作プログラムに入力するだけで、そのパソコンを意のままに遠隔操作できるようになります。また、相手のIPアドレスを自動的に取得するような機能も付属しています。
◎Subseven
Subsevenは、サーバプログラムをトロイの木馬としてターゲットコンピュータに送り込みます。SubSevenクライアントを起動し、「IP」にサーバプログラムの仕込まれたコンピュータのIPアドレスを入力して、あとはコネクトボタンを押すだけで接続が完了し、遠隔操作が可能になります。トロイの中でも高機能、且つGUI化したインターフェスのため、さほどスキルのないものでも扱うことができてしまうという点でその筋の方には非常に評価が高い木馬型プログラムです。
なお、Subsevenの脅威についてはZDNetの「
完全なるコントロールを可能にするSubSeven」に詳しくかかれているので参考にしてください。その恐ろしさが十分に理解してもらえるはずです。
◎NetBus
目標となるマシンに「NetBusサーバ」を送り込み、クライアントプログラムから目標のマシンを操作することができます。「BackOrifice2000」とほぼ同様の操作をすることができ、リアルタイムにキータッチをモニタリングするなどの機能や使い勝手の良さが抜群で非常に人気のあるハッキングツールです。現在ではシェアウェアとなっているようです。ツリーで相手のコンピュータのデータ構造を表示することができ、データの抜き取りなどもすぐにできるようになっています。サーバとクライアントのやり取りにはTCP/IPが使われており、「12345」「12346」「20034」のいずれかのポートを利用するので、これらのポートの利用状況から検出することも可能です。ほとんどのアンチウィルスソフトがNetBusを外部からの侵入として検出するようになっているので、アンチウィルスソフトの導入は必須であるといえます。
■トロイの木馬対策
トロイの侵入経路はただひとつ、インターネット(外部)からしかあり得ません。電子メールの添付ファイルやWebサイトからのダウンロードファイルが主な感染経路となっているので、外部から入ってきたものは全て疑う習慣を身に付けてください。特に、最近では怪しい添付ファイルをすぐに開く方はいないでしょうが、そういった怪しい添付ファイルを開く前には必ず、ウィルスチェックをかけるようにしてください。とはいっても、怪しいファイルであるならば迷わず、削除してしまった方が堅実です。また、市販のアンチウィルスソフトは必ず用意しておくことが必要です。ウィルスチェッカーでは、ほとんどのトロイを発見し、駆除することができるようになっています。ただし、気をつけたいのはアンチウィルスソフトで全てのトロイを発見することができるわけではなく、特に自作のトロイなどに侵入されてしまった場合などは、ウィルスチェッカーも対応のしようがありません。そういった危険性も考慮に入れて、ルータでLAN側からWAN側への不必要なデータパケットの流出を防ぐように設定しておく必要もあります。また、パーソナルファイアーウォールを導入して、不必要なデータが外部に流出していないかどうかを常に監視し、どのようなプログラムが外部へと接続しようとしたのか把握しつつ、それに対してすぐに対処できるようにしておくことが大切です。最も確実で安全な方法はシステムのクリーンインストールで最終手段として実行したいところです。トロイの木馬は、極端な話、自らのデータのみならず、事業や人生をも破綻させかねない危険度大のウィルスです。そうならないためにも、セキュリティ対策は決して怠らないようにしてください。
サーバー構築
