パソコンの電源を入れてからデスクトップが表示され、実際に使用できる状態になるまでの時間を確認してください。通常1分程度で起動していたパソコンが、2分以上かかるようになった場合は要注意です。トロイの木馬が起動時に自身を読み込むため、システムの起動プロセスが遅延することがあります。

特に注意すべきは、徐々に遅くなるケースです。最初は数秒の遅延から始まり、日を追うごとに悪化していく場合、トロイの木馬がシステムリソースを徐々に消費している可能性があります。起動時に見慣れない画面が一瞬表示される、黒い画面の時間が長くなる、ログイン画面が表示されるまでに異常に時間がかかるといった現象も、感染の兆候として注目すべきポイントです。

インターネットブラウザを開いた際、設定していたホームページとは異なるページが表示される場合、トロイの木馬による改ざんの可能性があります。特に、見知らぬ検索エンジンや、広告だらけのポータルサイト、警告メッセージを表示するページなどに変更されている場合は、高い確率で感染しています。
この症状は、ブラウザハイジャッカー型のトロイの木馬によく見られます。設定を元に戻しても、パソコンを再起動すると再び変更されてしまう場合は、トロイの木馬がシステムに深く侵入している証拠です。また、検索結果が通常と異なるサイトにリダイレクトされる、新しいタブを開くと広告ページが表示されるといった症状も併発することがあります。

デスクトップやタスクバー、ブラウザのツールバーに、インストールした覚えのないアイコンやツールバーが追加されている場合、トロイの木馬感染の可能性があります。特に「PC高速化」「ウイルス対策」「システム最適化」といった名前のソフトウェアが勝手にインストールされている場合は要注意です。
これらの偽ソフトウェアは、実際にはトロイの木馬本体であったり、追加のマルウェアをダウンロードするためのツールである場合があります。アイコンをクリックすると「ライセンス購入」を促す画面が表示される、削除しようとしてもできない、削除してもすぐに復活するといった特徴があれば、ほぼ確実に悪意のあるソフトウェアです。

ウェブサイトを閲覧していないときでも、デスクトップに広告のポップアップが表示される場合、アドウェア型のトロイの木馬に感染している可能性があります。特に、成人向けコンテンツ、偽のセキュリティ警告、ソフトウェアの更新を促すメッセージなどが表示される場合は危険です。
これらのポップアップは、クリックすると更なるマルウェアをダウンロードしたり、詐欺サイトに誘導されたりする可能性があります。ポップアップの右上の「×」ボタンを押しても消えない、消してもすぐに新しいポップアップが表示される、画面の端に小さな広告が常に表示されているといった症状も、感染の明確な兆候です。

インストールしているセキュリティソフトが勝手に無効化されている、起動しない、更新できないといった症状は、トロイの木馬感染の強い証拠です。多くのトロイの木馬は、自身の活動を継続するため、最初にセキュリティソフトを無効化しようとします。
Windows Defenderが「無効」になっている、リアルタイム保護がオフになっている、定義ファイルの更新ができない、スキャンを開始してもすぐに停止するといった現象が見られる場合は、即座に対処が必要です。また、セキュリティソフトのアイコンがタスクトレイから消えている、設定画面にアクセスできないといった症状も、感染の可能性を示しています。

タスクマネージャーを開いて（Ctrl + Shift + Esc）、CPUとメモリの使用率を確認してください。何もアプリケーションを実行していない状態で、CPU使用率が常に30%以上、メモリ使用率が80%以上の場合は、バックグラウンドで不正なプログラムが動作している可能性があります。
特に注意すべきは、見知らぬプロセス名が大量のリソースを消費している場合です。「svchost.exe」に似た「svchosts.exe」や「scvhost.exe」といった紛らわしい名前のプロセス、ランダムな文字列のプロセス名、複数の同じプロセスが大量に起動しているといった現象は、トロイの木馬感染の典型的な症状です。
また、タスクマネージャーを開こうとすると強制終了される、プロセスの詳細が表示されない、特定のプロセスを終了できないといった現象も、高度なトロイの木馬による防御機能の可能性があります。

