トロイの木馬感染の症状10選|こんな兆候があったら要注意

用語

パソコンやスマートフォンの動作がいつもと違う、見覚えのない画面が表示される...そんな違和感を感じたら、トロイの木馬に感染している可能性があります。本記事では、トロイの木馬感染の典型的な症状を危険度別に解説し、早期発見のためのチェックポイントをお伝えします。動作の遅延、セキュリティソフトの無効化、金銭被害など、症状を見逃さず適切に対処することで、被害を最小限に抑えることができます。

危険度別:トロイの木馬の症状一覧

危険度レベルの定義

トロイの木馬の症状は、その深刻度によって対処の緊急性が異なります。以下の5段階で危険度を評価し、適切な対応を取ることが重要です。

  • レベル5(緊急):即座に対処必要。ネットワーク切断、電源オフなど緊急措置を実施
  • レベル4(高):24時間以内に対処。重要データのバックアップ後、駆除作業開始
  • レベル3(中):1週間以内に確認。詳細な調査とセキュリティソフトでの完全スキャン
  • レベル2(低):定期チェックで対応。通常のメンテナンス時に確認
  • レベル1(要観察):経過観察。症状の変化を記録し、悪化時は即対応

症状1:パソコンの動作が異常に遅い【危険度4】

具体的な症状

パソコンの動作速度低下は、トロイの木馬感染の最も一般的な症状の一つです。

起動時間が通常の3倍以上
いつもは30秒で起動するPCが、突然2分以上かかるようになった場合、バックグラウンドで悪意のあるプログラムが動作している可能性があります。
アプリの起動に1分以上
WordやExcelなどの通常のアプリケーションが、クリックしてから1分以上起動しない状態は異常です。
文字入力に遅延発生
キーボードで文字を入力してから、画面に表示されるまでに数秒の遅れが生じる場合、キーロガーが動作している可能性があります。
ファイルコピーが極端に遅い
100MBのファイルコピーに10分以上かかるなど、通常の10倍以上の時間がかかる場合は要注意です。

考えられる原因

  • バックグラウンドでマイニング実行:仮想通貨マイニングにCPUを100%使用
  • 大量データの外部送信:個人情報やファイルを攻撃者のサーバーに送信中
  • 他のマルウェアのダウンロード中:追加のマルウェアを次々とダウンロード
  • システムリソースの占有:メモリやCPUを大量に消費して正常動作を妨害

確認方法

  1. タスクマネージャーでCPU使用率確認

    • Ctrl+Shift+Escでタスクマネージャーを開く
    • CPU使用率が常時80%以上は異常
    • 不明なプロセスが上位を占めていないか確認

  2. リソースモニターで詳細分析

    • タスクマネージャーから「リソースモニター」を開く
    • ネットワークタブで不審な通信を確認
    • ディスクタブで大量の読み書きをチェック

  3. Process Explorerで不審プロセス特定

    • Microsoft公式ツールをダウンロード
    • 親子関係を含むプロセスツリーを確認
    • デジタル署名のないプロセスに注意

症状2:見覚えのないプログラムが起動【危険度5】

警戒すべきプログラム

突然現れる不審なプログラムは、トロイの木馬の典型的な症状です。

英数字の羅列(例:svchost32x.exe)

正規のWindowsプロセス「svchost.exe」に似せた名前で偽装します。「svchost32x.exe」「svch0st.exe」(0はゼロ)など、微妙に異なる名前に注意が必要です。

正規プログラムの偽装(例:chr0me.exe)

「chrome.exe」を「chr0me.exe」(0はゼロ)や「chrone.exe」と偽装するケースが多発しています。アイコンも本物そっくりに作られています。

