トロイの木馬・・・。これにやられたら、貴方の恥ずかしい性癖やコレクション、幼児趣味などのプライベートな部分までも犯されます。さらには、貴方の行動を調査することもできます。例として、電子銀行口座からお金を盗んだり、あなたの彼女をストーカーあげくに乱暴して殺したりします。あなたの人生をめちゃくちゃにしたあげくに自殺に追い込む事も考えられます。怖いですね。(´ι _` )
定義?
トロイの木馬とは、ある処理を実行するように見せかけておきつつ、実は異なる処理を行うプログラム。危害のないものであるかのように装ってユーザのマシンに入り込み破壊活動を行う。
語源は、古代ギリシア時代、現在のトルコ領内にあったトロイをギリシア軍が攻めましたが、トロイの城の堅い守りに阻まれ巨大な木馬を残して撤退しました。トロイ側は勝利したと思い、戦利品として木馬を城内に引き入れました。しかしその夜、巨大な木馬の内部に隠れていたギリシア軍の伏兵が木馬の中から出てきて城内にギリシア軍を引き入れてしまい、結果的にトロイは破れて滅亡しました。見せかけの撤退と木馬はギリシア側の奇策だったというわけです。ちなみにこのエピソードは長らく神話の世界の伝説と思われていましたが、この話に魅せられたドイツの考古学者シュリーマンが破れたトロイの遺跡を発見、実際の出来事だったことが証明されています。
○ウイルスとの違い
ウイルス、トロイの木馬の両方とも他のプログラムと同様、人によって書かれているプログラムですが、故意に何らかの被害をもたらす意図や自己表現の為に書かれている点が大きく異なります。感染或いは侵入の方法はさまざまですが、大抵の場合、一見無害なプログラムの中に隠されており、それらのプログラムを知らずに実行すると、ユーザの目に触れることなく侵入、或いは感染するように設計されています。メールの添付書類として送られてくる画像、ゲーム等一見、無害なファイルにもこれら破壊性を秘めるプログラムが悪意を持って仕組まれている可能性があります。ウイルスは主にユーザがファイルやディスクを開いたときに、自身を複製し、感染の範囲を広めていきます。すなわち一度感染すると、あとは加速度的なスピードでその破壊的な病原菌を広め、あなたのコンピュータを蝕んで行きます。コンピュータウイルスは故意に人の手によって作成されているので、その種類もさまざまなら、破壊活動の内容もまちまちです。例えば、コンピュータデータの破壊等、一切行わず画面上にメッセージを表示するのもあれば、有名なチェルノブイリ ウイルスのようにソフトウェアのみならずハードウェアにまで破壊を行うものもあります。現在まで、ウイルスにはインターネット経由でコンピュータ内に保存されているデータを自動転送したり、他のシステムからのアクセスを無許可で許可するタイプのものは発見されていませんが、ハッカーの技術の向上と共に、これら情報の漏洩を幇助するタイプの新種ウイルス出現も懸念されています。これらウイルスに対応すべく多く市場に出回っているウイルス防止ソフトウェアは全てのプログラムを実行前に検査し、現在までに報告されているウイルスが持つのと同一、或いは相似したコードが存在するか否かをチェックします。一方、トロイの木馬は一見あなたに有益な機能を提供すると見せかけておいて、実はバックグラウンドであなたに気付かれずに、ウイルスを感染させたり、あなたのコンピュータを遠隔地から操作したり、あなたのファイルを盗んでインターネット上で転送したりする機能を持ちます。使用には何らかの手段で相手のコンピュータにインストールしなければなりませんが、一旦インストールさせれば、こちら(クライアント)からさまざまな操作を相手(サーバー)のコンピュータに対して行うことが出来ます。ウイルスと同様、トロイの木馬形式のプログラムは現在までに多数作成されており、その機能は多種多様です。ウイルス防止ソフトの一部にはウイルスの発見と同様に、トロイの木馬プログラムに対しても有効ですが、遠隔地からあなたのコンピュータを操るタイプのものに対しては特定の侵入プログラムに特化したウイルス防止ソフトを利用する方法がより効果的です。
○感染経路
ユーザーがダウンロードした、一見無害のプログラムを実行したり、ウェブサイトやHTML形式の電子メールの悪質なリンクをクリックしたりすると、Back Orifice2000やSubSevenのようなトロイの木馬プログラムがシステムに潜入してしまいます。罠が仕掛けられるのは通常、スクリーンセーバー、ゲーム、音楽ファイル、ウェブページ、電子メールといったもので、これらに隠れてシステムに潜入します。
○トロイの木馬のさまざまな動き
ファイルやシステムを破壊
起動すると、すぐになんらかの破壊活動を行って終了するものです。一般的に「破壊プログラム」と呼ばれています。「破壊活動」といっても被害が微小のものから甚大なものまでさまざまありますが、最も恐ろしいのはファイルを削除したりハードディスクをフォーマットしてしまったりするものです。
Windowsが起動しなくなったりすべてのデータが失われたりすることもあります。
自己増殖
