トロイの木馬
§1.概要
1-1. 神話
英雄ペレウスと女神テティスの結婚式に、なぜか復讐の女神エリスだけが招待されなかった。腹を立てたエリスは「一番美しい女神へ」と書いた黄金のリンゴを
宴席に投げ込んだ。これを見て「わたしこそ一番!」と言う女神が三人も出現した。ゼウスの妻、結婚と母性、貞節の女神ヘラ。戦いの神、同時に芸術等の神で
もあるギリシャ三大処女神の一人アテナ。愛と美と性と淫売の女神アフロディーテ。かくして、美人コンテストが開始されることとなった。誰を選んでも災厄が
降りかかることを怖れたゼウスは、審判にトロイの王子パリスを選ぶ。ここで三人の女神は収賄作戦に出た。ヘラは「世界の富と権力」を、アテナは「誰にも負
けることの無い武勲と名誉」を、アフロディーテは「とびきりの美人」を報酬として出した。若さゆえか、パリスは「とびきりの美人」を選ぶ。こうしてアフロ
ディーテが「一番美しい女神」の座を獲得した。話はここから拗れる。なんとパリスが求めた美女は、スパルタ王メネラオスの妃ヘレネだった。アフロディーテ
はキューピッドを使いヘレネを誑かし、パリスはヘレネを得ることとなる。トロイアの王女カッサンドラは、この事件が災厄を及ぼすことを予言するが、アポロ
ンが呪いをかけ誰もこの予言を信じる事が出来ないようにする。
スパルタ王メネラオスは、ミュケナイの王アガメムノンにこの事件を告げ、オデュッセウスとともにトロイアに赴きヘレネの引き渡しを求めた。しかし、パリス が断固拒否したためアガメムノン、メネラオス、オデュッセウスはヘレネ奪還の遠征軍を組織した。 この戦は十年に及ぶ。この間に、トロイアの勇将ヘクトルとアカイアの英雄アキレウスが斃れる。アカイア方の知将オデュッセウスは巨大な木馬を造りその内部 に兵を潜ませるという作戦を考案する。一説によれば、美女コンテストで選ばれなかったアテナの復讐とされる。この「トロイの木馬」の姦計は実行に移された が、アポロンの神官ラオコーンと王女カッサンドラに見抜かれる。ラオコーンは海蛇に絞め殺され、カッサンドラの予言はアポロンの呪いにより誰も信じること ができない定めになっていた。トロイアはこの策略にかかり、一夜で陥落する。 マルウェアのうち、この巨大な木馬の中に兵士を潜ませ内部から破壊するという挙動と同じ挙動を取るものをトロイの木馬と呼びます。 1-2. 事実 以前は知識あるコンピュータユーザがウィルスの脅威を認識していました。いまや、コンピュータを扱う大多数の人々が、このことを認識しアンチウィルスソフ トを使用しています。しかし、アンチウィルスを使用しているかなり多くのユーザがセキュリティに関する誤った認識を持たされているのではないかということ を理解していないようです。共通する間違いの一つに「アンチウィルスソフトはプログラムや定義ファイルを最新の状態に保持していれば、システムを自動的に クリーンに保持してくれる」という仮定です。アンチウィルスソフトは外部からの侵入者からシステムを守ることもしませんし、コンピュータ中の他のアプリ ケーションが安全であることも保証していません。他の間違いは、「アンチウィルスソフトはトロイ(トロイの木馬)からもシステムをクリーンにしてくれる」 という仮定です。 よく混同されます。しかし、ウィルスとトロイの木馬は別物です。だんだん境界が曖昧になってきていますが、定義上ウィルスは自分自身をコピーして拡散して いきます。生物学的意味におけるウィルスと殆ど同様の方法を用いてhost中で実行します。一方トロイの木馬は上述の神話より明らかなように、単純に他の 物を装うプログラムです。 トロイの木馬を仕込まれているゲームのデモをダウンロードし起動したとき、何も起らないことに驚くかもしれない。何も起こらないということは、ハードドラ イブに植え込まれた幾つかのプログラムを目撃すること無しに起動されたということです。多分、これらのプログラムは基本的なプログラムです。そして、何処 の誰とも知れぬ人に遠隔からハードドライブとシステムへのフルアクセスを許す不吉なプログラムなのです。この話は荒唐無稽に見えるかもしれませんが、毎日 世界の何処かのコンピュータで発生している事実なのです。気づかずにダウンロードしインストールしたものがトロイの木馬であれば、E-Mailの送信先や Web上で何をしているのかということの観察を目的とする覗き屋に対しWeb接続を確立します。 