2005年10月22日 - トロイの木馬(Trojan Hourse)・RATとは
トロイ・トロイの木馬とは
トロイ(trojan)は極めて広範に用いられる用語なんですが。
この場ではRAT(リモートアクセストロイ)もしくはバックドアトロイ、また監視機能を特化させたマルウェアで一定のタイミングごとにメール・IMを用いて犯人へ被害者の情報なりパソコンの操作履歴を送信するようなものとして扱い、話を進めていきます。
具体的なトロイの名称を紹介したい所ではありますが、それはこの場では避けさせていただきたく。
何故かと言えばですね、これらはGoogle検索であっけなく配布サイトを発見でき、ダウンロードできるものではありますが。わざわざ犯罪に間接的に加担するのは避けたい所なのでして。 そしてそれらの機能を一つ一つ詳細にレポートするだけの経験は、こちらには備わっておらず。
多くのトロイがネット上にて配布されている現状は、大変寒いものがあります。これらは大変容易に取り扱え、マニュアルの英語をチャキチャキと読んで理解できれば誰でも利用できます。
これらは「サーバー」つまり被害者のパソコンにインストールするものと、「クライアント」と呼ばれる被害者のパソコンを操作するものの2つで構成されます。
「サーバー」は簡単にカスタマイズでき、情報を垂れ流す先のメールアドレスなりIMのアカウントを指定したりするのは容易でして。
「クライアント」、これは直接相手のパソコンにネットワーク経由で接続し操作するために利用します。
またクライアントを利用せずにサーバーのみを配布し、捨てメアドに着々とパスワードなどを遅らせるなどの利用法もあります。取得したい情報が限定されているのであれば、直接相手のパソコンに接続せずとも、目的のデータのみをいずこかへ送信させた方がよりリスクが少ないんでしょう。
大体、感染させた相手のパソコンに外部から接続できないようなネットワーク環境もあるんだから。
以前知人のパソコンが何かに感染しているので何とかしてもらいたいと呼び出され、調べたんですが。本人が利用した経験の無いIMなりが勝手にインストールされており、大変衝撃を受けました。
結局このトロイはどれが本体なり関連するマルウェアなのかわからず、アンチウイルスソフトによるスキャンの結果もパッとせず。仕方無くリカバリーしましたが。
知人の話の受け売りなんですが。
アンチウイルスソフトにより検出できないトロイは、実際にはかなり多数存在するそうな。何故かと言えば、メジャーなトロイを利用する攻撃者だけではなく、極めて限定された小数のターゲットのみを対象とする「オリジナル」なトロイが複数存在し、それらはアンチウイルスソフトメーカーに検体として提出される機会が少ないのだそうで。
これらを検出するための方策としては、トロイの件出力が高い駆除ツールの利用などが考えれられます。
またはパーソナルファイアーウォール(Personal Fire Wall)なるソフトウェアファイアーウォール製品を利用すれば、何かが勝手に外部に接続しているのか否かを見つけられる可能性があります。
ただこの手のセキュリティ対策ソフトのようなものって、感染後ではなく感染前に予防目的で利用するべきで。その点でどこまで一般的に有効なのか、判別がつきません。
トロイ(Trojan)とボット(Bot)
ここでのトロイとは、リモートアクセストロイを指すんですが。つまり外部より感染者のパソコンを操作できるようなマルウェアです。
これとBotの区別は、どうも明瞭にはできません。
従来はトロイに感染したユーザーのパソコンを「ゾンビ」などと呼称したんですが。最近ではこのようなゾンビは「Bot」と呼称し、これらをまとめて「Bot Network」と呼びます。
ボットについては後日改めて紹介いたします。
トロイ被害の実態は水面下
秋葉原などを歩けば、盗聴器などが店頭に平然と並んで販売されているのを目にし。そして雑誌の広告などにもよく掲載されており。そしてこれらの被害についての話は、よく書籍なり何かの映画として目にしますが。
では多少舞台を変えた、このような覗き見目的の悪質なプログラムの話となるとですね。その被害の実態をレポートした話を未だ見た記憶が無いし、一般には知名度がかなり低いような気が。
マスメーリングなどにより大量感染するようなウイルス(ワーム)は、よくニュースになりますが。個別の特定の人物もしくは特定企業の特定部署などを狙うトロイの利用は、あまりニュースになる機会はありません。これらによる被害の話を新聞などで見た記憶は、全くありません。
このような「監視ツール」の被害者は、それほど表に出てこないだけであり。実態としてはかなり多いんではないでしょうか。
実際にこれらの悪質なプログラムは驚くほど容易に手に入り。そしてインストールしてしまえば簡単に利用できるんですね。最近ではオンラインゲームを利用するユーザーのアカウントとパスワードを抜く目的のトロイが、広く利用されているとの話があります。
またどなたかを監視する目的、更には企業スパイなりが利用しているとの話も。
このような脅威は、割と身近な問題として受け止め、備えるべきなんでしょう。
関連記事
トロイの木馬(trojan horse)による監視と覗き見
マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-09-03 他人を覗き見する行為 - トロイなどを利用した監視(http://d.hatena.ne.jp/LucaLuca/20050903)を修正・加筆し移転後、2つのブログエントリへ分離したものです。
