トロイの木馬を簡単に言うと？

このマルウェアを日常生活のたとえ話で説明すると、「親切な人からもらったと思った贈り物の箱を開けたら、実は泥棒が隠れていて、家の中の貴重品を盗んだり、勝手に家の合鍵を作ったりする」ようなものです。
例えば、無料の便利な家計簿アプリだと思ってダウンロードしたものが、実は裏でこっそりと銀行のパスワードを記録していたり、スマホの電話帳を盗み見ていたりするようなものです。表向きは役に立つツールのように見えますが、裏では悪意のある動作をしているのが特徴です。
別の例で説明すると、トロイの木馬は「変装した詐欺師」のようなものです。宅配業者や電気の点検員を装って家に入り込み、住人が気づかない間に貴重品を物色したり、合鍵を作ったりします。住人は「正規の業者」だと思い込んでいるため、疑うことなく家に招き入れてしまうのです。
パソコンやスマホは「家」、トロイの木馬は「招き入れてしまった泥棒」、そして個人情報や重要なデータは「家の中の貴重品」と考えると分かりやすいでしょう。一度家に入れてしまうと、泥棒は自由に動き回れるようになってしまうため、最初から入れないことが何より大切なのです。
さらに厄介なのは、この「泥棒」は静かに活動することです。普通の泥棒のように物を荒らしたり、大きな音を立てたりしません。住人が普通に生活している間も、こっそりと情報を盗み続け、時には他の泥棒仲間を呼び込む準備をしています。これが、トロイの木馬がマルウェア感染の中でも特に発見が難しい理由です。

2025年の日本における被害状況

IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2025」によると、ランサムウェア攻撃が5年連続で1位となっており、システムの脆弱性を突いた攻撃が3位にランクインしています。これらの攻撃の多くは、トロイの木馬が最初の侵入口となっています。IPAのサイバーセキュリティ相談窓口には2024年第2四半期だけで244件の相談が寄せられ、そのうちマルウェア感染が12件、ランサムウェア感染が7件報告されています。
特に注目すべきは、パソコン関連の被害が過去3ヶ月で900%も増加しており、Windows環境での被害が急増している点です。これは、リモートワークの普及により、セキュリティ対策が不十分な個人のパソコンが標的になっているためと考えられます。端末の脅威として、企業が管理できない「シャドーIT」環境でのトロイの木馬感染が深刻な問題となっています。
警察庁の「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、企業・団体等におけるランサムウェア被害の報告件数は103件と、前年同期比で約14%増加しています。これらの被害の約60%は、トロイの木馬による初期侵入から始まっていることが判明しています。

最新の攻撃トレンド

2025年における最新のトレンドとして、以下のような新しい手口が確認されています：

1. AI生成型トロイの木馬

攻撃者がAIを使用して、ターゲット企業や個人に合わせてカスタマイズされたトロイの木馬を自動生成する手法が増加しています。これにより、従来の署名ベースの検出方法では発見が困難になっています。

2. サプライチェーン経由の侵入

正規のソフトウェアアップデートや、信頼できるベンダーからのツールに偽装したトロイの木馬が増えています。2024年には、大手IT企業のアップデートサーバーが侵害され、数千社に影響を与えた事例が報告されています。

3. クラウドサービスを悪用した配布

GoogleドライブやDropboxなどの正規のクラウドサービスを使ってトロイの木馬を配布する手法が増加しています。これらのサービスはセキュリティソフトからも信頼されているため、検知を回避しやすくなっています。

発生する直接的被害

1. 金銭的損失

パスワード窃盗型と呼ばれるタイプは、Webの閲覧履歴を監視して、クレジットカードの情報やネットバンキングのID・パスワードを盗み、攻撃者に送信します。これにより、銀行口座から不正送金されたり、クレジットカードが不正利用されたりする被害が発生します。
日本サイバー犯罪対策センター（JC3）の報告によると、2024年のインターネットバンキングに係る不正送金被害は、発生件数が5,147件、被害額は約80.1億円に上っています。これらの被害の多くは、トロイの木馬によるID・パスワードの窃取が原因となっています。特に法人口座の被害が深刻で、1件あたりの平均被害額は約2,000万円に達しています。
バンキング型トロイの木馬は、正規の銀行サイトにアクセスした際に、偽のログイン画面を表示する「Webインジェクション」という手法を使います。ユーザーは本物のサイトだと思い込んで認証情報を入力しますが、その情報はすべて攻撃者に送信されてしまいます。最新の手口では、ワンタイムパスワードをリアルタイムで中継する機能も備えており、二要素認証も突破されてしまうケースが増えています。