中国語・ロシア語の表示

突然、中国語やロシア語、アラビア語などのポップアップが表示される場合、海外製のトロイの木馬の可能性が高いです。

管理者権限を要求する不明アプリ

「このアプリがデバイスに変更を加えることを許可しますか?」という画面が、身に覚えのないタイミングで表示される場合は要注意です。

発見時の対応

  1. 即座にネットワーク切断

    • Wi-Fiをオフ、LANケーブルを抜く
    • 追加のマルウェアダウンロードを防止

  2. プロセスの強制終了

    • タスクマネージャーで該当プロセスを右クリック
    • 「タスクの終了」または「プロセスツリーの終了」

  3. 自動起動の無効化

    • msconfig または タスクマネージャーの「スタートアップ」タブ
    • 不審なプログラムを無効化

  4. セキュリティスキャン実行

    • Windows DefenderまたはMalwarebytesでフルスキャン
    • 複数のツールでクロスチェック

症状3:ブラウザの挙動が異常【危険度3】

典型的な症状

ブラウザは、トロイの木馬が最も狙いやすいターゲットの一つです。

ホームページの強制変更
起動時のページが勝手に変更され、設定を戻してもまた変わってしまう状態です。多くは怪しい検索サイトや広告ページに設定されます。
検索エンジンの置き換え
GoogleやBingではなく、聞いたことのない検索エンジンに勝手に変更されます。検索結果も偽装され、悪意のあるサイトへ誘導されます。
大量のポップアップ広告
Webサイトを開くたびに、10個以上の広告ウィンドウが開く状態は明らかに異常です。
意図しないリダイレクト
正規のサイトにアクセスしても、全く別のサイトに転送される現象です。
新しいツールバーの追加
インストールした覚えのないツールバーが、ブラウザ上部に表示されます。

ブラウザ別の確認箇所

Chrome

  • 設定→拡張機能:不審な拡張機能を確認
  • 設定→同期とGoogleサービス:同期設定を確認
  • chrome://policy/:企業ポリシーの不正設定を確認

Edge

  • 設定→プライバシー、検索、サービス:検索エンジン設定
  • edge://extensions/:拡張機能の確認
  • スタートページの設定確認

Firefox

  • アドオンマネージャー:不審なアドオンを確認
  • about:config:詳細設定の改ざんを確認
  • プロファイルの整合性確認

症状4:セキュリティソフトが無効化【危険度5】

危険な兆候

セキュリティソフトの無効化は、トロイの木馬が自己防衛のために行う最も危険な行為です。

  • Windows Defender が勝手にオフ:設定画面で有効にしても、すぐに無効に戻る
  • リアルタイム保護の無効化:「リアルタイム保護がオフになっています」の警告
  • 定義ファイル更新の失敗:「定義ファイルが古くなっています」が続く
  • セキュリティソフトが起動しない:アイコンをクリックしても反応なし

トロイの木馬による妨害手法

サービスの強制停止
Windows サービスからセキュリティソフトのサービスを停止させ、再起動しても自動起動しないように設定を変更します。
レジストリの改ざん
セキュリティソフトの動作に必要なレジストリキーを削除または変更し、正常動作を妨げます。
定義ファイルの削除
ウイルス定義ファイルを削除し、新しい脅威を検出できないようにします。
通信のブロック
ファイアウォール設定を変更し、セキュリティソフトのアップデートサーバーへの通信をブロックします。

症状5:ネットワーク通信量の異常増加【危険度4】

数値で見る異常

通信量の急激な増加は、データ窃取やボットネット活動の明確な兆候です。

  • 通常の10倍以上のデータ送信:1日1GBが突然10GB以上に
  • 深夜の大量通信(1GB以上):使用していない時間帯の大量通信
  • 海外サーバーへの頻繁な接続:ロシア、中国、東欧への不審な通信
  • P2P通信の検出:ファイル共有ソフトを使っていないのにP2P通信

確認ツール

Windows標準ツール

  • リソースモニター:ネットワークタブで通信プロセスを確認
  • netstat コマンド:コマンドプロンプトで「netstat -ano」を実行
  • パフォーマンスモニター:詳細な通信統計を確認

ルーター

  • 管理画面にログイン
  • 通信ログや統計情報を確認
  • 不審なデバイスの接続を確認

フリーソフト

  • NetWorx:通信量の詳細な監視と記録
  • GlassWire:視覚的に通信を監視、異常を即座に検知

症状6:ファイルやフォルダの異常【危険度3】

ファイルシステムの症状

ファイルやフォルダの異常は、トロイの木馬が活動している証拠です。

デスクトップアイコンの変更
アイコンが白紙になったり、違うアイコンに変わったりします。特にexeファイルのアイコン変更は危険信号です。
ファイルの勝手な暗号化
文書ファイルが開けなくなり、拡張子が「.locked」「.encrypted」などに変更されます。
拡張子の一括変更
すべての文書ファイルの拡張子が突然変更される現象です。
隠しファイルの大量生成
Cドライブ直下やユーザーフォルダに、見覚えのない隠しファイルが大量に作成されます。

