トロイの木馬とは?正体とウイルス・ワームの違い・感染の仕組みと企業の対策を実装目線で解説
トロイの木馬とは、無害で正規のソフトウェアに偽装してパソコンやサーバーへ侵入し、こっそりバックドアを仕掛けたり情報を盗んだりする悪意あるプログラム、つまりマルウェアの一種です。ギリシャ神話で兵士を隠した木馬が城内へ運び込まれた逸話にちなむ呼び名で、利用者自身に「安全なファイル」だと思わせて実行させる点が最大の特徴になります。よく「トロイの木馬ウイルス」と呼ばれますが、厳密にはウイルスではありません。この記事では、トロイの木馬が実際に何をするのかという定義から、ファイルに寄生して増えるウイルスやネットワークを自ら渡り歩くワームとの技術的な違い、ダウンローダー型やバックドア型といった種類と感染経路、感染したときに現れる症状、シグネチャ検知の限界とEDR・ふるまい検知による捕捉、感染が疑われたときの初動、そして企業システムを守るための多層防御と保守運用の判断までを、システムの発注者と運用者の双方が意思決定に使える形で整理します。
目次
まとめ|トロイの木馬の正体と企業システムで押さえる対策の要点
トロイの木馬は、正規のソフトや文書に成りすまして利用者に実行させ、端末の内部でバックドアの設置・情報の窃取・遠隔操作などを行うマルウェアです。ウイルスやワームと同じ「マルウェア」という大きな括りに入りますが、決定的な違いは自己複製の有無にあります。ウイルスは他のファイルに寄生して自分の複製を増やし、ワームはネットワークを通じて自律的に広がるのに対し、トロイの木馬は自ら増殖せず、利用者が偽装ファイルを開くのを待って侵入する仕組みです。だからこそ、人を騙して実行させる入口の対策が防御の起点になります。
企業の実務でまず押さえたいのは、単一の製品では守り切れないという前提です。メールとWebの入口フィルタで偽装ファイルの到達を減らし、エンドポイントではシグネチャに頼らないEDRやふるまい検知で「実行後の不審な挙動」を捉え、最小権限とパッチ適用で侵入時の被害を狭める。さらに、外部の指令サーバーとの通信を境界のファイアウォールやIDS・IPSで検知し、ログ監視とバックアップで発見と復旧に備える。これらを重ねる多層防御と、それを回し続ける保守運用が、トロイの木馬対策の核になります。以下で定義・違い・種類と経路・検知と初動・企業の防御設計を順に解説します。
トロイの木馬とは|正規ソフトに偽装して侵入するマルウェアの正体
最初に、トロイの木馬が実際に何を操作しているのかを固めます。ここが曖昧なままだと、後半のウイルスとの違いや検知手法の話が捉えづらくなるはずです。トロイの木馬は単独で暴れるより、正規プログラムのふりをして内部に入り込み、静かに居座って別の目的を果たす道具として動きます。
名前の由来と基本定義:ギリシャ神話に由来する偽装型マルウェア
トロイの木馬という呼称は、ギリシャ神話のトロイア戦争で、兵士を潜ませた巨大な木馬を敵が城内へ運び込んでしまった逸話に由来します。この比喩どおり、実体は「役に立つソフト」「無害な文書」を装って利用者の手で内部へ招き入れられるマルウェアです。英語ではTrojan horse、あるいは単にTrojanと表記します。定義上の要点は二つあります。ひとつは、正規のプログラムやファイルへの偽装を前提とすること。もうひとつは、後述するウイルスやワームと違い、それ自体は自己複製の機能を持たないことです。利用者が「安全だ」と誤認して実行した瞬間に侵入が成立し、以降は裏で目的の動作を進めます。
トロイの木馬が実際に行う動作:バックドア設置・情報窃取・遠隔操作
侵入後のトロイの木馬は、目的に応じてさまざまな動作を行います。代表的なのが、攻撃者が後からいつでも入り込める裏口を作るバックドアの設置です。これにより端末は外部から遠隔操作でき、こうした遠隔操作機能を中心に据えたものはRAT(遠隔操作型)と呼ばれます。ほかにも、認証情報やクレジットカード番号を盗み出す情報窃取、キーボード入力を記録するキーロギング、外部の指令サーバー(C2サーバー)と通信して追加の命令を受け取る動作などがあります。単体で完結せず、侵入後に別のマルウェアを呼び込む中継役として使われるのも典型です。つまりトロイの木馬は「最初の一歩」を担う侵入口であり、その先で何をするかは攻撃者の狙い次第で変わります。
マルウェアという大分類の中でトロイの木馬が占める位置づけと役割