2. データ流出

バックドアを通じて、個人情報や機密情報が外部に送信される被害が発生します。長期間にわたって被害に遭っていることに気づかず、大量の情報が流出し続けることも珍しくありません。企業の場合、顧客情報や取引先情報、技術情報などが流出すると、莫大な賠償責任が発生する可能性があります。
2024年に発生した大手製造業での事例では、トロイの木馬によって約3ヶ月間にわたって設計図面や顧客リストが流出し続け、最終的に10万件以上の機密データが盗まれました。被害総額は、直接的な損失だけで5億円、ブランドイメージの毀損を含めると数十億円規模に達したと推定されています。
情報窃取型のトロイの木馬は、以下のような情報を標的にします：
- 個人識別情報（氏名、住所、電話番号、メールアドレス）
- 金融情報（クレジットカード番号、銀行口座情報）
- 認証情報（各種サービスのID・パスワード）
- 企業機密（顧客データベース、製品設計図、営業秘密）
- 通信内容（メール、チャット、SNSのメッセージ）

3. システム破壊

端末内に保存されていたデータを破壊したり、改ざんしたりする種類もあります。ワイパー型と呼ばれるトロイの木馬は、ハードディスク上のデータを完全に消去し、システムを起動不能にします。ランサムウェアのようにデータを不正に暗号化し、データの復号と引き換えに身代金を要求するケースもあります。
破壊型トロイの木馬による被害は、単なるデータ消失にとどまりません。企業の基幹システムが破壊された場合、業務が完全に停止し、復旧までに数週間から数ヶ月かかることもあります。2024年に医療機関で発生した事例では、患者データベースが破壊され、約1ヶ月間にわたって診療に支障が生じました。

発生する間接的被害

1. ビジネス機会の損失

感染したシステムの復旧には時間がかかります。その間、業務が停止したり、遅延したりすることで、重要な商談や契約の機会を逃してしまう可能性があります。マルウェア感染による端末の脅威は、ビジネスの継続性に深刻な影響を与えます。
ある中小企業の事例では、トロイの木馬感染により受注システムが3日間停止し、その間に競合他社に大口契約を奪われました。直接的な損失は500万円程度でしたが、将来的な取引機会の喪失を含めると、数千万円規模の損失となりました。

2. 信用・評判の失墜

顧客情報が流出した場合、企業の信用は大きく損なわれます。一度失った信用を回復するには長い時間と多大な努力が必要です。日本ネットワークセキュリティ協会（JNSA）の調査によると、情報漏洩事故を起こした企業の株価は平均して15%下落し、回復までに約2年かかるとされています。
SNS時代において、セキュリティ事故の情報は瞬時に拡散します。トロイの木馬による情報流出が発覚すると、顧客離れだけでなく、新規顧客の獲得も困難になります。特にBtoC企業では、ブランドイメージの毀損による長期的な影響は計り知れません。

3. 他の攻撃の踏み台化

バックドア型に感染すると、攻撃者側から被害者のパソコンを自由に遠隔操作できるようになります。これにより、感染した端末が別のサイバー攻撃の踏み台として利用される可能性があります。
踏み台化された端末は、以下のような悪用をされます：
- DDoS攻撃の実行端末（ボットネットの一部）として利用
- スパムメールの大量送信元として悪用
- 他の組織への侵入の中継点として使用
- 仮想通貨の不正マイニング（クリプトジャッキング）に利用
- 違法コンテンツの保管・配信拠点として悪用

対策を簡単に言うと？

対策を日常生活に例えると、「家の防犯対策」と同じです。玄関のドア（セキュリティソフト）をしっかりと施錠し、怪しい訪問者（不審なメールやサイト）は絶対に家に入れません。窓やベランダ（OSやアプリ）も最新の鍵に交換して、泥棒が入る隙間をなくします。さらに、防犯カメラ（ログ監視）を設置して、不審な動きがあればすぐに気づけるようにします。
つまり、「入れない」「見つける」「封じ込める」「回復する」という4つの対策を組み合わせることで、被害を防ぐことができます。これは情報セキュリティの基本的な考え方である「多層防御」と呼ばれる手法です。一つの対策が破られても、次の対策で食い止められるような仕組みを作ることが重要です。