特に注意すべき変更

  • .exeファイルのアイコン変更:実行ファイルのアイコンが統一される
  • システムフォルダ内の新規ファイル:System32フォルダ内に不審なファイル
  • テンポラリフォルダの肥大化:Tempフォルダが数GB以上に膨張

症状7:アカウントへの不正アクセス【危険度5】

不正アクセスの兆候

オンラインアカウントへの不正アクセスは、個人情報流出の明確な証拠です。

  • ログイン通知(身に覚えなし):「新しいデバイスからログインされました」
  • パスワード変更の通知:自分で変更していないのに通知が来る
  • 二段階認証の無効化:セキュリティ設定が勝手に弱体化
  • 不明なデバイスからのアクセス:ログイン履歴に見知らぬデバイス

確認すべきアカウント

優先順位順に確認すべきアカウント:

  1. メールアカウント(最優先)

    • Gmail、Outlook、Yahoo!メール
    • パスワードリセットの起点となるため最重要

  2. SNS(Facebook、X、Instagram)

    • 不審な投稿やメッセージ送信の確認
    • プライバシー設定の変更確認

  3. 金融サービス

    • ネットバンキング、証券口座
    • クレジットカード会社のマイページ

  4. クラウドストレージ

    • Google Drive、OneDrive、Dropbox
    • ファイルの削除や流出の確認

症状8:システム設定の勝手な変更【危険度4】

変更される設定

トロイの木馬は、活動しやすい環境を作るためシステム設定を改変します。

ファイアウォールの例外追加
Windows Defenderファイアウォールに、不審なプログラムの例外が追加され、外部との通信が許可されます。
プロキシ設定の変更
インターネット通信がすべて攻撃者のサーバー経由になり、情報が盗聴されます。
DNS設定の書き換え
DNSサーバーが変更され、正規サイトへのアクセスが偽サイトに誘導されます。
レジストリの改ざん
Windowsの動作を制御するレジストリが変更され、セキュリティ機能が無効化されます。

Windows設定の確認箇所

  • コントロールパネル→システムとセキュリティ:全体的なセキュリティ状態
  • ネットワークと共有センター:ネットワーク設定の確認
  • Windows Defender ファイアウォール:例外設定の確認
  • インターネットオプション→接続→LANの設定:プロキシ設定

症状9:偽の警告メッセージ【危険度2】

偽警告の特徴

詐欺的な警告メッセージは、パニックを誘発して誤った行動を取らせます。

  • 「ウイルスが○個検出されました」:具体的な数字で危機感を煽る
  • カウントダウンタイマー表示:「5分以内に対処しないと...」
  • 電話番号の表示:「今すぐ 03-xxxx-xxxx に電話」
  • 日本語の不自然さ:「あなたのパソコンは感染しています状態」

本物との見分け方

公式ツールは電話番号を表示しない
MicrosoftやAppleは、画面に電話番号を表示して電話を求めることはありません。
ブラウザ内の警告は偽物
ブラウザのタブ内に表示される警告は、Webページの一部であり、システムの警告ではありません。
Microsoft は電話サポートを求めない
「Microsoftサポートに電話してください」という表示は100%詐欺です。

症状10:金銭的被害の発生【危険度5】

直接的な金銭被害

金銭被害は、トロイの木馬感染の最も深刻な結果です。

  • クレジットカードの不正利用:海外での高額決済、オンラインショッピング
  • ネットバンキングからの不正送金:見知らぬ口座への送金
  • 仮想通貨の盗難:ウォレットからの不正送金
  • 有料サービスへの勝手な登録:月額課金サービスへの登録

間接的な被害

  • 電話料金の異常増加:国際電話や有料ダイヤルへの発信
  • データ通信料の増加:大量データ送信による追加料金
  • 電気代の上昇(マイニング):仮想通貨マイニングによる電力消費