マルウェアは、悪意ある動作を目的に作られたソフトウェアの総称です。その内訳を「増え方」で分けると、寄生して増えるウイルス、自律拡散するワーム、そして自己増殖せず偽装で侵入するトロイの木馬に整理できます。一方で「目的」で分けると、身代金を要求するランサムウェア、情報を盗むスパイウェア、広告を強制表示するアドウェアといった区分です。この二つの軸は重なり合うのが実態で、たとえばトロイの木馬として侵入したあと、内部でランサムウェアをダウンロードして起動する、という連携が起こります。トロイの木馬が招き入れる代表的な目的種のひとつが、身代金要求型のランサムウェアとは?定義と基本的な概念を理解するで、侵入の手口と最終的な被害を分けて捉えると全体像がつかめます。トロイの木馬は「どう入るか」を担い、入った先の「何をするか」は別の分類が担う、という役割分担で理解すると混乱しません。
トロイの木馬とウイルス・ワームの違い|自己複製の有無で見分ける
「トロイの木馬ウイルス」という言い回しが広く使われますが、技術的にはウイルスとトロイの木馬は別物です。三者を分ける軸は、自分でコピーを増やすかどうか、そしてどうやって広がるかにあります。ここを押さえると、検知や対策の考え方の違いも腑に落ちます。
ウイルスとの違い:宿主ファイルへの寄生と自己増殖の有無という線引き
コンピュータウイルスは、既存のプログラムや文書といった宿主ファイルに自分のコードを埋め込み、そのファイルが実行・複製されるたびに自身の複製を他へ広げていきます。生物のウイルスが細胞に寄生して増えるのになぞらえた呼び名で、感染対象となる宿主がなければ増殖できません。対してトロイの木馬は、他のファイルに寄生せず、自分自身がひとつの独立した「無害を装うファイル」として存在します。そして自己増殖の機能を持たないため、感染を広げるには利用者が偽装ファイルを開くという行為が毎回必要です。増える力を持たない代わりに、人の油断を突いて一台ずつ確実に侵入するのがトロイの木馬の性質だと言えます。
ワームとの違い:ネットワーク越しに自律拡散する力を持たない点
ワームは、ウイルスと同じく自己複製しますが、宿主ファイルを必要とせず単独で存在し、ネットワークの脆弱性などを突いて別の端末へ自ら次々と感染を広げます。利用者の操作を待たずに自律的に拡散するため、社内ネットワークで一気に感染台数が増える爆発力を持ちます。トロイの木馬には、この自律拡散の機能がありません。あくまで偽装ファイルが実行される受け身の侵入にとどまり、勝手に隣の端末へ移っていくことはないのが基本です。三者の違いを整理します。
| 種類 | 自己複製 | 広がり方 |
|---|---|---|
| ウイルス | する | 宿主ファイルに寄生 |
| ワーム | する | ネットワークを自律拡散 |
| トロイの木馬 | しない | 偽装し利用者が実行 |
この線引きは対策にも直結します。自律拡散するワームはネットワーク側の遮断が効きやすい一方、実行を待つトロイの木馬は、人を騙す入口と実行後の挙動を捉える防御が要になります。
RAT・スパイウェア・ドロッパーなど重なり合う用語の関係の整理
トロイの木馬をめぐる用語は重なりが多く、混同されがちです。RAT(遠隔操作型トロイの木馬)は、トロイの木馬のうち遠隔操作機能を主目的にしたものを指す下位分類です。スパイウェアは「情報を盗む」という目的による分類で、トロイの木馬という侵入手段と目的が一致する場面では両方の呼び名が当てはまります。ダウンローダーやドロッパーは、侵入後に別のマルウェアを取り込む役割に着目した呼び方です。これらは排他的なラベルではなく、ひとつの検体が「トロイの木馬でありRATでありスパイウェアでもある」といった具合に複数の性質を兼ねます。名称の違いに振り回されず、その検体が実際に何をするかで捉えるのが実務的です。
トロイの木馬の主な種類と感染経路|標的型メールと偽アプリ配布
トロイの木馬は、担う役割によっていくつかの型に分けられます。あわせて、どの経路で端末へ届くのかを押さえると、どこで食い止めればよいかが見えてくるはずです。ここでは主要な分類と感染経路、そして感染を疑うべき症状を確認します。
ダウンローダー型・バックドア型・RAT型など役割で分ける主要分類
トロイの木馬は、侵入後にどんな仕事をするかで型が分かれます。実務で押さえておきたい代表的な型を挙げます。
- ダウンローダー型・ドロッパー型:侵入後に本命の別マルウェアを取り込んで展開する