パソコン本体のハードディスクアクセスランプ（通常はオレンジや赤のLED）が、何も操作していないのに常に点滅している場合、バックグラウンドで大量のファイルアクセスが行われている可能性があります。
トロイの木馬は、個人情報を収集するためにハードディスク内のファイルをスキャンしたり、暗号化の準備をしたり、他のマルウェアをダウンロードしたりするため、頻繁にディスクアクセスを行います。特に深夜や早朝など、パソコンを使用していない時間帯にランプが激しく点滅している場合は、スケジュールされた悪意のある活動の可能性があります。
ディスクの空き容量が急激に減少している、ファイルの作成日時が勝手に変更されている、見覚えのない大容量ファイルが作成されているといった現象も併せて確認してください。

CPUやGPUの冷却ファンが、特に負荷の高い作業をしていないのに常に高速で回転している場合、システムリソースが不正に使用されている可能性があります。特に、クリプトマイニング型のトロイの木馬は、CPUやGPUを酷使して仮想通貨のマイニングを行うため、発熱量が増加し、ファンが高速回転します。
室温が低いにもかかわらずファンが高速回転する、パソコンを起動した直後からファンが全開で回る、アイドル状態でも本体が熱くなるといった症状は、要注意です。ノートパソコンの場合、バッテリーの消耗が異常に早くなることも、この症状と関連しています。

通常はスムーズに動作していたアプリケーションが、急に動作が重くなった場合、トロイの木馬がシステムリソースを占有している可能性があります。特に、ブラウザ、メールソフト、オフィスソフトなど、日常的に使用するアプリケーションの動作が遅くなった場合は注意が必要です。
文字入力に遅延が発生する、画面のスクロールがカクカクする、ファイルの保存に異常に時間がかかる、アプリケーションの起動に数分かかるといった症状は、システムリソースが不正に消費されている証拠です。また、複数のアプリケーションを同時に起動できなくなった、頻繁に「応答なし」になるといった現象も、感染の兆候として注目すべきです。

システムが頻繁にフリーズしたり、ブルースクリーン（死のブルースクリーン、BSOD）が発生したりする場合、トロイの木馬がシステムファイルを破損させている可能性があります。特に、特定の操作（ブラウザの起動、特定のサイトへのアクセス、セキュリティソフトの起動など）で必ずフリーズする場合は、トロイの木馬による妨害の可能性が高いです。
ブルースクリーンのエラーコードを記録しておくことも重要です。「SYSTEM_SERVICE_EXCEPTION」「KERNEL_SECURITY_CHECK_FAILURE」「DRIVER_IRQL_NOT_LESS_OR_EQUAL」といったエラーは、悪意のあるドライバやルートキットの存在を示唆することがあります。

契約している回線速度に対して、実際のインターネット速度が著しく遅い場合、トロイの木馬がバックグラウンドで大量のデータ通信を行っている可能性があります。速度測定サイトで計測した結果が、通常の10分の1以下になっている場合は特に注意が必要です。
ウェブページの読み込みに異常に時間がかかる、動画のストリーミングが頻繁に止まる、オンラインゲームのラグが激しいといった症状も、帯域幅が不正に使用されている兆候です。また、特定の時間帯（深夜など）に速度が極端に低下する場合は、スケジュールされたデータ送信の可能性があります。

月間のデータ通信量が、通常の使用パターンと比較して急激に増加している場合、トロイの木馬が大量のデータを外部に送信している可能性があります。特に、モバイルルーターや従量制の回線を使用している場合、通信量の異常な増加は深刻な問題となります。
Windowsの設定から「ネットワークとインターネット」→「データ使用状況」で、過去30日間のデータ使用量を確認できます。見知らぬアプリケーションが大量のデータを使用していたり、システムプロセスのデータ使用量が異常に多い場合は、感染の可能性が高いです。

メールの送信済みフォルダに、自分が送信した覚えのないメールがある場合、トロイの木馬がメールアカウントを乗っ取っている可能性があります。特に、スパムメール、フィッシングメール、マルウェア付きメールなどが大量に送信されている場合は、即座に対処が必要です。
連絡先の相手から「変なメールが届いた」と連絡があった、メールがブロックリストに登録された、メールプロバイダから警告が届いたといった現象も、メールアカウントが悪用されている証拠です。