アンチウィルスソフトはトロイの木馬からシステムを守る能力は非力です。医者に行きインフルエンザの薬を貰った後、病院帰りに交通事故にあっても、インフ ルエンザの薬が役に立たないように、トロイの木馬にはトロイの木馬のためのツールが必要なのです。先述のゲームデモの話にしてもアンチウィルスはファイル をスキャンしています。しかし、アンチウィルスソフトは警告すら発しない場合があります。アンチウィルスソフトはダウンロードしたソフトをインストールし ても安全だとは言っていません。システムファイルが改竄されることは無いとも言っていません。ましてや、トロイの木馬を含んでいないとは言っていないので す。 1-3. スパイ この分類はトロイの木馬の中に"Trojan Spy"としてスパイウェアを包含しています。 『スパイ』と言う言葉は、人知れず徘徊しているミステリアスな淑女や紳士を思い出させます。MI5/MI6や、KGBや、CIAのようなスパイ活動、それ は全く別世界の話のはずでした。
コンピュータとは、インターネットとは、メールを友人に送るものであり、チャットルームで見知らぬ者とチャットすることであり、多少のオンラインショッピ ングをすることであり、銀行の収支バランスとクレジットカードの取り引きをチェックすることであり、あちこちへの支払いを済ませることであり、誰かが送っ てよこしたE-Mailに記してあるゲームをダウンロードし遊ぶ道具であるはずでした。このような純情で、とってもお上品な人々の集まるインターネットの 世界でスパイとはスパイウェアとは何を意味しているのでしょうか? 御伽噺ではなく、コンピュータとインターネットの世界では『狼が羊の衣を纏って徘徊しています』。そして、この狼どもは、『Welcome!!!!! 素 晴らしき新世界へ』というキャッチフレーズと共に、とってもお上品な人々を餌食にしています。
現実のスパイがターゲットを嗅ぎ回る様にスパイウェアもターゲットを嗅ぎ回り、マシンをインターネットに接続している間中、妨害されることも無く、休息す ることも無く、年がら年中、ターゲットに知られることなく、得た情報を逐一彼らのご主人様に報告しています。 §2.トロイの木馬の分類 これに類別されるマルウェアはユーザの認識や同意無しにアクションを実行する幅広いプログラムが含まれます。サイバー犯罪のためにデータを収集し送信した り、悪意ある目的でデータを破壊・改竄したり、コンピュータを不調にしたり、スパムメールの送信のような悪意や犯罪の目的で生贄となったマシンの能力を使 用するプログラム群です。 また、トロイの木馬のサブセットはリモートマシンやネットワークに感染したマシンを踏み台にしてダメージを与えます。これらは目的のWebサイトにDoS 攻撃を仕掛けるために生贄のマシンを利用するトロイの木馬です。 トロイの木馬は生贄のマシン上での行動で以下に分類される。
合法的管理者用ツールとバックドアの唯一の相違点はバックドアが生贄のマシンのユーザの認識や同意無しにインストールされ起動されていることです。バック ドアが一旦起動されると、ユーザの認識無しにローカルシステムを監視するようになります。 一旦、リモート管理者ユーティリティが成功裏にインストールされ起動されると、生贄のマシンは幅広い対象に対して開かれることとなります。バックドアの機 能には以下が含まれます。
同一のウィルス製作者がトロイをパックするのではなく、複数の機能のトロイを製作したような複数の目的を持つトロイもこのグループに含まれます。 §3-3.PSW Trojans(PSWトロイの木馬) トロイの木馬ファミリーのうち、生贄のマシンからパスワード(通常はシステムパスワード)を盗む物をPSW Trojans(PSWトロイの木馬)といいます。PSW Trojansはパスワードやインターネットアクセス電話番号のような機密情報を含むシステムファイルを探します。そして、トロイのボディーに組み込まれ ているメールアドレスにこの情報を送信します。この情報は『マスター』や不法なプログラムのユーザによって公開にされます。 PSWトロイの中には以下のような別のタイプの情報を盗むものもあります。
ドロッパーはペイロード ファイルの全てをインストールし実行するコードを含んでいます。