- バックドア型:攻撃者が再侵入するための裏口を開き、外部からの操作を受け付ける
- RAT型(遠隔操作型):画面操作やファイル操作を含む遠隔制御を行う
- 情報窃取型(バンキング型など):認証情報やネットバンキングの資格情報を盗む
- クリッカー型・ボット型:広告不正や、外部指令で動く踏み台として悪用する
ひとつの検体が複数の型を兼ねるのは珍しくありません。まず注意すべきはバックドア型とダウンローダー型で、これらは「侵入口を開いて被害を拡大させる起点」になりやすく、被害の連鎖につながります。
標的型メール添付・正規サイト改ざん・偽ソフト配布などの感染経路
トロイの木馬の侵入口は、いずれも「正規の何か」への偽装で共通します。もっとも多いのが、取引先や公的機関からの連絡を装ったメールに、不正なファイルを添付したりリンクを載せたりする手口です。業務に紛れた自然な文面で油断を誘い、添付を開かせて実行させます。次に、正規のWebサイトが改ざんされ、閲覧しただけで不正なプログラムを送り込む水飲み場型の攻撃があります。加えて、人気ソフトやスマホアプリの海賊版・偽物にトロイの木馬を仕込み、配布サイトやストア外から入手させる手口も定番です。ここ数年は生成AIを悪用してマルウェアの生成や偽装を高度化する動きも報告されており、たとえば初のAI駆動型ランサムウェア『PromptLock』がESETにより発見:生成AI悪用が示す新たな脅威のように、攻撃側の道具立てが変化している点も押さえておく必要があります。経路は違っても、最後は利用者にファイルを実行させる一点に収束するのがトロイの木馬の共通項です。
感染時の症状:通信量増加・不審プロセス・設定変更などのサイン
トロイの木馬は気づかれないよう静かに動くのが狙いのため、症状が分かりにくいのが厄介です。それでも手がかりは残ります。心当たりのない外部との通信が続いて通信量が増える、覚えのないプロセスやサービスが常駐している、CPUやディスクの使用率が理由なく高止まりする、セキュリティソフトが勝手に無効化される、見慣れないアカウントやスタートアップ項目が追加される、といった変化がサインです。バックドア型やRAT型では、深夜など不在の時間帯に外部通信が発生することもあります。ただし、無症状のまま潜伏する検体も多く、「症状が出ないから安全」とは判断できません。だからこそ、症状の観察だけに頼らず、後述の検知の仕組みで挙動を能動的に捉える設計が必要になります。
トロイの木馬の検知と駆除|EDR・ふるまい検知と感染時の初動
トロイの木馬は偽装と潜伏を前提とするため、従来型の検知だけでは取りこぼしが出ます。ここでは、なぜシグネチャ検知だけでは足りないのか、何で補うのか、そして感染が疑われたときに何から動くのかを実務の順序で整理します。
シグネチャ検知の限界とふるまい検知・EDRによる不審挙動の捕捉
従来のセキュリティソフトの中心は、既知のマルウェアの特徴(シグネチャ)と照合するシグネチャ検知です。既知の検体には有効ですが、少しコードを変えたり難読化したりした亜種や、まだ知られていない新種は、パターンに一致せずすり抜けます。トロイの木馬は偽装と改変を繰り返すため、この弱点を突かれやすいのが実情です。これを補うのが、ファイルの見た目ではなく「実行後の振る舞い」で判断するふるまい検知や、端末の挙動を継続的に記録・分析するEDR(エンドポイント検知・対応)です。見慣れないプロセスが外部と通信を始めた、正規プロセスに不審なコードが注入された、といった攻撃らしい動きを捉えて警告・遮断します。侵入をゼロにできない前提で、入った後の異常を素早く見つける発想への転換が、トロイの木馬対策では効きます。
感染疑い時の初動:ネットワーク隔離と通信遮断・痕跡調査の手順
感染が疑われたら、被害の拡大を止める初動が最優先です。慌てて端末を再起動したり、いきなり初期化したりすると、調査に必要な痕跡が消え、再発防止の手がかりを失います。実務での基本手順は次のとおりです。
- 該当端末をネットワークから切り離し、外部の指令サーバーとの通信を断つ
- 電源は落とさず、通信だけを遮断して揮発情報や痕跡を保全する
- ログや不審プロセス、通信先を記録し、感染範囲と侵入経路を調べる
- 認証情報の窃取に備え、関係するパスワードやアクセスキーを変更する
- 被害範囲を確定させたうえで、駆除と復旧、再発防止策の適用へ進む