複合症状:ランサムウェア化の前兆

段階的な症状の進行

トロイの木馬からランサムウェアへの移行は、段階的に進行します。

  1. 初期:動作の遅延

    • わずかな速度低下から始まる
    • 気づきにくいレベルの変化

  2. 中期:ファイルアクセスエラー

    • 特定のファイルが開けない
    • 「アクセスが拒否されました」エラー

  3. 後期:拡張子の変更開始

    • 一部ファイルの拡張子が変更
    • .locked、.encrypted などが付加

  4. 最終:身代金要求画面

    • デスクトップに身代金要求
    • すべてのファイルが暗号化

緊急対処の重要性

  • ランサムウェア化まで平均72時間:初期症状から完全暗号化まで
  • 早期発見で被害最小化:24時間以内の対処で95%防御可能
  • バックアップの緊急取得:症状発見後、即座に重要データをバックアップ

デバイス別の特有症状

スマートフォンの症状

バッテリーの異常消耗
フル充電が半日持たない、使用していないのに本体が熱い状態が続きます。
本体の発熱
ポケットに入れているだけで熱くなる、充電中でないのに高温になります。
データ通信量の激増
月間1GBが突然10GB以上に増加、Wi-Fi接続時でもモバイルデータを消費します。
勝手なアプリインストール
見覚えのないアプリが増えている、削除してもまた現れます。

IoT機器の症状

  • 再起動の頻発:1日に何度も勝手に再起動
  • 設定のリセット:設定が初期値に戻る
  • 異常な通信パターン:深夜の大量通信
  • ファームウェア改ざん:アップデート失敗の繰り返し

症状レベル診断チャート

セルフチェックフロー

症状あり?
├─ 複数症状(3つ以上)→ 危険度5 → 即座にネットワーク切断
├─ 金銭被害発生 → 危険度5 → 警察・銀行に相談
├─ 単一症状 → 詳細確認
│  ├─ セキュリティ無効 → 危険度5 → 即対処
│  ├─ アカウント不正 → 危険度5 → パスワード変更
│  ├─ 動作遅延 → 危険度3-4 → 24時間以内に対処
│  └─ 広告表示 → 危険度2 → 週末に対処
└─ 症状なし → 定期スキャン継続(月1回)

サプライチェーン攻撃による症状

特殊な症状パターン

サプライチェーン攻撃によるトロイの木馬は、通常とは異なる症状を示します。

正規ソフトの更新後に発生
信頼できるソフトウェアのアップデート直後から症状が始まります。正規の署名があるため、セキュリティソフトでも検出困難です。
信頼できるソフトでの異常
長年使用している業務ソフトが突然異常な動作を始めます。
企業全体での同時多発
同じソフトウェアを使用している複数の部署で、同時に症状が発生します。
検出が極めて困難
正規のソフトウェアとして動作するため、通常の検査では発見できません。

対処の特殊性

  • 通常の駆除では不十分:正規ソフトの一部として動作するため
  • ベンダーへの問い合わせ必須:ソフトウェア提供元の確認が必要
  • 企業間での情報共有:同業他社での発生状況確認
  • 専門家の介入必要:フォレンジック調査が必要な場合も

まとめ

トロイの木馬の感染症状は多岐にわたりますが、早期発見により被害を最小限に抑えることができます。特に、複数の症状が同時に現れた場合は、危険度5として即座に対処する必要があります。

日頃から以下の点に注意し、異常を感じたらすぐに確認することが重要です:

  • パソコンの動作速度の変化
  • 見覚えのないプログラムやファイル
  • セキュリティソフトの状態
  • オンラインアカウントのログイン履歴

症状を発見した場合は、まずネットワークを切断し、重要データをバックアップした後、セキュリティソフトでの駆除を試みてください。自力での対処が困難な場合は、専門家に相談することをお勧めします。

更新履歴

初稿公開

京都開発研究所

システム開発/サーバ構築・保守/技術研究

CMSの独自開発および各業務管理システム開発を行っており、 10年以上にわたり自社開発CMSにて作成してきた70,000以上のサイトを 自社で管理するサーバに保守管理する。