多くの場合、ペイロードは他のプログラムや少なくとも悪戯(ジョーク、ゲーム、グラフィクスのような)を含んでいます。悪戯はユーザの注意をそらすことを 目的にしていたり、ドロッパーによって発生することが無害であることを証明することを目的にしています。しかし、その現実は危険なペイロードのインストー ルするためのカモフラージュです。 ハッカーは二つの目的を実現するためにそのようなプログラムを使用します。
Notifiersは通常トロイのパック中に含まれます。トロイが生贄のマシンにインストールされることに成功したことを『マスター』に知らせるためだけ に使用されます。 §3-10.ArcBombs(アークボム) この種のトロイは感染したアーカイブファイル開くことを試みた時に、解凍を故意に妨害するためにコード化されたファイルです。トロイ爆弾は爆発した時、生 贄のマシンは遅くなるか、クラッシュするでしょう。あるいは無意味なデータでディスクが充満させられます。特に入力データがイニシャルで自動的に処理され る場合は、ArcBombはサーバーにとって特に危険です。そのような場合ArcBombはサーバーをクラッシュします。 ArcBombには三つのタイプがあります。
Botネットワーク 感染すればコンピュータを遠隔からコントロールできるウイルスであるBOTを作り、多くのコンピュータを感染させます。何千、何万というウイルス 感染コンピュータを1つのBOTネットワークとしてこっそり組織してしまうと、いわば多数のコンピュータをもつ巨大なネットワークを自分のものとすること になるのです。そこで、迷惑メールの配信業者から料金を受け取り、そのBOTネットワークで迷惑メールを中継したり、テロリストからの依頼で特定の標的に DOS攻撃を仕掛けるといった類の脅迫犯罪に協力することすら可能です。
スパルタ王メネラオスは、ミュケナイの王アガメムノンにこの事件を告げ、オデュッセウスとともにトロイアに赴きヘレネの引き渡しを求めた。しかし、パリス が断固拒否したためアガメムノン、メネラオス、オデュッセウスはヘレネ奪還の遠征軍を組織した。 この戦は十年に及ぶ。この間に、トロイアの勇将ヘクトルとアカイアの英雄アキレウスが斃れる。アカイア方の知将オデュッセウスは巨大な木馬を造りその内部 に兵を潜ませるという作戦を考案する。一説によれば、美女コンテストで選ばれなかったアテナの復讐とされる。この「トロイの木馬」の姦計は実行に移された が、アポロンの神官ラオコーンと王女カッサンドラに見抜かれる。ラオコーンは海蛇に絞め殺され、カッサンドラの予言はアポロンの呪いにより誰も信じること ができない定めになっていた。トロイアはこの策略にかかり、一夜で陥落する。 マルウェアのうち、この巨大な木馬の中に兵士を潜ませ内部から破壊するという挙動と同じ挙動を取るものをトロイの木馬と呼びます。 1-2. 事実 以前は知識あるコンピュータユーザがウィルスの脅威を認識していました。いまや、コンピュータを扱う大多数の人々が、このことを認識しアンチウィルスソフ トを使用しています。しかし、アンチウィルスを使用しているかなり多くのユーザがセキュリティに関する誤った認識を持たされているのではないかということ を理解していないようです。共通する間違いの一つに「アンチウィルスソフトはプログラムや定義ファイルを最新の状態に保持していれば、システムを自動的に クリーンに保持してくれる」という仮定です。アンチウィルスソフトは外部からの侵入者からシステムを守ることもしませんし、コンピュータ中の他のアプリ ケーションが安全であることも保証していません。他の間違いは、「アンチウィルスソフトはトロイ(トロイの木馬)からもシステムをクリーンにしてくれる」 という仮定です。 よく混同されます。しかし、ウィルスとトロイの木馬は別物です。だんだん境界が曖昧になってきていますが、定義上ウィルスは自分自身をコピーして拡散して いきます。生物学的意味におけるウィルスと殆ど同様の方法を用いてhost中で実行します。一方トロイの木馬は上述の神話より明らかなように、単純に他の 物を装うプログラムです。 トロイの木馬を仕込まれているゲームのデモをダウンロードし起動したとき、何も起らないことに驚くかもしれない。