Facebook、X（旧Twitter）、Instagram などのSNSアカウントで、自分が投稿していない内容が投稿されている場合、アカウントが乗っ取られている可能性があります。特に、怪しいリンクを含む投稿、商品の宣伝、詐欺サイトへの誘導などが投稿されている場合は危険です。
友人から「変な投稿をしている」と指摘された、フォロワーが急激に減少した、知らない人を大量にフォローしている、プロフィール情報が変更されているといった現象も、アカウント乗っ取りの兆候です。

各種オンラインサービスから、見覚えのない場所やデバイスからのログイン通知が届く場合、トロイの木馬によってログイン情報が盗まれ、悪用されている可能性があります。特に、海外からのログイン、深夜のログイン、短時間での複数回のログイン試行などは要注意です。
二段階認証を設定しているにもかかわらず不正ログインされた場合は、より高度な攻撃を受けている可能性があります。パスワード変更の通知、アカウント設定変更の通知、新しいデバイスの登録通知なども、不正アクセスの重要なサインです。

タスクマネージャーを起動（Ctrl + Shift + Esc）し、「詳細」タブを開いて、実行中のプロセスを確認します。以下の特徴を持つプロセスは、トロイの木馬の可能性があります。
プロセス名の異常パターン：
- システムプロセスに似せた名前（scvhost.exe、chr0me.exe、expl0rer.exe など）
- ランダムな文字列（asd123.exe、qwerty.exe など）
- 数字だけの名前（1234.exe、9876.exe など）
- 拡張子が二重になっている（document.pdf.exe など）
プロセスの場所の確認方法：
プロセスを右クリックして「ファイルの場所を開く」を選択すると、実行ファイルの保存場所を確認できます。正規のシステムプロセスは通常、C:\Windows\System32 や C:\Windows\SysWOW64 にありますが、それ以外の場所（特にTempフォルダやユーザーフォルダ）から実行されているシステムプロセス名のファイルは要注意です。
デジタル署名の確認：
「詳細」タブの列ヘッダーを右クリックし、「列の選択」から「デジタル署名」を追加します。Microsoft、Adobe、Googleなど、信頼できる企業の署名がないプロセスで、大量のリソースを使用しているものは疑わしいです。

正常な状態では、アイドル時のCPU使用率は5%以下、メモリ使用率は50%以下が一般的です。以下のような異常値は、トロイの木馬感染の可能性を示します。
CPU使用率の異常：
- 単一のプロセスが常時50%以上のCPUを使用
- 複数の同名プロセスが合計で高いCPU使用率
- System Idle Process以外で、何もしていないのに高いCPU使用率
メモリ使用量の異常：
- 数百MBから数GBのメモリを使用する見知らぬプロセス
- 時間とともに徐々にメモリ使用量が増加するプロセス（メモリリーク）
- 小さなプロセスが大量に起動してメモリを占有

「パフォーマンス」タブの「イーサネット」または「Wi-Fi」を選択すると、ネットワークの使用状況を確認できます。送信（アップロード）が受信（ダウンロード）より極端に多い場合、データが外部に送信されている可能性があります。
「プロセス」タブでネットワーク使用量でソートすると、どのプロセスが通信を行っているかを特定できます。ブラウザを使用していないのに大量の通信を行うプロセス、見知らぬプロセスが継続的に通信している場合は要注意です。
**スタートアップ項目のチェック
「スタートアップ」タブで、システム起動時に自動実行されるプログラムを確認します。以下の項目は特に注意が必要です：
- 発行元が「不明」または空白のプログラム
- 最近追加された見覚えのないプログラム
- 無効化してもすぐに有効に戻るプログラム
- ファイルパスがTempフォルダやダウンロードフォルダのプログラム

イベントビューアーを起動（eventvwr.msc）し、「Windowsログ」→「セキュリティ」を確認します。以下のイベントは要注意です：
ログオン関連の異常：
- イベントID 4625：ログオン失敗の大量発生（ブルートフォース攻撃の可能性）
- イベントID 4624：深夜や早朝の不審なログオン成功
- イベントID 4672：特権ログオン（管理者権限の不正使用）
監査ポリシーの変更：
- イベントID 4719：システム監査ポリシーの変更（トロイの木馬が痕跡を隠蔽）
- イベントID 4907：オブジェクトの監査設定の変更

「アプリケーション」ログで、以下のパターンのエラーが頻発している場合は注意が必要です：
- 同じアプリケーションのクラッシュが繰り返し発生
- セキュリティソフト関連のエラーが多発
- 正規のアプリケーションが「アクセス拒否」エラーを起こす
- 見知らぬアプリケーション名のエラーログ

