トロイの木馬は、こうしてWebサイトに入り込む
「正規のふりをする」のが、トロイの木馬の特徴
トロイの木馬は、有益なソフトウェアや正規のファイルを装って侵入する点に特徴があります。名前の由来である木馬の逸話と同じく、外見上は無害、あるいは有用に見えるものの中に、悪意あるコードが隠されています。
ウイルスのように自己増殖するわけではなく、利用者や管理者が自ら導入したり実行したりすることで動き出す点も特徴です。侵入の主な原因は、「気づかず招き入れてしまうこと」にあります。
Webサイトの世界では、プラグインやテーマが標的になる
WordPressのようなCMSを利用したWebサイトでは、プラグインやテーマのファイルにトロイの木馬が仕込まれるケースがあります。非公式な配布元から入手したファイルや、改変されたコピーの中に、正規の機能に見せかけたコードが埋め込まれていることがあります。
導入した時点では見た目も動作も通常通りに見えるため、管理者が異変に気づくのは簡単ではありません。
動き出すのは、導入されたあと
トロイの木馬は、導入されて初めて機能します。動き出すと、外部との不審な通信を始めたり、他のファイルを書き換えたり、新たな侵入経路(バックドア)を設置したりします。導入時点では無害に見えても、実行後に本性を現す構造です。
このタイムラグがあるため、「最近何を導入したか」を振り返ることが、原因の特定につながることがあります。
見た目の信頼性は、安全の証明にはならない
配布サイトのデザインが整っていることや、レビューが多く見えることは、必ずしも安全性の証明にはなりません。正規のプラグイン配布元(公式ディレクトリ等)を経由しているかどうかは、確認できる数少ない手がかりのひとつです。
とはいえ、公式の配布元だからといって全てのリスクが消えるわけではなく、確認だけに頼るのではなく、導入後の動作を見ていく視点も必要になります。
導入後の変化に気づく仕組みが、最後の砦になる
入り口で完全に防ぎきることが難しい以上、導入後にファイルの変化や不審な通信が起きていないかを継続的に見ている仕組みが、最後の砦になります。トロイの木馬が動き出した瞬間の変化を捉えられれば、被害が広がる前に対応できます。
Webサーバーの変化を検知する仕組みは、種類を問わず不審な動きそのものを捉える点で、トロイの木馬のような正体を偽装するタイプにも有効です。
導入するファイルは、出どころを意識する
新しいプラグインやテーマを導入する際は、どこから入手したファイルなのかを意識することが、最初の予防線になります。無料配布や非公式な提供元には、相応のリスクがあることを踏まえておく必要があります。
運用しているWebサイトに心当たりのないファイルが増えていないか、たまに確認してみることも、早期発見につながります。
偽装されたコードも、Scanrollが検知します
詳しく見る →