パソコン・スマホでの予防対策

1. セキュリティソフトの導入と更新

エンドポイント端末の基本的なセキュリティ対策は必須です。ウイルス対策ソフトのインストールとアップデートは習慣化する必要があります。最新のAI搭載セキュリティソフトは、プログラムの動作や通信内容をリアルタイムで分析し、未知の脅威であっても悪意のある活動を予測して検知する機能を持っています。
推奨されるセキュリティソフトの機能：
- リアルタイム保護（常時監視機能）
- ヒューリスティック検出（振る舞い検知）
- Webレピュテーション（危険なサイトのブロック）
- ファイアウォール機能
- 定期的な自動スキャン
- クラウド連携による最新脅威情報の共有

2. OSとアプリケーションの最新化

古いOSやアプリケーションの脆弱性を悪用して侵入することが多いため、常に最新バージョンに更新することが重要です。マルウェア感染の約70%は、既知の脆弱性を悪用したものであり、パッチを適用していれば防げたケースがほとんどです。
更新管理のベストプラクティス：
- 自動更新の有効化
- 緊急度の高いセキュリティパッチの即時適用
- サポート終了（EoL）製品の使用停止
- 定期的な脆弱性スキャンの実施
- パッチ適用前のバックアップ取得

3. 不審なメールやリンクを開かない

攻撃者はメールやSMS・SNSなどで添付ファイルとして送信したり、Webサイトで配布したりする手法を使います。送信元が不明なメールや、緊急性を煽る内容のメールは特に注意が必要です。
メールセキュリティのチェックポイント：
- 送信者のメールアドレスを詳細に確認（似た文字への置き換えに注意）
- 件名や本文の日本語に不自然な点がないか確認
- 添付ファイルの拡張子を確認（.exe、.scr、.bat等は要注意）
- リンクのURLをマウスオーバーで確認してからクリック
- 緊急性を煽る内容は一旦冷静に判断
- 身に覚えのない請求や当選通知は無視

4. 権限管理の徹底

管理者権限での日常作業を避け、必要最小限の権限で作業することで、トロイの木馬が感染しても被害を最小限に抑えることができます。
権限管理のポイント：
- 通常作業は標準ユーザー権限で実施
- 管理者権限が必要な場合のみ一時的に昇格
- アプリケーションごとの権限を最小限に設定
- 不要なサービスやポートの無効化
- ゲストアカウントの無効化

ステップ1：ネットワークから即座に切断

感染が疑われる場合、最初に行うべきことは、その端末をすぐにネットワークから切り離すことです。Wi-Fiを切断し、有線LANケーブルを抜いて、これ以上の情報流出や他の端末への感染拡大を防ぎます。スマートフォンの場合は、機内モードをオンにしてから、Wi-Fiとモバイルデータ通信を確実にオフにします。

緊急対応の手順：

1. 物理的にネットワークケーブルを抜く
2. Wi-Fi機能を無効化
3. Bluetoothを無効化
4. 外部記憶装置（USBメモリ等）を取り外す
5. 画面のスクリーンショットを証拠として保存

ステップ3：システムの復元または初期化

セキュリティソフトでも駆除できない場合は、感染前の復元ポイントへの復元か、最終手段として端末を初期化します。駆除が完了したら、すべてのアカウントのパスワードを変更し、関係者への連絡も忘れずに行います。

復元・初期化の判断基準：

- 駆除を試みても症状が改善しない場合
- 重要なシステムファイルが破壊されている場合
- ルートキット型の深い感染が疑われる場合
- バックアップから復元可能な環境がある場合

ステップ4：事後対応

感染の駆除後も、以下の対応が必要です：

1. すべてのパスワードの変更（感染端末からではなく、別の安全な端末から）
2. 金融機関への連絡（不正送金の可能性がある場合）
3. クレジットカード会社への連絡（カード情報流出の可能性がある場合）
4. 取引先や関係者への注意喚起
5. 被害状況の記録と警察への相談（被害額が大きい場合）

