事例Use case

サイバーセキュリティの基礎知識:ルートキットについて(R)

2020.3.26

ツイート シェア 送る はてブ

rootkit-fb-en-990x496.png
ルートキットは、現在市場に存在するマルウェアの中でも最も洗練された種類のものです。セキュリティソリューション側は、何年もの間ルートキットの検知や駆除に悩まされています。その主な理由は、ルートキットがOSの奥深くに侵入し、マルウェア対策ソリューションやOSそのものからも、その存在を隠すことができるからです。

ルートキットは、「ルート」(UnixのOSで最も特権的なユーザー)と、「キット」(ルートキットを構成する一連のソフトウェアツール)を組み合わせた言葉です。90年代初期から、SunやLinuxが主な標的でしたが、新しいOSの登場と共に、1999年にはWindows用、2009年にはMac用のルートキットが開発されました。


ルートキットの仕組みとその脅威

従来のマルウェアとは異なり、ルートキットが侵入すると、コンピューターに根本的な欠陥をもたらします。ファイルやフォルダを侵害するのではなく、作成者のニーズによって、OSから報告されるあらゆるものを改ざんします。

ルートキットは、行動範囲にもよりますが、大きく分けるとユーザーモードとカーネルモードの2種類があります。OSの侵害方法について簡単に理解するには、まず、OSの仕組みについて理解しなければなりません。お使いのコンピューターにあるすべてのアプリケーションは、OSのAPI(アプリケーション プログラミング インターフェース)から呼び出される関数を経由して、コンピューターと通信しています。ユーザーモードのドライバーは、インポートアドレステーブル(プログラムがOSのカーネルを実行する必要があるAPIまたはシステム関数のアドレス一覧)をフックします。

カーネルモードのルートキットは、カーネルに接続するシステムドライバーを使用し、ユーザーアプリケーションとOS間のAPI呼び出を「中継」します。これがインストールされると、ルートキットドライバーは、カーネルコードではなく、独自のコードが実行されるようにシステム関数の呼び出をリダイレクトします。たとえば、ユーザーがフォルダを開けて中身を見る場合、カーネルに該当フォルダにあるファイル数をリクエストします。しかし、ルートキットはユーザーリクエストを傍受し、不正ファイルの存在を除外してフォルダにあるファイルの報告をすることができます。ユーザーも、そのOSやマルウェア対策製品も、該当フォルダに不正ファイルが存在していたことすら気づきません。

ルートキットを使うことで、犯罪者はユーザーのコンピューターやソフトウェアの完全な管理者権限を持ってしまい、ログへのアクセス、ユーザー行動の監視、個人情報や私的ファイルの窃盗、構成の変更を好きなように行うことができます。ユーザーの知らぬ間に、すべてのパスワードや情報も盗むことができます。

たとえ、デジタル史上、最も危険な脅威の1つであったとしても、ルートキットだけでは機能しません。繁殖やインストールには感染経路が必要です。ハッカーは、トロイの木馬かOSの脆弱性を利用して、ルートキットを潜り込ませます。一旦システム内へ侵入してしまうと、コンピューターを無価値なゾンビに変えてしまうスパイウェア、ワーム、キーロガー、コンピューターウイルスの潜伏場所になることも珍しくありません。その後ハッカーは、第三者や、ユーザーの連絡先に対し、DoS攻撃、スパム攻撃、フィッシング詐欺を仕掛けることができます。OSへのルートアクセス権を持つハッカーに、コンピューターが完全に支配され、極めて経験豊富な技術者の目にも、ルートキットを瞬時に検知することが難しくなります。

一方で、ルートキットは必ずしもマルウェアであるとは限りません。著作権の無効化や窃盗防止対策の回避など、不正を目的として使われることもありますが、SonyLenovoは、不要ソフトウェアの再インストールや、デジタル著作権管理の一環として、ユーザーのデバイスにルートキットを組み込んでいることで有名です。無害な意図ではあるものの、見つけなければ、後にハッカーに簡単に悪用されてしまうという脆弱性があります。

ルートキットによる侵害の兆候と除去方法

ルートキットの検知は極めて難しく、ユーザーが削除するソフトウェアも含め、コンピューターを完全に支配するため、検知は不可能かもしれません。被害者がテクノロジーに精通していれば、シグネチャスキャンやメモリダンプの解析などを試みることはできますが、ルートキットがカーネルメモリ(OSのブレイン部分)を掌握していれば、為す術はありません。この場合は、諦めてハードディスクを初期化し、OSを再インストールしてください。

すでにご存じだと思いますが、ルートキットは非常に巧妙であるため、再インストールせずに駆除することはできないかもしれません。実際、検知できないほど手遅れになっていたり、ウィルス対策ソフトでスキャンを実行しようとしても妨害されるほど、手の施しようがない可能性があります。データを失うリスクを回避するため、正しいオンラインブラウザを使用する習慣を身に着けましょう。

個人的な情報を暗号化し、複数の場所に保存してください。ハッカーがユーザーのネットワークに侵入する最も一般的な方法はトロイの木馬であるため、知らない送信者から送られてきたメールに添付されているファイルは、絶対に開かないでください。動画をストリーミングしている時や、ファイルを開く際に、プラグインのダウンロードを求められても、絶対にダウンロードしてはいけません。常にファイアウォールやセキュリティソリューションを最新状態に保ち、定期的にコンピューターシステムをフルスキャンしてください。

翻訳元記事 The ABC of Cybersecurity: R is for Rootkit

SECURIE powered by Bitdefender

SECURIE(セキュリエ)は、高速セキュリティルーター、業界屈指のセキュリティソフト、そして365日対応サポートの3つで構成された、IoT機器も守る次世代のセキュリティサービスです。

SECURIE_service200326.PNG「最高水準のウイルス検知率」と「動作の軽さ」を実証

第三者機関のテストで、常に最高評価を受賞。

最高水準のウイルス検知率(0~6の評価で6が最高評価)

images_content3_img01_0326.png
20111月~20194月のAV TEST

デバイスの速度を落とさない最高のパフォーマンス(0~6の評価で6がデバイスへの影響が最も少ない)

images_content3_img02_0326.png
※2013年1月~2019年4月のAV TEST