セキュリティログで「イベントID 4625」をフィルタリングし、失敗したログオン試行を確認します。特に以下のパターンは要注意です：
- 短時間での大量のログオン失敗
- 存在しないユーザー名でのログオン試行
- 異なる複数のIPアドレスからの試行
- システムアカウントやサービスアカウントへの不正アクセス試行

「システム」ログで、トロイの木馬に関連する可能性のあるエラーパターンを確認します：
- サービスの異常停止や起動失敗
- ドライバーの読み込みエラー
- ディスクエラーの頻発（ランサムウェアの前兆の可能性）
- ネットワークアダプターの異常

管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行します：
```
netstat -ano
```
このコマンドで、現在確立されているネットワーク接続と、それに関連するプロセスID（PID）を確認できます。
確認ポイント：
- ESTABLISHED状態の不審な外部IPアドレスへの接続
- 大量のTIME_WAIT状態（データ送信完了後の痕跡）
- LISTENING状態の不審なポート（バックドアの可能性）
- 既知のマルウェアが使用するポート（4444、5555、8080など）への接続
外部IPアドレスの確認方法：
```
nslookup [IPアドレス]
```
このコマンドで、接続先のドメイン名を逆引きできます。信頼できない国や地域のサーバー、意味不明なドメイン名への接続は要注意です。

```
tasklist /v
```
このコマンドで、実行中のすべてのプロセスの詳細情報を表示できます。特に以下の点に注目します：
- ユーザー名が「SYSTEM」「LOCAL SERVICE」「NETWORK SERVICE」以外の不審なサービス
- メモリ使用量が異常に大きいプロセス
- セッション番号が0（サービス）なのに見知らぬプロセス

```
sfc /scannow
```
システムファイルチェッカーは、Windowsのシステムファイルの整合性を確認し、破損したファイルを修復します。トロイの木馬によって改ざんされたシステムファイルを検出できる可能性があります。
実行結果の解釈：
- 「整合性違反を検出しませんでした」：システムファイルは正常
- 「破損したファイルが見つかり、正常に修復されました」：修復成功
- 「破損したファイルが見つかりましたが、一部は修復できませんでした」：深刻な感染の可能性

```
systeminfo
```
このコマンドで、システムの詳細情報を確認できます。特に以下の項目を確認します：
- システムの起動時刻（予期しない再起動がないか）
- インストールされた更新プログラム（最新のセキュリティパッチが適用されているか）
- ネットワークアダプター（不審な仮想アダプターがないか）

ESET Online Scannerは、高い検出率と詳細なスキャン機能を持つ無料ツールです。
使用方法と特徴：
1. 公式サイトから esetonlinescanner.exe をダウンロード
2. 管理者権限で実行
3. 「コンピューターの詳細検査を有効にする」にチェック
4. 「望ましくない可能性のあるアプリケーションを検出」を有効化
5. スキャンには1-3時間程度必要
ESETの優れた点：
- アーカイブファイル内もスキャン可能
- ルートキットの検出に強い
- 最新の脅威データベースを自動ダウンロード
- 詳細なスキャンレポートを生成

Trend Micro HouseCallは、ブラウザベースで動作する軽量なスキャナーです。
特徴と使用手順：
1. ブラウザから直接実行可能（プラグイン不要）
2. クイックスキャン、フルスキャン、カスタムスキャンを選択可能
3. クラウドベースのスキャンで常に最新の定義を使用
4. スキャン時間は30分から2時間程度
HouseCallの強み：
- ブラウザハイジャッカーの検出に特化
- PUP（潜在的に迷惑なプログラム）の検出率が高い
- システムへの負荷が軽い
- スキャン結果をオンラインで保存可能

F-Secure Online Scannerは、シンプルで使いやすいインターフェースが特徴です。
利用方法：
1. 公式サイトから実行ファイルをダウンロード
2. インストール不要で即座にスキャン開始
3. 自動的に最も疑わしい場所を優先的にスキャン
4. 15-30分程度でクイックスキャン完了
F-Secureの特徴：
- 高速スキャンが可能
- 最新のマルウェアに対する検出率が高い
- システムパフォーマンスへの影響が最小限
- 日本語インターフェース対応