サプライチェーン攻撃におけるトロイの木馬の役割

近年、特に注目されているのがサプライチェーン攻撃におけるトロイの木馬の悪用です。IPAの「情報セキュリティ10大脅威 2025」では、サプライチェーンや委託先を狙った攻撃が2位にランクインしています。この攻撃手法は、直接的な攻撃が困難な大企業を狙う際に、セキュリティが比較的弱い取引先や委託先を経由して侵入する手法です。
サプライチェーン攻撃では、トロイの木馬が「信頼の連鎖」を悪用します。企業は取引先からのソフトウェアやアップデートを信頼してインストールしますが、その中にトロイの木馬が仕込まれていた場合、セキュリティチェックをすり抜けて侵入してしまいます。

ソフトウェアサプライチェーンへの攻撃

正規のソフトウェアアップデートに偽装して配布する手口が増えており、ユーザーは信頼して使用しているソフトウェアのアップデートだと思ってインストールするため、セキュリティ意識が高い企業でも被害に遭う可能性があります。
2023年に発生したMOVEit Transferの脆弱性を悪用した攻撃では、世界中の数千の組織が影響を受けました。攻撃者は正規のファイル転送ソフトウェアにバックドアを仕込み、これを通じて大量のデータを窃取しました。日本でも複数の大手企業が被害を受け、顧客情報の流出が確認されています。

ハードウェアサプライチェーンへの攻撃

物理的なハードウェアにトロイの木馬を仕込む手法も確認されています。製造段階でチップやファームウェアに悪意のあるコードを埋め込み、出荷後に遠隔から起動させるという高度な攻撃です。

具体的な攻撃シナリオ：

1. 製造段階での混入：工場で製造される段階で悪意のあるコードを埋め込む
2. 流通過程での改ざん：輸送中に製品を改ざんし、トロイの木馬を仕込む
3. 偽造品の流通：正規品に見せかけた偽造品にマルウェアを仕込んで販売
4. メンテナンス時の感染：保守作業を装って悪意のあるファームウェアに更新

マネージドサービスプロバイダー（MSP）経由の攻撃

IT運用を委託しているMSPがトロイの木馬に感染すると、そのMSPが管理する複数の顧客企業に被害が拡大します。MSPは顧客システムへの高い権限を持っているため、一度侵入されると深刻な被害につながります。
2024年に日本で発生した事例では、あるMSPがランサムウェアに感染し、管理していた50社以上の顧客企業のシステムが同時に暗号化される事態が発生しました。この攻撃の初期侵入には、メール経由で送られたトロイの木馬が使用されていました。

サプライチェーン攻撃への対策

1. ゼロトラストアーキテクチャの採用

「信頼しない、常に検証する」という原則に基づき、社内外を問わずすべてのアクセスを検証します。たとえ信頼できる取引先からのアクセスであっても、常に認証と権限確認を行います。

2. ソフトウェア部品表（SBOM）の活用

使用しているソフトウェアの構成要素を可視化し、脆弱性のある部品が含まれていないか定期的にチェックします。特にオープンソースソフトウェアの利用状況を把握することが重要です。

3. 取引先のセキュリティ評価

サプライチェーン全体のセキュリティレベルを向上させるため、取引先に対してもセキュリティ要件を設定し、定期的な監査を実施します。

4. インシデント対応体制の整備

サプライチェーン攻撃は被害が広範囲に及ぶため、取引先も含めた連絡体制と対応手順を事前に整備しておくことが重要です。

1. マルウェア感染との関係

トロイの木馬は、無害なプログラムを装ってパソコンやサーバーなどに潜伏し、さまざまな悪意のある行動をするマルウェアです。つまり、トロイの木馬自体がマルウェアという大きなカテゴリーの一種であり、特殊な侵入方法と動作を持つマルウェアとして位置づけられます。
ウイルスやワームと異なり、自己増殖をしないため、悪質な行動が表面化しにくく、気付かない間に感染しているケースも見受けられます。しかし、一度侵入に成功すると、他のマルウェアをダウンロードして実行する「ダウンローダー型」として機能することがあります。この特性により、トロイの木馬はマルウェア感染の「ゲートウェイ」として機能し、より危険な脅威への入口となることが多いのです。
マルウェア感染の連鎖では、最初にトロイの木馬が侵入し、その後ランサムウェアやバンキングマルウェアなど、より破壊的なマルウェアが次々とダウンロードされるケースが増えています。この多段階攻撃により、セキュリティソフトの検知を回避しやすくなっています。