起動すると自分のコピーを作成するものです。この活動をするものは特に「ワーム」と呼ばれます。大きく分けてネットワーク上の他のマシンに自分のファイルをコピーするものと、メールに自分を添付してばらまくものがあります。メールを使用するものは、短期間で広範囲に拡散してしまうため、大きな被害を及ぼすことがあります。
リモートコントロールする
他人のマシンを外部からリモートコントロールして、パスワードなどのデータを盗んだりする活動をいいます。他人のマシンにトロイの木馬としてプログラムを埋め込み、対応するプログラムを使って自分のマシンから操作するのです。
他人のマシンを攻撃する
専用のプログラムを使用して他人のマシンに大量にデータを送信し、機能を麻痺させてしまう攻撃です。たとえば、1日に何万通ものメールを送信させて、受信したメールサーバをダウンさせるなどです。このような攻撃を一般的に「DoS(Denial of Service:サービスの無効化)攻撃」、DoS攻撃を行うプログラムを「DoSツール」と呼んでいます。このDoSツールがトロイの木馬として侵入すると、自分のマシンから勝手にどこかを攻撃してしまうことになります。さらに、他人のマシンに忍び込ませたプログラムをリモートコントロールして自分のマシン以外からDoS攻撃が行えるようにした「DDoS(Distributed Denial of Service:分散型サービス拒否)」という攻撃方法もあります。リモコン操作ができるDoSツールをトロイの木馬として忍び込ませ、外部からまったく関係ない他人のマシンを踏み台にして攻撃するのです。自分がまったく知らないうちに悪事に荷担させられてしまうことになります。
やはり、この中で人気があるのは、リモートコントロール(遠隔操作)のトロイの木馬です。
おもな被害は
1.Cd-Romトレイの開閉、画面上のカーサの移動
2.ローカル或いはネットワーク上のファイルの全てを読み込み、修正、或いは削除。また、これらのファイルをインターネット上の全世界に向けて共 有が可能
3.作業中画面の盗み見
4.パスワードを含むあなたがキーボードから入力した内容の全ての履歴を作成、それらのパスワードを使ってあなたが日常使用するサーバーへの アクセスが可能
トロイの木馬攻撃はターゲットになるコンピュータにそれ自体を送りこむ。手段としては
1.ゲームやセキュリティ アップデート等と謳い、不特定多数が購読するニュースグループ等で配布
2.不特定多数に送られるSPAMと呼ばれるメーリングリスト経由で配布
3.ウェブ上でプログラムを配布(ダウンロード等)
4.ICQ,
AIM, IRC, 等のインスタントチャットプログラム経由で送信
5.AOLなどの大手ISPを騙り、トロイの木馬プログラム付きメールを送りつけ、「ソフトウェアの更新・バージョンアップである」等とし実行を促す
攻撃の次のステップはインターネットを無作為にスキャン、侵入できる可能性のあるセキュリティの甘いマシンを探し出すことです。↑で述べられた方法ではハッカーは何処に侵入に成功したコンピュータがあるのか解らないので、次にインターネットを片っ端からスキャンして侵入に成功したコンピュータを探し出す必要があるのです。
ファイアーウォール(パーソナルファイアーウォール)を使用している場合、頻繁に"probe(調査)"と呼ばれるコンタクトがハッカーやクラッカーより送られていますが、このコンピュータが侵入に成功させていなければ、これらプローブは実質的に何の被害も与えるものでは有りません。これは、泥棒が空き巣に入る前にドアをたたいて中の様子を伺っているのと同じ状態なので、これ自体は攻撃に値せず侵入することも出来ないのです。これらハッカーによるプローブは無作為に行われるので、攻撃対象とは到底考えられないごく一般の会社のサーバや個人のPC対しても行われています。
↓はこれらのプローブにさまざまなハッカー用ツールが使用するポートの一覧である。あなたのマシンにこれらのトロイの木馬形式のプログラムが侵入しているか確かめるには、 "netstat -a"というプログラムをあなたのマシン上で実行し、外部からの接続を"listening(リスニング)" しているポートをチェックせばOKです。
| ポート番号 | トロイの木馬プログラム | 日本語名 |
| 555 | phAse zero | フェーズゼロ |
| 1243 | Sub-7, SubSeven | サブセブン |
| 3129 | Masters Paradise | マスターズパラダイス |
| 6670 | DeepThroat | ディープスロート |
| 6711 | Sub-7, SubSeven | サブセブン |
| 6969 | GateCrasher | ゲートクラッシャー |
| 21544 | GirlFriend | ガールフレンド |
| 12345 | NetBus | ネットバス |
| 23456 | EvilFtp | イーブルFTP |
| 27374 | Sub-7, SubSeven | サブセブン |
| 30100 | NetSphere | ネットスフィア |
| 31789 | Hack'a'Tack | ハックアタック |
| 31337 | BackOrifice, その他多数 | バックオリフィス |