独立系テスト機関のデータに基づく検出率の目安：
- ESET：既知のマルウェア検出率 99.9%、ゼロデイ攻撃検出率 98%
- Trend Micro：既知のマルウェア検出率 99.7%、PUP検出率 95%
- F-Secure：既知のマルウェア検出率 99.8%、誤検出率 0.1%以下
複数のスキャナーを併用することで、検出の精度を高めることができます。一つのスキャナーで検出されなくても、別のスキャナーで発見される場合があります。

Process Explorer は、タスクマネージャーの高機能版として、詳細なプロセス情報を提供します。
主要機能と使い方：
1. プロセスツリー表示：
- 親子関係でプロセスを表示
- 正常なプロセスから起動された不審な子プロセスを発見
- プロセスの起動順序を把握
2. DLL表示機能：
- View → Show Lower Pane → DLLs
- 各プロセスが読み込んでいるDLLファイルを確認
- 不審なDLLインジェクションを検出
3. VirusTotal連携：
- Options → VirusTotal.com → Check VirusTotal.com
- プロセスのハッシュ値を自動的にVirusTotalで検査
- 複数のアンチウイルスエンジンでの検出結果を確認
4. 文字列検索：
- プロセスのメモリ内の文字列を検索
- URLやIPアドレス、ファイルパスなどを発見

AutoRuns は、Windowsで自動起動されるすべてのプログラムを一覧表示します。
確認すべきポイント：
1. Logonタブ：ユーザーログオン時に起動するプログラム
2. Servicesタブ：Windowsサービスとして登録されたプログラム
3. Scheduled Tasksタブ：タスクスケジューラに登録されたタスク
4. Driversタブ：システムドライバー（ルートキットが潜む場所）
不審なエントリの特徴：
- Publisher が「(Not verified)」のもの
- Image Path が存在しないファイル
- Description が空白または意味不明な文字列
- 赤色でハイライトされたエントリ（ファイルが見つからない）

TCPView は、リアルタイムでネットワーク接続を監視できるツールです。
監視のポイント：
1. 接続状態の色分け：
- 緑：新しく確立された接続
- 赤：終了した接続
- 黄：状態が変化した接続
2. 不審な接続の特徴：
- プロセス名が表示されない接続
- System プロセスからの不自然な外部接続
- 既知のマルウェアが使用するポートへの接続
3. リモートアドレスの確認：
- 右クリック → Whois で接続先の詳細情報を取得
- 不審な国や地域への接続を特定

Process Monitor は、ファイルシステム、レジストリ、プロセスの活動をリアルタイムで記録します。
効果的な使用方法：
1. フィルター設定：
- Process Name、Path、Operation でフィルタリング
- 特定のプロセスの動作のみを追跡
2. 不審な動作パターン：
- 大量のレジストリアクセス
- システムファイルへの書き込み試行
- 他のプロセスへのアクセス試行
3. ログの保存と分析：
- File → Save でログを保存
- 後で詳細な分析が可能

正規のネットバンキングサイトとは異なる要素が表示される場合、バンキング型トロイの木馬による画面の改ざんの可能性があります。
注意すべき異常：
- ログイン画面に通常ない入力欄が追加されている（第2パスワード、母親の旧姓など）
- セキュリティ警告や証明書エラーが表示される
- URLは正しいのに画面デザインが微妙に異なる
- 日本語の表記がおかしい、フォントが通常と異なる
確認方法：
1. 別のデバイス（スマートフォンなど）で同じページを開いて比較
2. ブラウザのアドレスバーの鍵マークをクリックして証明書を確認
3. HTMLソースコードを表示して不審なスクリプトがないか確認

バンキング型トロイの木馬は、本物そっくりの偽ログイン画面を表示することがあります。
偽画面の特徴：
- URLが正規のものと微妙に異なる（文字の置換、追加など）
- SSL証明書が無効または発行者が不明
- ログイン後に「メンテナンス中」などのメッセージが表示される
- 通常と異なるタイミングで追加認証を要求される
検証方法：
- 銀行の公式アプリや別ルートからアクセスして確認
- カスタマーサポートに電話で確認
- ブックマークした正規URLからアクセスし直す