2. ランサムウェアとの連携

ランサムウェア攻撃の約80%は、トロイの木馬による初期侵入から始まります。攻撃者はまずトロイの木馬を使って標的のシステムに侵入し、内部調査を行った後、最も効果的なタイミングでランサムウェアを展開します。
Emotet→TrickBot→Ryukという攻撃チェーンは有名な例です。最初にEmotet（トロイの木馬）がメール経由で侵入し、次にTrickBot（別のトロイの木馬）がダウンロードされて認証情報を窃取し、最終的にRyukランサムウェアが展開されてデータを暗号化します。この連携により、攻撃者は標的の環境を十分に把握した上で、最大限の被害を与えることができます。

ランサムウェアとトロイの木馬の連携パターン：
- 偵察型連携：トロイの木馬が数週間から数ヶ月潜伏し、重要データの場所を特定
- 権限昇格型連携：管理者権限を奪取してからランサムウェアを展開
- 横展開型連携：ネットワーク内の複数端末に感染を広げてから一斉に暗号化
- データ窃取型連携：暗号化前にデータを盗み、二重脅迫に利用

3. スパイウェア・キーロガーとの連携

キーロガー型トロイの木馬と呼ばれる種類があり、キーボードの入力情報を不正に取得する機能を持っています。ユーザーが入力するパスワードやクレジットカード番号などの重要な情報を記録し、攻撃者に送信します。

スパイウェアとしての機能も持ち、以下のような情報を収集します：
- 画面キャプチャ：定期的に画面のスクリーンショットを撮影
- Webカメラ・マイクの盗聴：音声や映像をこっそり記録
- クリップボード監視：コピー＆ペーストの内容を記録
- ブラウザ履歴：訪問したWebサイトや検索履歴を収集
- メール・チャット監視：通信内容を傍受

実行時に使われるパッケージには、バックドアやキーロガー、不正侵入を隠ぺいする機能など様々な機能が備わっています。これらの機能が組み合わされることで、パソコン・スマホの危険度は格段に高まります。

4. ボットネット感染への発展

トロイの木馬に感染した端末は、ボットネットと呼ばれる巨大な攻撃ネットワークの一部として組み込まれることがあります。ボットネット感染は、数千から数百万台の感染端末で構成され、攻撃者の指示で一斉に動作します。
ボットネットとして悪用される主な用途：
- DDoS攻撃の実行：標的サイトに大量のアクセスを送りサービスを停止
- スパムメール送信：フィッシングメールや広告メールの大量配信
- クリック詐欺：広告を自動クリックして不正な収益を生成
- 仮想通貨マイニング：計算能力を盗用して暗号通貨を採掘
- 分散型ストレージ：違法コンテンツの保管場所として利用
Mirai、Emotet、TrickBotなどの有名なボットネットは、すべてトロイの木馬型のマルウェアです。端末の脅威として、自分のパソコンが知らないうちに犯罪活動に加担させられる危険性があります。

5. アドウェアとの複合感染

アドウェアを装ったトロイの木馬も増加しています。無料ソフトウェアにバンドルされて配布され、表向きは広告を表示するだけのように見えますが、裏では個人情報の収集やバックドアの設置を行います。
アドウェア型トロイの木馬の特徴：
- 偽の無料ソフト：動画ダウンローダーやPDF変換ツールなどに偽装
- ブラウザハイジャック：検索エンジンやホームページを勝手に変更
- ポップアップ広告：閉じられない広告を大量表示
- 偽のセキュリティ警告：「ウイルスが検出されました」などの偽警告を表示
- 個人情報収集：閲覧履歴や入力情報を密かに収集
これらのアドウェアは、より危険なマルウェアへの入口となることが多く、最初は軽微な症状でも、時間の経過とともに深刻な被害に発展する可能性があります。