組織で起きた場合は、独断で消さず、情報システム部門やセキュリティ担当へ速やかに共有し、対応方針をそろえてから動くのが鉄則です。侵入の兆候を境界で捉える仕組みとして、通信内容から不正を検知・遮断するIDS・IPSとは?違い・仕組み・種類とファイアウォール/WAFとの使い分けを解説を併用すると、端末側の検知と合わせて発見が早まります。
駆除と復旧:入口を閉じて再感染を防ぐ手順とバックアップからの回復
駆除は、セキュリティソフトやEDRでの検体の除去が出発点ですが、それだけで安心はできません。バックドアが残っていれば再侵入を許し、盗まれた認証情報が悪用され続けるおそれもあります。被害が広範な場合や、バックドアの完全な除去に確信が持てない場合は、端末をクリーンな状態へ初期化し、感染前の正常なバックアップから復元するのが確実です。復旧にあたっては、侵入の起点となった脆弱性やパスワードを必ず塞ぎ、同じ経路での再感染を防ぎます。バックアップ自体がマルウェアに汚染されていないか、復元ポイントが感染前かを確認する工程も外せません。駆除は「消して終わり」ではなく、入口を閉じて再発を断つところまでを含めて初めて完了します。
企業システムをトロイの木馬から守る多層防御と保守運用の判断軸
ここまでの仕組みを、企業システムの守り方に落とします。単一の製品で防ぐ発想は捨て、複数の層で受け止める前提に立つのが出発点です。何を優先し、どこからは過剰とみなすか、条件を示して言い切ります。
入口・エンドポイント・通信境界の各層を重ねる多層防御の設計思想
トロイの木馬は入口・実行・通信・拡大という段階を踏むため、各段階に別々の防御を置く多層防御が有効です。入口では、メールのフィルタリングと添付ファイルの検査、Webのフィルタで偽装ファイルの到達そのものを減らします。実行の段階では、エンドポイントのEDRやふるまい検知で不審な挙動を捉え、アプリケーションの許可制(署名された正規のプログラムだけを動かす制御)で未許可の実行を止める設計です。通信の段階では、外部の指令サーバーとのやり取りを境界で遮断します。ここで働くネットワーク境界の守りがファイアウォールとは?仕組み・種類とWAF・UTMとの違い、企業の選び方を解説で整理した仕組みで、通したい通信と断つ通信を境界で切り分けます。どれか一枚が破られても次の層で受け止める、という重ね方が設計の勘所です。
開発・運用側の対策:最小権限とパッチ・依存関係の管理とコード署名
製品を並べるだけでなく、システムを作り運用する側の作り込みが被害の大きさを左右します。まず徹底したいのが最小権限で、利用者やプロセスに必要以上の権限を与えないという原則です。次に脆弱性管理で、OS・ミドルウェア・ライブラリのパッチを継続的に当て、改ざんサイトや脆弱性を突く侵入口をふさぎます。自社開発では、取り込む外部ライブラリの出所を確かめる依存関係の管理と、配布物にコード署名を施して改ざん・偽装を検知できるようにする対策が有効です。開発工程にセキュリティを組み込むことで、そもそも偽装や混入が入り込む隙を減らせます。これらは一度きりの設定ではなく、更新のたびに回し続ける運用があって初めて機能します。
何を優先し何を過剰とみなすか:組織規模別の判断と失敗パターン
限られた予算で全部は揃いません。優先順位を条件つきで言い切ります。従業員が端末を日常的に使い、メール経由の侵入リスクが高い組織なら、最優先はメール・Web入口の対策とEDRの二枚です。この二つを欠いたまま高価な専用機器を先に導入するのは、順序として過剰であり効果が薄い。一方、外部公開するWebサーバーやシステムを自社で運用するなら、脆弱性管理とパッチ運用、ログ監視を先に固めるべきで、ここを放置したエンドポイント対策だけでは入口が空いたままになります。よくある失敗は三つあります。導入して満足し、シグネチャ更新やパッチ適用という運用を止めてしまうこと。権限を配りすぎて侵入時の被害を自ら広げること。そしてバックアップを取っていても復元を試したことがなく、いざというとき戻せないこと。いずれも製品ではなく運用の欠落が原因です。こうした継続運用を社内だけで回し切れない場合は、24時間の監視やパッチ適用を含むシステムの保守運用・内製化支援で、検知から復旧までの体制づくりを外部と組み合わせて設計できます。
トロイの木馬の感染経路と検知・企業の対策に関するよくある質問
検索されることの多い疑問に、仕組みと運用の両面から簡潔に答えます。
トロイの木馬とウイルスの違いは何ですか?
