Trickbotという非常に危険なマルウェアをご存知でしょうか。何の対策もしていない場合、思わぬ被害や損害を受ける可能性があり、間接的に顧客やユーザーに迷惑をかける可能性が高まります。
今回はTrickbotの特徴や危険である理由、Trickbotに感染した場合の対処法、そしてTrickbotに感染しないためのセキュリティ対策についてお話します。

Trickbotの特徴や危険である理由

はじめにTrickbotの特徴や危険である理由について説明します。

Trickbotの特徴

Trickbotとは、非常に危険で悪質なマルウェアです。WordPressにプラグインをインストールするかのように、自身の機能を拡張することが可能であり、感染してしまうことでさまざまな被害を受ける可能性が高まります。
Trickbotはバンキング型トロイの木馬に属するマルウェアで、元々はオンラインバンキングのログイン情報を盗み出すマルウェアであるとされ、2016年頃から徐々に被害が拡大してきました。昨今ではAndroidデバイスを標的にした同様のマルウェアによる被害も増えており、デバイスを問わず注意する必要があるマルウェアと言えます。

Trickbotが危険である理由

Trickbotが危険である理由をいくつか挙げてみます。

・自身の機能を拡張が可能であること
・拡張した機能によってさらに感染を広げること
・潜伏し続けることで継続的なサイバー攻撃を可能にすること
・潜伏と感染拡大による相乗効果が高いこと
・各種サイバー攻撃と相性が良すぎること

上記は一例ですが、悪意のある第三者が思い通りにカスタマイズし、状況に応じてさまざまなサイバー攻撃を行えることと言えます。例えば、直接的、または即時的に攻撃を仕掛けてくるのではなく、潜伏して検知および発見を遅らせる。感染したデバイスの中でも潜伏し、情報を盗みだし、さらに他のデバイスを感染させる。この繰り返しで大多数のデバイスに感染させた後、一斉にランサムウェアを起動、またはDDoS攻撃の踏み台にするなど、「悪意のある第三者の手駒」として悪用され、間接的にサイバー攻撃に加担させられてしまうのです。
感染が拡大する範囲は社内や組織内だけでなく、顧客やユーザー、場合によっては家族や友人など多岐に渡ります。自分自身が感染源となってしまうこと、感染しても気が付きにくいことで、知らず知らずのうちに周囲に迷惑をかける恐ろしいマルウェアと言えるでしょう。

Trickbotに感染した場合の対処法

次にTrickbotに感染した場合の対処法をご紹介します。

感染したデバイスをネットワークから遮断して駆除する

Trickbotの感染を検知したら、感染を拡大させないためにも、まずは感染したデバイスをネットワークから遮断して駆除しましょう。有線LANだけでなく、無線LANの設定もチェックして確実に遮断することが大切です。
もし、現時点において「感染を検知する手段がない」または「感染しても駆除する方法がわからない」、すなわちウイルス対策ソフトを導入していない場合は、すぐにでもウイルス対策ソフトを導入してください。インストールしたら、最新のパターンファイルをダウンロード、適用して、常時稼働させ、検知できる状態にしておきましょう。

他のデバイスが感染していないか、感染源はどこかを調査する

次の段階として、他のデバイスが感染していないかをチェックしましょう。最新のパターンファイルをダウンロード、もしくはアップデートを行い、スキャンを行ってください。一台ずつ手動でアップデートおよびスキャンしていては「感染が拡大する恐れ」が高く、「感染する時間の猶予を増やしてしまう」ので、リモート（遠隔）で一元的に作業および操作して、短時間で終わるように進めることが大切です。
もし、現時点において「リモートで一元的に操作できる仕組みがない」という場合はIT資産管理や情報資産管理のツール、ソフトウェアを導入してください。情報システム部やセキュリティ担当がいつでも、どこからでも社内や組織内のデバイスを把握し、監視し、管理できるようにしておきましょう。

場合によっては駆除だけでなく、クリーンインストールを実行

Trickbotに限ったことではありませんが、完全にマルウェアを駆除できない、または不安であるならOSのクリーンインストールをおすすめします。OSを初期化し、アップデートによって最新の状態に戻します。その上で業務で必要なソフトウェアをインストールし、OSと同じように最新の状態にアップデートしましょう。ウイルス対策ソフトのパターンファイルをアップデートすることも忘れてはいけません。
ただし、クリーンインストールはTrickbotに感染した場合に非常に効果のある方法ですが、いくつか難点があります。OSを初期化して、元に戻すための作業が非常に煩雑であること、デバイスにのみデータやファイルがある場合は失われてしまうこと、そして最適化や効率化のために設定した項目が初期化されてしまうことが挙げられます。
そのため、極力初期化したくないと考えてしまうこともあるでしょう。しかし、Trickbotは何らかのファイルに偽装する手法、具体的には元のファイルを削除して自身を同じファイル名にリネームして潜伏することがあるため、完全に駆除・削除したいのであれば、迷わずクリーンインストールすることをおすすめします。

Trickbotに感染しないためのセキュリティ対策

次にTrickbotに感染しないためのセキュリティ対策について解説します。

基本的なウイルス対策と併せて

Trickbotは他のマルウェアと同様に、基本的なウイルス対策が効果的です。ウイルス対策ソフトのインストールと常駐、常時監視を行いましょう。同時に「不審なファイルは開かない」「安易に添付ファイルを開かない」「必ずスキャンする」など、従業員がセキュリティ意識を持って、日頃の作業や業務を行うことが大切です。同様に標的型攻撃、なりすまし、フィッシングメールなど、各種サイバー攻撃に関する情報の共有・教育も進めると良いでしょう。
実際にTrickbotは「何もしていないのに感染した」ということはあり得ません。デバイスを操作する人自身が「普段の操作をした」や「よくわからないけどクリックした」など、Trickbotを招いているのがほとんどです。普段よく使う拡張子やファイル名だからといって油断しない、普段の操作ひとつひとつを慎重に行うこと忘れないようにしましょう。

物理的な記録メディアや私物のデバイス、私的なネットワーク利用を制限、制御する

Trickbotの感染経路や感染源を増やさないためにも、管理できないメディアやデバイスを増やさないことが大切です。物理的な記録メディアの利用を制限、私物のデバイスの使用禁止、社内や組織内のネットワークの私的利用の禁止など、制限や制御できるようにしておきましょう。

不審な行動を記録、検知、監視できる統合的なセキュリティ環境を構築・運用する

IT資産管理や情報資産管理など、統合的なセキュリティ環境を構築・運用することも大切です。間違っても従業員にセキュリティを丸投げしてはいけません。情報システム部やセキュリティ担当が、常時監視、最新の状態にアップデート、検知したら即対応できる体制を維持することを心がけてください。

まとめ：Trickbot対策だけでなく、セキュリティ全般の強化と維持に投資しよう