6. ルートキットとの組み合わせ

ルートキット機能を持つトロイの木馬は、最も検出が困難な脅威の一つです。ルートキットはOSの深い部分に潜伏し、自身の存在を隠蔽する技術を持っています。
ルートキット型トロイの木馬の隠蔽技術：
- プロセス隠蔽：タスクマネージャーから姿を消す
- ファイル隠蔽：感染ファイルを不可視化
- レジストリ隠蔽：Windowsレジストリの改ざん痕跡を隠す
- ネットワーク隠蔽：不正な通信を正常な通信に偽装
- API フッキング：システムコールを横取りして動作を改ざん
これらの高度な隠蔽技術により、セキュリティソフトでも検出が困難になり、長期間にわたって端末内に潜伏し続けることが可能になります。マルウェア感染の中でも特に駆除が困難で、完全な削除にはOS の再インストールが必要になることもあります。

基本用語

マルウェア（Malware）

悪意のあるソフトウェア（Malicious Software）の略称です。コンピュータやスマートフォンに害を与える目的で作られたプログラムの総称で、トロイの木馬、ウイルス、ワーム、ランサムウェアなどすべてを含みます。パソコン・スマホの危険の根源となる存在です。

ペイロード（Payload）

トロイの木馬が実際に実行する悪意のある動作部分を指します。爆弾に例えると、トロイの木馬本体が「運搬手段」で、ペイロードが「爆薬」にあたります。データ削除、情報窃取、バックドア設置などの実害を与える機能がペイロードです。

ドロッパー（Dropper）

他のマルウェアをシステムにインストールする役割を持つトロイの木馬の一種です。自身は悪意のある動作をせず、ただ他のマルウェアを「落とす（drop）」だけの機能を持ちます。検出を避けるため、本体は無害に見えるように作られています。

バックドア（Backdoor）

攻撃者が後から自由にシステムに侵入できるように設置する「裏口」のことです。正規の認証手続きを回避して、いつでもシステムにアクセスできるようになります。トロイの木馬の多くは、このバックドアを設置する機能を持っています。

技術用語

C&C サーバー（Command and Control Server）

C2サーバーとも呼ばれ、感染した端末を遠隔操作するための指令サーバーです。トロイの木馬は定期的にこのサーバーと通信し、新しい命令を受け取ったり、盗んだ情報を送信したりします。ボットネットの司令塔として機能します。

エクスプロイト（Exploit）

システムやソフトウェアの脆弱性を悪用する攻撃コードやテクニックのことです。トロイの木馬は、このエクスプロイトを使って正規のプログラムの脆弱性を突き、システムに侵入することがあります。

難読化（Obfuscation）

マルウェアのコードを意図的に読みにくくする技術です。トロイの木馬は、セキュリティソフトやセキュリティ研究者による解析を妨げるため、コードを暗号化したり、複雑化したりします。これにより検出や分析が困難になります。

サンドボックス（Sandbox）

疑わしいプログラムを安全な隔離環境で実行し、動作を観察する技術です。最新のセキュリティソフトは、このサンドボックス内でファイルを実行し、トロイの木馬の可能性があるかを判定します。マルウェア感染を防ぐ重要な技術です。

ポリモーフィック（Polymorphic）

自己変化型とも呼ばれ、感染するたびに自身のコードを変化させる技術です。同じトロイの木馬でも、感染ごとに異なる姿になるため、シグネチャ（署名）ベースの検出を回避できます。

攻撃手法用語

ファイルレス攻撃（Fileless Attack）

ハードディスクにファイルを残さず、メモリ上でのみ動作する攻撃手法です。PowerShellなどの正規ツールを悪用し、トロイの木馬の痕跡を残さないため、従来のセキュリティソフトでは検出が困難です。

ゼロデイ攻撃（Zero-day Attack）

まだ修正パッチが提供されていない脆弱性を悪用する攻撃です。トロイの木馬は、このゼロデイ脆弱性を使って、最新のセキュリティ対策をすり抜けることがあります。端末の脅威として最も危険な攻撃の一つです。

APT（Advanced Persistent Threat）

高度で執拗な脅威と訳され、特定の組織を長期間にわたって狙い続ける攻撃です。トロイの木馬を使って標的のネットワークに潜入し、数ヶ月から数年にわたって情報を盗み続けます。