定期的に取引履歴を確認し、不審な取引がないかチェックすることが重要です。
確認すべき項目：
- 見覚えのない振込先への送金
- 少額のテスト送金（数百円程度）
- 深夜や早朝の取引
- 通常と異なる方法での取引（ATMからWebへの変更など）

キーロガーが動作していると、キー入力に以下のような異常が現れることがあります。
症状：
- 文字入力に0.5秒以上の遅延が発生
- 特定の文字が入力されない、または重複して入力される
- CapsLockやNumLockの状態が勝手に変わる
- IMEの変換が異常に遅い
テスト方法：
1. メモ帳を開いて高速でタイピングしてみる
2. パスワード入力欄での動作を確認（●の表示遅延）
3. 異なるアプリケーションで同じ症状が出るか確認

キーロガーの中には、入力内容を改ざんするものもあります。
注意すべき現象：
- コピー＆ペーストの内容が変更される
- 銀行口座番号やクレジットカード番号が別の番号に置換される
- URLが自動的に別のサイトに変更される
- メールアドレスが勝手に変更される

パスワード入力時に特別な動作をするキーロガーもあります。
不審な動作：
- パスワード入力欄にフォーカスすると画面がちらつく
- パスワード入力中にディスクアクセスランプが点滅
- ソフトウェアキーボードが使用できない
- パスワードマネージャーが正常に動作しない

リモートアクセスの形跡を確認する方法：
1. イベントログの確認：
- ターミナルサービスのログオンイベント
- RDP接続の履歴
- VNC、TeamViewerなどのリモートツールの起動履歴
2. レジストリの確認：
```
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
```
fDenyTSConnections の値が 0 になっていないか確認

Windows Defenderファイアウォールで不審な例外設定を確認：
1. コントロールパネル → Windows Defender ファイアウォール
2. 「Windows Defender ファイアウォールを介したアプリまたは機能を許可」
3. 見覚えのないプログラムやポートの許可設定を確認

```
netstat -an | find "LISTENING"
```
不審なポート：
- 4444, 5555：メタスプロイトなどで使用
- 12345, 31337：古典的なトロイの木馬
- 8080, 8888：プロキシサーバーとして悪用

トロイの木馬に感染したスマートフォンは、バックグラウンドで不正な処理を行うため、バッテリー消耗が激しくなります。
Androidでの確認方法：
1. 設定 → バッテリー → バッテリー使用状況
2. アプリごとのバッテリー消費を確認
3. 見覚えのないアプリや、使用していないのに高消費のアプリを特定
iPhoneでの確認方法：
1. 設定 → バッテリー
2. 過去24時間/過去10日間の使用状況を確認
3. バックグラウンド更新が異常に多いアプリを特定
異常の目安：
- 通常の2倍以上の速度でバッテリーが減る
- 待機状態でも1時間で10%以上減少
- 充電中でもバッテリーが減ることがある
- 本体が常に熱を持っている

モバイルデータ通信量の異常な増加は、トロイの木馬がデータを外部送信している証拠です。
確認手順（Android）：
1. 設定 → ネットワークとインターネット → データ使用量
2. モバイルデータ使用量を確認
3. アプリごとのデータ使用量を確認
確認手順（iPhone）：
1. 設定 → モバイル通信
2. 現在までの合計を確認
3. 各アプリのデータ使用量をチェック

トロイの木馬は正規アプリに偽装することが多いため、慎重な確認が必要です。
チェックポイント：
- 最近インストールしたアプリの確認
- 権限が過剰なアプリ（電話帳、位置情報、カメラなどすべてを要求）
- Google PlayやApp Store以外からインストールしたアプリ
- アップデートが長期間ない古いアプリ
- レビューが極端に少ない、または不自然に高評価のアプリ

アプリケーション → ユーティリティ → アクティビティモニタで、システムリソースの使用状況を確認します。
確認項目：
- CPU：使用率が常に高いプロセス
- メモリ：メモリを大量消費するプロセス
- ネットワーク：送受信バイト数が多いプロセス
- ディスク：書き込みバイト数が異常に多いプロセス
不審なプロセスの特徴：
- 親プロセスが launchd でない不明なプロセス
- com.apple. で始まらない偽のシステムプロセス
- ランダムな文字列のプロセス名