最大の違いは自己複製の有無です。ウイルスは他のファイルに寄生して自分の複製を増やしますが、トロイの木馬は自ら増殖せず、正規のソフトや文書に偽装して利用者に実行させることで侵入します。「トロイの木馬ウイルス」と呼ばれることが多いものの、技術的にはどちらもマルウェアという括りの中の別の種類です。増える力を持たない代わりに、人の油断を突いて一台ずつ侵入するのがトロイの木馬の性質です。
トロイの木馬に感染するとどうなりますか?
侵入後は、攻撃者が再侵入するためのバックドアの設置、認証情報やクレジットカード番号などの情報窃取、キーボード入力の記録、端末の遠隔操作、別のマルウェアの取り込みといった動作が行われます。気づかれないよう静かに動くことが多く、通信量の増加や不審なプロセスの常駐、セキュリティソフトの無効化などがサインになります。無症状で潜伏する検体もあるため、症状の有無だけで安全とは判断できません。
トロイの木馬に感染したか確認する方法はありますか?
心当たりのない外部通信の継続、覚えのない常駐プロセスやサービス、CPU・ディスク使用率の不自然な高止まり、セキュリティソフトの無効化、見慣れないアカウントやスタートアップ項目の追加などが確認の手がかりです。ただし巧妙な検体は痕跡を隠すため、目視だけでは見抜けません。ふるまい検知やEDRといった、実行後の挙動を継続的に監視する仕組みで能動的に捉えるのが確実です。
トロイの木馬に感染したらどうすればいいですか?
まず該当端末をネットワークから切り離し、外部の指令サーバーとの通信を断ちます。このとき電源は落とさず、通信だけを遮断して痕跡を保全するのが先決です。そのうえでログや通信先から感染範囲と経路を調べ、窃取に備えて関係するパスワードやアクセスキーを変更します。被害範囲を確定させてから駆除・復旧へ進むのが基本です。組織では独断で消さず、情報システム部門やセキュリティ担当に共有し、方針をそろえてから動きます。
無料のセキュリティソフトでトロイの木馬は防げますか?
既知のトロイの木馬の検知には一定の効果がありますが、それだけでは不十分です。無料製品の多くはシグネチャ検知が中心で、難読化された亜種や未知の検体はすり抜けます。企業システムでは、メールやWebの入口対策、ふるまい検知やEDR、脆弱性のパッチ運用、最小権限、ログ監視、バックアップを重ねる多層防御が前提になります。単一のソフトに頼らず、入口・実行・通信・復旧の各段階に手当てするのが守り方です。
関連記事
- ランサムウェアとは?定義と基本的な概念を理解する:トロイの木馬が招き入れる代表的な目的種である、身代金要求型マルウェアの仕組みを解説しています。
- IDS・IPSとは?違い・仕組み・種類とファイアウォール/WAFとの使い分けを解説:トロイの木馬の外部通信を境界で検知・遮断する、侵入検知・防御の仕組みを整理しています。
- ファイアウォールとは?仕組み・種類とWAF・UTMとの違い、企業の選び方を解説:多層防御の通信段階を担う、ネットワーク境界での通信制御の考え方をまとめています。
- 初のAI駆動型ランサムウェア『PromptLock』がESETにより発見:生成AI悪用が示す新たな脅威:生成AIの悪用でマルウェアの生成・偽装が高度化する、攻撃側の変化を扱った事例です。