スピアフィッシング（Spear Phishing）

特定の個人や組織を狙った標的型フィッシング攻撃です。トロイの木馬を仕込んだメールを、標的の興味を引く内容で送信し、感染させます。一般的なフィッシングより成功率が高い攻撃手法です。

検出・対策用語

ヒューリスティック検出（Heuristic Detection）

プログラムの振る舞いや特徴から、未知のマルウェアを検出する技術です。トロイの木馬の典型的な動作パターン（例：特定のレジストリへのアクセス、異常な通信など）を監視し、疑わしい動作を検出します。

IOC（Indicators of Compromise）

侵害指標と呼ばれ、マルウェア感染の痕跡を示す技術的な証拠です。不審なIPアドレスへの通信、特定のファイルハッシュ、レジストリの変更などが含まれます。これらを監視することで、トロイの木馬の感染を早期に発見できます。

EDR（Endpoint Detection and Response）

エンドポイント（端末）での脅威を検出し、対応する高度なセキュリティソリューションです。トロイの木馬の活動をリアルタイムで監視し、感染が確認されれば自動的に隔離や駆除を行います。

SIEM（Security Information and Event Management）

セキュリティ情報とイベントを統合管理するシステムです。ネットワーク全体のログを収集・分析し、トロイの木馬による異常な活動を検出します。企業のパソコン・スマホの危険を包括的に管理する重要なツールです。

初期のトロイの木馬（1975年〜1990年代）

トロイの木馬の概念は、1975年にJohn Brunnerの小説「The Shockwave Rider」で初めて言及されました。実際のコンピュータシステムで確認された最初のトロイの木馬は、1975年のUNIXシステムで発見された「ANIMAL」というプログラムでした。
1980年代後半から1990年代初頭にかけて、パソコンの普及とともにトロイの木馬も進化しました。この時期の代表的なものには以下があります：
- AIDS Trojan（1989年）：世界初のランサムウェア型トロイの木馬。フロッピーディスクで配布され、ファイルを暗号化して身代金を要求
- Back Orifice（1998年）：Windows 95/98を標的にした最初の大規模なバックドア型トロイの木馬
- SubSeven（1999年）：GUIを備えた使いやすいリモートアクセス型トロイの木馬

インターネット時代の進化（2000年代）

2000年代に入り、インターネットの普及により、トロイの木馬の配布方法と機能が大きく進化しました。マルウェア感染の主要な経路がフロッピーディスクからインターネット経由に変わり、被害規模が飛躍的に拡大しました。
主要なトロイの木馬：
- Zeus（2007年）：史上最も成功したバンキング型トロイの木馬。ソースコードが流出し、多数の亜種を生み出した
- SpyEye（2009年）：Zeusの競合として登場し、後に統合されて「Zeus-SpyEye」として猛威を振るった
- Conficker（2008年）：世界中で900万台以上のコンピュータに感染し、史上最大級のボットネットを形成

モバイルとクラウド時代（2010年代）

スマートフォンの普及により、モバイルを標的としたトロイの木馬が急増しました。同時に、クラウドサービスの普及により、新たな攻撃ベクトルが生まれました。
モバイル向けトロイの木馬：
- DroidDream（2011年）：Google Playストアで配布された最初の大規模なAndroidトロイの木馬
- XcodeGhost（2015年）：正規の開発ツールに感染し、App Storeで配布されたiOSアプリに影響
- Pegasus（2016年）：最も高度なモバイルスパイウェア。ゼロクリック攻撃でiOSとAndroidの両方に感染

AI時代の新たな脅威（2020年代〜現在）

2020年代に入り、AI技術の進化により、トロイの木馬はさらに高度化しています。端末の脅威として、以下のような新しいタイプが登場しています：

AI強化型トロイの木馬

- 動的な動作変更：環境に応じて動作を変更し、サンドボックス検出を回避
- 自動化された標的選定：AIが最も価値の高い情報を自動的に特定して窃取
- ディープフェイク統合：音声や映像を偽造して二要素認証を突破

最新の攻撃トレンド（2024-2025年）

- LLM悪用型：大規模言語モデルを使って説得力のあるフィッシングメールを自動生成
- IoTボットネット型：スマート家電を標的にした新型トロイの木馬
- 量子耐性型：将来の量子コンピュータによる解析に備えた暗号化技術を採用