はじめましての方ははじめまして。
当ブログ管理人のDAsanです。
正直、この記事を書くのを迷いました。パソコンについていろいろ記事を書いてきた手前、こんなことになるなんてみっともないと思って凹んでいたからです。
でも、今回発見したトロイの木馬の手口が巧妙だったので、恥ずかしいけど時系列と今どきのトロイの木馬がどういうことをしてくるかに絞って自分への戒めを含め書いておきます。
ウイルスってどういうことをしてくるのか知っていてほしい。
なお、記事執筆時点でマルウェアは完全に駆除済みです。
この記事を見ることで感染するようなものではないので安心してください。
何が起きたか(時系列)
最初の発見:不審な注文履歴
9月2日朝10時、Amazonの注文履歴に身に覚えのないAppleギフトカード(1万円)を発見。注文時刻は午前2時。
寝たのは3時頃だから起きていたし、そんな注文はしていない。
Amazonプライム会員だのでサポートに連絡し注文してないし、メールも来てないのになんで注文されたのか確認するも、Amazonのメッセージセンターにはメールがある。
この手のギフトの注文は詐欺に利用されるケースもあって、注文後すぐに決済されないようで、決済はされずにキャンセルできた。
パスワードを変更するようすすめられたので、サポートの電話終了後パスワード変更をしようとする。
Gmailの異変
Amazonのパスワード変更で確認メールが届かない 。
おかしいからまたサポートに連絡、メッセージセンターには載らないメールだけど確実に送られているとのことで、電話を終える。
普段使っているGmailをいろいろみてみると、Amazonからのメールが自動でゴミ箱に振り分けられるフィルタが勝手に設定されていた。
ゴミ箱にAmazonのメールがあった。
注文通知で気づかれないように先にフィルター設定がされた?
最初の推理:Googleアカウント乗っ取り?
Googleのアカウントの管理から、セキュリティーで最近のアクティビティと、デバイスをチェック。
デバイスに8月31日に「Linux(日本)」からの不正ログイン履歴を発見(ログアウト済み)
この時点でGoogleアカウントを乗っ取られて、Chromeを操作された?可能性を考えていた。
とりあえずGoogleとAmazonのパスワード変更。ブラウザの移行を検討。
疑問点:でも2段階認証してるのに?
Google・Amazon両方とも2段階認証設定済み。ブラウザ乗っ取りだけでは説明がつかない
そして、色々いじっているときに怪しい動きがあった。
いろいろ設定を見直していたらChromeが勝手に全部閉じた。
あれ?と思ってChromeを再起動すると画面外で開いた。
幸いウィンドウ端が見えていたので、移動してみると自分で開いていなかったAmazonの支払い方法のページが開いていて、クレジット払い(デビット)が消えていた。
改めてAmazonのサポートに電話。
先に連絡したあとにAmazonからのお知らせて不正な注文があったからパスワードがリセットされました。ってお知らせが来ていて、
その処理でこのときに使われていたクレジット払いがAmazon側でセキュリティとして消されたのか確認したかった。
しかしAmazon側で支払い方法を消すことはないとの回答。
PC本体を調査
Windowsセキュリティスキャン → 異常なし
何かが勝手に動作している可能性を考える。
スタートアップ確認 → 怪しいファイル3つ発見
今のMicrosoft365の前のOffice365のアイコンに偽装した英数字の羅列の実行ファイルが2つ
OneDriveのアイコンに偽装した実行ファイルが1つ
タスクマネージャーで実行中のこのファイルを停止して、ファイルを完全消去。
タスクマネージャーでの表示はファイル名じゃなくOffice365と偽装されていた。
そうなると、まだこいつらが作ったファイルがあるはずだが、Windowsセキュリティスキャンを再度実行するも出てこない。
おかしいと思って、Windowsディフェンダーの設定を色々見ていると、Windowsディフェンダーの除外設定が勝手に追加されていた。
それは見つかるはずがない。
ChatGPTで潜伏している可能性のあるフォルダとレジストリーで見つけたものは全部停止し、完全削除。
再起動しスタートアップに不審なものがないかサイドチェックし問題なし。
改めてのWindowsディフェンダーでのスキャンチェック。
いちおう無料で使えるESET ONLINE SCANNERでもフルスキャンでチェック済み。
感染タイミングを思い出した
8月後半頃、起動時に「Microsoft 365のおすすめ画面」が表示。
当時は「Microsoftの営業かな」と思って気にしなかった。もしかしたらこれがトリガーになっていた?
Windowsのセキュリティ通知でOffice365のアイコンの表示が出たこともあったとあとから思い出した。
これもMicrosoftが使っていない人にも事前に入れとこうってのかな?って気にせず許可した。
おそらくこのあたりで感染したんだろう。
ただもとのそれを起動するスタートアップが入ったタイミングは不明、いろいろフリーソフトを漁ってるから、どこかに入っていた可能性が高い。
今どきのトロイの木馬の手口
偽装の巧妙さ
- Microsoft 365・OneDriveのアイコンに偽装
- タスクマネージャーでも「Microsoft 365」と表示
検出回避
- Windowsディフェンダーの除外設定を操作
- どんなにスキャンしても見つからない仕組み
- 必要最小限の動きしかしないので、今どきの性能のパソコンでは極端に重くなったりしない。
攻撃の自動化
- Gmailフィルタ設定で注文メールを隠蔽
- ギフトカード自動購入・取得
潜伏期間
すぐに対処していたからちゃんと覚えていないが、不審なファイルが作成されたのは2025年7月の日付。
普段基本的にパソコンはつけっぱなしだったけど、夏のエアコンの電気代が気になって寝ている間はシャットダウンするようになった。そこで朝起動したときにスタートアップが発動したと思われる。それが 8月後半
8月31日:Linux端末からアカウント侵入しセッション乗っ取り。
9月2日:実行
多分こんな流れだったんだと思います。
僕がもともとパソコンの電源を切らなかったからラグが発生したけど、数日かけてやられた感じです。
チェックポイント
心配な人は以下を確認:
- Gmailのフィルタ設定(設定 → フィルタとブロック中のアドレス)
- Googleアカウントのアクセス履歴(セキュリティ → 最近のアクティビティとデバイス)
- Windowsディフェンダーの除外設定(Windowsセキュリティ → ウイルスと脅威の防止 → 除外)
- タスクマネージャーのスタートアップアプリ
スタートアップアプリとかたくさんあって自分で見てもわからない人は、スクショ取ってAIに見せたら怪しいのを見つけてくれます。確認方法や対処法もAIに聞けばいいです。
あれから心配でこれらを何度も何度もチェックしています。
もう大丈夫だと解っていても、どうしても気になるようになってます。
まとめ
- Microsoft製品を装った攻撃は信頼してしまうため危険
- セキュリティソフトの設定を操作して検出回避する
- 2段階認証があってもセッション乗っ取りで突破される
- 昔と違ってPCの動作では気づけない
この記事を書くのにすごく迷った。
普段パソコンのことを書いてるブログなのに「今どきウイルス感染するやつおる?」って感じで、信頼性を失うし、個人的に本当に情けないし恥ずかしい。
対処中もホントみっともないし情けない気持ちでずっと凹んでました。
でも、今どきの高いセキュリティに安心しきっていて油断していてこうなったから、自分への戒めと、誰かのためになるならと思って書きました。
被害はないですが、精神的に疲れるので、いちおう事前にチェックしてみるのをおすすめします。