| 50505 | Sockets de Troie | ソケット デ トロ―ジュ |
○Back Orifice2000(TROJ_BO2K)
クライアント・サーバ型プログラムとなっており、サーバ・モジュールが実行されたマシンを、クライアント・モジュールをもつ攻撃者がインターネット経由で遠隔制御することを可能にすします。ファイル、レジストリ、映像、キーボードシステムの完全な制御や、デスクトップ、モニター、スピーカー、CD-ROM、スタートボタン、デスクトップのアイコン、起動中のプロセス、開かれているウインドウなどを改ざんすることができるみたいです。
Back Orifice2000の動き
サーバープログラムが実行されると、..\Windows\Systemディレクトリの中に自分自身の複製である“UMGR32~1.EXE”というファイルを作成します。さらには、このとき、マシン起動時に毎回プログラムが実行されるように、レジストリへ“UMGR32.EXE”というキーを登録し、マシンを起動する度に、実行されるように設定してしまいます。実行中は削除できません。TROJ_BO2Kは、ステルス機能を持っており、タスクが実行中でもWindowsのタスクマネージャー等でそのプロセスを確認することができないように設定することができるます。さらには、Windows\system\ディレクトリの中にサーバープログラムの複製ファイルを作成してしまいます。
Back Orifice2000の対処
レジストリのキーを削除する。\\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices にTROJ_BO2Kのファイルが登録されているので、そのキーを削除する
TROJ_BO2Kのプログラムファイルを検索・削除するTOOLを使用する。
不明なプログラムを安易に実行しない(server.exe)
安易なダウンロードは避ける
HDDフォーマットしてOSのインストールからやり直す
○NetBus
Back Orificeツールと同様に相手側に「Patch.exe」というプログラムを仕掛けておくことで、あとはIPアドレスさえ分かれば簡単に遠隔操作できてしまうというツールです。Windowsに感染するトロイの木馬の一つ。サーバとクライアントのやり取りにはTCP/IPが使われており、「12345」「12346」「20034」のいずれかのポートを利用するので、これらのポートの利用状況から検出することも可能。現在ではパソコンの遠隔管理用にシェアウェアとして販売されており、NetBus Proバージョン2.1では仕様が変更され、初期設定では隠しファイル属性は設定されていません。これにより、正規のリモートコントロールツールとして使用可能になりましたがクラッキングツールとして悪用されていた過去があるため、イメージは回復していないです。今でもほとんどのアンチウィルスソフトがNetBusを外部からの侵入として検出しいます。サーバとクライアントのやり取りにはTCP/IPが使われており、「12345」「12346」「20034」のいずれかのポートを利用するので、これらのポートの利用状況から検出することも可能。
NetBusの特徴
1. 一回あるいは間隔(秒数を設定)をあけたCD-ROMトレイのオープン/クローズ ;
2.オプショナルBMPあるいはJPGイメージの表示 (充分なパスが用意されています);
3. マウスボタンのスワップ -
右ボタンは左ボタンの機能をもちます。また、その逆も可能です;
4. オプショナルアプリケーションの起動 (充分なパスが用意されています);
5.
オプショナルWAVサウンドファイルの実行 (充分なパスが用意されています);
6. マウスのオプション座標への位置付け;
7.
スクリーン上にメッセージダイアログを表示、及びリモートシステム上に利用者からの返答を許可します;
8.
Windowsの停止、再起動、ログオフ、パワーオフ;
9. デフォルトウェブ-ブラウザ内のオプショナルURLの実行;
10.
標的とするコンピュータ上でアプリケーションを実行及びキーストロークを送信;
11. リモートシステム上のキーストロークの傍受およびファイルへの保存;
12. リモートコンピュータからスクリーンショットを取得;
13. 標的とするコンピュータに関する情報の返信;
14.
標的とするコンピュータへ全ファイルをアップロードまたはNetBusサーバーパーツの更新;
15. 音量の増減;
16.
マイクロフォンがとらえた音の記録 - リモートコンピュータが設置されている部屋で何がおこなわれているか知るためです;
17.
キーが押されるたびにクリック音を鳴らします;
18. 標的とするシステムから全ファイルをダウンロードおよび削除;
19.
リモートシステムキーボード上の特定のキーをブロッキング;
20. リモートサーバーのパスワード保護管理;
21.
リモートシステム上のwindowsの表示、停止及びフォーカス
NetBusの対処
現在ではほとんどのアンチウイルスソフトが対応しています。Back Orifice2000の対処と同じように、不明なプログラムを安易に実行しない、安易なダウンロードは避けるなど。