何も起こらないということは、ハードドラ イブに植え込まれた幾つかのプログラムを目撃すること無しに起動されたということです。多分、これらのプログラムは基本的なプログラムです。そして、何処 の誰とも知れぬ人に遠隔からハードドライブとシステムへのフルアクセスを許す不吉なプログラムなのです。この話は荒唐無稽に見えるかもしれませんが、毎日 世界の何処かのコンピュータで発生している事実なのです。気づかずにダウンロードしインストールしたものがトロイの木馬であれば、E-Mailの送信先や Web上で何をしているのかということの観察を目的とする覗き屋に対しWeb接続を確立します。 アンチウィルスソフトはトロイの木馬からシステムを守る能力は非力です。医者に行きインフルエンザの薬を貰った後、病院帰りに交通事故にあっても、インフ ルエンザの薬が役に立たないように、トロイの木馬にはトロイの木馬のためのツールが必要なのです。先述のゲームデモの話にしてもアンチウィルスはファイル をスキャンしています。しかし、アンチウィルスソフトは警告すら発しない場合があります。アンチウィルスソフトはダウンロードしたソフトをインストールし ても安全だとは言っていません。システムファイルが改竄されることは無いとも言っていません。ましてや、トロイの木馬を含んでいないとは言っていないので す。 1-3. スパイ この分類はトロイの木馬の中に"Trojan Spy"としてスパイウェアを包含しています。 『スパイ』と言う言葉は、人知れず徘徊しているミステリアスな淑女や紳士を思い出させます。MI5/MI6や、KGBや、CIAのようなスパイ活動、それ は全く別世界の話のはずでした。
コンピュータとは、インターネットとは、メールを友人に送るものであり、チャットルームで見知らぬ者とチャットすることであり、多少のオンラインショッピ ングをすることであり、銀行の収支バランスとクレジットカードの取り引きをチェックすることであり、あちこちへの支払いを済ませることであり、誰かが送っ てよこしたE-Mailに記してあるゲームをダウンロードし遊ぶ道具であるはずでした。このような純情で、とってもお上品な人々の集まるインターネットの 世界でスパイとはスパイウェアとは何を意味しているのでしょうか? 御伽噺ではなく、コンピュータとインターネットの世界では『狼が羊の衣を纏って徘徊しています』。そして、この狼どもは、『Welcome!!!!! 素 晴らしき新世界へ』というキャッチフレーズと共に、とってもお上品な人々を餌食にしています。
現実のスパイがターゲットを嗅ぎ回る様にスパイウェアもターゲットを嗅ぎ回り、マシンをインターネットに接続している間中、妨害されることも無く、休息す ることも無く、年がら年中、ターゲットに知られることなく、得た情報を逐一彼らのご主人様に報告しています。 §2.トロイの木馬の分類 これに類別されるマルウェアはユーザの認識や同意無しにアクションを実行する幅広いプログラムが含まれます。サイバー犯罪のためにデータを収集し送信した り、悪意ある目的でデータを破壊・改竄したり、コンピュータを不調にしたり、スパムメールの送信のような悪意や犯罪の目的で生贄となったマシンの能力を使 用するプログラム群です。 また、トロイの木馬のサブセットはリモートマシンやネットワークに感染したマシンを踏み台にしてダメージを与えます。これらは目的のWebサイトにDoS 攻撃を仕掛けるために生贄のマシンを利用するトロイの木馬です。 トロイの木馬は生贄のマシン上での行動で以下に分類される。
- * Backdoors(バックドア)
- * General Trojans(一般的トロイ)
- * PSW Trojans(PSWトロイ)
- * Trojan Clickers(クリッカー)
- * Trojan Downloaders(ダウンローダー)
- * Trojan Droppers(ドロッパー)
- * Trojan Proxies(プロキシ)
- * Trojan Spies(スパイ)
- * Trojan Notifiers(ノーティファイア)
- * ArcBombs (アークボム)
