ルートキット
ルートキットとは
ルートキットとは、攻撃者が ウイルス や トロイの木馬 などを利用して攻撃対象のコンピューターやサーバーへ不正アクセスに成功した際、攻撃者が実行するパッケージです。
このパッケージの中には、バックドアを作成するツール、キーロガー、不正侵入・情報窃取の痕跡(攻撃者のログイン状況・プロセス・ファイル)を隠ぺいするためのツール等が含まれており、攻撃対象に気づかれることなく情報を盗み続ける環境を確立する手助けをします。
ログ改ざんツール
マルウェアの侵入を隠蔽し、マルウェアやルートキット自体の検知・駆除を遅らせる
バックドア生成ツール
ルートキットの侵入口が防がれても、ほかのマルウェアが再び侵入できるよう裏口(バックドア)を設ける
トラフィック監視ツール
ネットワークを介してやり取りされるデータを盗聴する
キーロガーツール
キーボード入力を盗み見てログを記録する。キーボード入力から個人情報や機密情報を抽出し、他のコンピューターへ送信する
また、ルートキットには二つのモードが存在し、それぞれ特徴が異なる。
ユーザーモード
感染すると、アプリケーションのプロセスを乗っ取られる、あるいはアプリケーションが使用するメモリーが上書きされてしまうといった被害につながる。
カーネルモード
OSの最下層で実行されるもので、感染するとコンピューターは完全に制御され、自由に操作されてしまうようになる。
カーネルモードのルートキットは数が多くないものの、感染した場合は被害が大きくなり、検出や駆除も困難になるという特徴がある。
ルートキットの感染経路には、いくつかの種類が考えられる。
まず、オペレーティングシステムやアプリの脆弱性に対する攻撃が挙げられ、バグや仕様上の欠陥を悪用し、侵入がなされる。また、USBメモリー、CD-ROMなどの物理メディアによる感染リスクもある。内容のわからない、外部から入手したメディアを安易に読み込んでしまうと、コンピューターへの侵入を許してしまうのだ。さらに、迷惑メールや社内の人間を装った不審なメールに添付されたファイルにルートキットが含まれ、ファイルを開いてしまったがために感染してしまう可能性もある。
ルートキットはセキュリティソフトによる検知を避けるため、OSの奥深い領域で動作するよう設計されているものが多い。通常のセキュリティソフトとは異なる、専用のルートキットスキャナーなどを使い、プロセス監視による検知を目指すが、実際のところ、これらの検知は非常に難しいとされる。加えて、たとえ検知に成功したとしても、ルートキットを駆除するのに多くの時間を要する。ルートキットの対応策として、OSの再インストールが選択されるケースが多いのには、そういった背景がある。
Discussion