アプリケーション → ユーティリティ → コンソールで、システムログを確認します。
重要なログ：
- system.log：システム全体のログ
- kernel.log：カーネルレベルのイベント
- install.log：ソフトウェアのインストール履歴
不審なログエントリ：
- 繰り返されるエラーメッセージ
- 不明なURLへの接続試行
- 権限昇格の失敗
- ファイルアクセスの拒否

Gatekeeperは、macOSのセキュリティ機能で、信頼できないアプリの実行を防ぎます。
確認方法：
1. システム環境設定 → セキュリティとプライバシー → 一般
2. 「ダウンロードしたアプリケーションの実行許可」を確認
3. 「すべてのアプリケーションを許可」になっていないことを確認
ターミナルでの確認：
```
spctl --status
```
「assessments enabled」と表示されれば有効

最優先事項は、ネットワークからの切断です。
切断手順：
1. 有線LAN：ケーブルを物理的に抜く
2. Wi-Fi：無線機能をオフにする
3. モバイル通信：機内モードに設定
4. Bluetooth：無効化
切断する理由：
- 個人情報の外部送信を停止
- 他のデバイスへの感染拡大を防止
- リモートコントロールを遮断
- 追加マルウェアのダウンロードを阻止

後の対処や報告のため、現在の状況を記録します。
記録すべき画面：
- エラーメッセージや警告画面
- タスクマネージャーの画面
- 不審なポップアップ
- ブラウザの異常な表示
- セキュリティソフトの検出画面
保存方法：
- Windows：PrintScreenキー、Windows + Shift + S
- Mac：Command + Shift + 3（全画面）、Command + Shift + 4（範囲指定）
- 保存先は外部メディア（USBメモリ等）が理想

専門家に相談する際に必要な情報を整理します。
準備する情報：
- 症状が始まった日時
- 直前の操作（ダウンロード、メール開封など）
- 使用しているセキュリティソフト
- OSのバージョン
- 最近インストールしたソフトウェア
- エラーメッセージの内容
相談先の選択肢：
- 企業の場合：社内IT部門
- 個人の場合：セキュリティソフトのサポート
- 緊急の場合：IPA（情報処理推進機構）の相談窓口

感染確認後の駆除手順：
1. セーフモードで起動
2. セキュリティソフトでフルスキャン
3. 検出されたマルウェアを隔離/削除
4. 複数のツールでクロスチェック
5. システムファイルの修復（sfc /scannow）
駆除の優先順位：
1. ルートキット、バックドアの削除
2. トロイの木馬本体の削除
3. 関連するアドウェア、PUPの削除
4. レジストリのクリーンアップ
5. 一時ファイルの削除

感染による被害を正確に把握することが重要です。
確認項目：
- アクセスした個人情報の種類
- 使用したパスワードのリスト
- アクセスした金融サービス
- 送受信したメール
- アクセスしたクラウドサービス
被害の可能性がある情報：
- クレジットカード情報
- オンラインバンキングの認証情報
- SNSアカウント
- メールアカウント
- 各種サービスのログイン情報

トロイの木馬がランサムウェアをダウンロードすることを防ぎます。
予防措置：
1. 重要ファイルの即座のバックアップ
2. システムの復元ポイント作成
3. Windows Defenderのランサムウェア防止機能を有効化
4. ネットワーク共有の切断
5. クラウド同期の一時停止

過去1ヶ月のソフトウェア更新を確認：
Windows Update履歴：
- 設定 → 更新とセキュリティ → 更新の履歴を表示
インストール済みプログラム：
- コントロールパネル → プログラムと機能
- インストール日でソート
確認ポイント：
- 正規の更新に見せかけた偽アップデート
- 自動更新されたソフトウェアの確認
- 更新元のURLやデジタル署名の確認

サプライチェーン経由の感染を確認：
確認項目：
- メールの添付ファイル（特にOffice文書、PDF）
- ファイル転送サービス経由のファイル
- USBメモリで受け取ったファイル
- 共有フォルダ内のファイル

企業環境での感染拡大リスクを評価：
調査項目：
- VPN接続の有無と接続時間
- 共有フォルダへのアクセス履歴
- Active Directoryへのログイン
- 他の端末へのリモートアクセス
- メール配信リストへの送信
対処の優先順位：
1. IT部門への即時報告
2. ネットワークからの隔離
3. 影響を受けた可能性のある他の端末の確認
4. セキュリティインシデントとしての記録
5. 再発防止策の検討