合法的管理者用ツールとバックドアの唯一の相違点はバックドアが生贄のマシンのユーザの認識や同意無しにインストールされ起動されていることです。バック ドアが一旦起動されると、ユーザの認識無しにローカルシステムを監視するようになります。 一旦、リモート管理者ユーティリティが成功裏にインストールされ起動されると、生贄のマシンは幅広い対象に対して開かれることとなります。バックドアの機 能には以下が含まれます。
- * ファイルの送受信
- * ファイルの起動と削除
- * 実行ファイル
- * 警告表示
- * データ削除
- * マシンの再起動
同一のウィルス製作者がトロイをパックするのではなく、複数の機能のトロイを製作したような複数の目的を持つトロイもこのグループに含まれます。 §3-3.PSW Trojans(PSWトロイの木馬) トロイの木馬ファミリーのうち、生贄のマシンからパスワード(通常はシステムパスワード)を盗む物をPSW Trojans(PSWトロイの木馬)といいます。PSW Trojansはパスワードやインターネットアクセス電話番号のような機密情報を含むシステムファイルを探します。そして、トロイのボディーに組み込まれ ているメールアドレスにこの情報を送信します。この情報は『マスター』や不法なプログラムのユーザによって公開にされます。 PSWトロイの中には以下のような別のタイプの情報を盗むものもあります。
- * システムの詳細(メモリ、ディスクスペース、OSの詳細)
- * 使用しているメールソフト
- * IP-address
- * 登録情報の詳細
- * オンラインゲームのパスワード
- * 広告目的のため指定のサイトのヒットカウントを上げる
- * 指定のサーバーやサイトにDoS攻撃を仕掛ける
- * そのマシンを他のマルウェア[ウィルスやトロイ]で攻撃させるため感染したりソースに生贄のマシンを誘導する
| Main file contains the dropper payload |
| File 1 first payload |
| File 2 second payload |
| ... as many files as the coder chooses to include |
多くの場合、ペイロードは他のプログラムや少なくとも悪戯(ジョーク、ゲーム、グラフィクスのような)を含んでいます。悪戯はユーザの注意をそらすことを 目的にしていたり、ドロッパーによって発生することが無害であることを証明することを目的にしています。しかし、その現実は危険なペイロードのインストー ルするためのカモフラージュです。 ハッカーは二つの目的を実現するためにそのようなプログラムを使用します。
- * 他のトロイやウィルスのインストールを隠す、もしくはマスクするため。
- * 全てのコンポーネントの解析が出来ないようにしてアンチウィルスを欺くため。
- * キーストローク
- * スクリーンショット
- * アクティブアプリケーションのログ
- * その他ユーザアクション
Notifiersは通常トロイのパック中に含まれます。トロイが生贄のマシンにインストールされることに成功したことを『マスター』に知らせるためだけ に使用されます。 §3-10.ArcBombs(アークボム) この種のトロイは感染したアーカイブファイル開くことを試みた時に、解凍を故意に妨害するためにコード化されたファイルです。トロイ爆弾は爆発した時、生 贄のマシンは遅くなるか、クラッシュするでしょう。あるいは無意味なデータでディスクが充満させられます。特に入力データがイニシャルで自動的に処理され る場合は、ArcBombはサーバーにとって特に危険です。そのような場合ArcBombはサーバーをクラッシュします。 ArcBombには三つのタイプがあります。
- アーカイブ中の不正ヘッダ
- データの繰り返し
- アーカイブ中の一連の同じファイルです。
Botネットワーク 感染すればコンピュータを遠隔からコントロールできるウイルスであるBOTを作り、多くのコンピュータを感染させます。何千、何万というウイルス 感染コンピュータを1つのBOTネットワークとしてこっそり組織してしまうと、いわば多数のコンピュータをもつ巨大なネットワークを自分のものとすること になるのです。そこで、迷惑メールの配信業者から料金を受け取り、そのBOTネットワークで迷惑メールを中継したり、テロリストからの依頼で特定の標的に DOS攻撃を仕掛けるといった類の脅迫犯罪に協力することすら可能です。