ルートキット

ルートキットとは



ルートキット(rootkitあるいはroot kit)とは、コンピュータシステムへの不正アクセスを確保した後に、侵入者がその存在を隠蔽し、システムをコントロールするために使用するソフトウェアツールのセットです。これらのツールは、システム内のプロセス、ファイル、システムデータなどを隠す機能を持ち、侵入者が気づかれることなくシステムへのアクセスを維持できるようにします。ルートキットは、2005年のSony BMG CD XCP問題で広く知られるようになりました。

起源



「ルートキット」という言葉は、元々Unix系のシステムにおいて、侵入者が「root」権限を保持し続けるために、システム管理者の監視を逃れるよう改竄されたツール群を指していました。例えば、`ps`、`netstat`、`w`、`passwd`などのコマンドを改竄し、侵入の痕跡を隠蔽しました。現在では、この言葉はUnix系OSに限らず、Windowsなどの非Unix系OSでも同様の目的で使用されるツールを指すようになりました。

機能



ルートキットは、主に以下の機能を持ちます。

ログオン、プロセス、ファイル、ログの隠蔽: システム内の活動記録を隠蔽し、侵入者の存在を隠します。
 データ傍受: 端末、ネットワーク、キーボードからの入力を傍受し、個人情報や機密情報を盗み取ります。
バックドアの設置: システムへの再侵入を容易にするための裏口を設置します。

多くの場合、ルートキットはトロイの木馬として配布され、他のマルウェアと組み合わせて使用されることがあります。

使用方法



ルートキットは、侵入したシステムを悪用するためのツールを隠蔽するために使用され、以下のような方法で悪用されます。

 バックドアの設置: 特定のネットワークポートに接続した際にシェルを起動するアプリケーションを隠蔽し、システムへのアクセスを維持します。
権限昇格: カーネルルートキットは、非特権ユーザーが起動したプロセスを特権ユーザーと同等の権限で実行できるようにします。
 さらなる攻撃の踏み台: 侵入したコンピュータを他のシステムへの攻撃の踏み台として利用し、攻撃元を隠蔽します。

また、ルートキットは、DoS攻撃ツールやスパム送信ツールなど、他の悪意のあるツールを隠蔽するためにも使用されます。

タイプ



ルートキットは、その動作レベルによって大きく2つのタイプに分類できます。

カーネルレベルルートキット: カーネルコードに直接追加コードを加えたり、既存のカーネルコードを改竄したりすることで、バックドアを隠蔽します。デバイスドライバやローダブルモジュールとしてカーネルに組み込まれることが多いです。システムコールをフックしたり、パッチを当てたりして、情報を隠蔽します。
 アプリケーションレベルルートキット: 一般的なアプリケーションをトロイの木馬化された偽物に置き換えたり、既存のアプリケーションの動作を改竄したりします。カーネルレベルルートキットに比べて検出が容易ですが、依然として危険です。

カーネルレベルのルートキットは特に検出が難しく、メモリ管理コアのページテーブルを操作して隠蔽を図るため、より危険度が高いとされています。



以下は、実際に存在するルートキットの例です。

FU Rootkit
 SuckIT
T0rn
 Ambient's Rootkit (ARK)
Hacker Defender
 SonyのFirst 4 Internet XCP DRM
nProtect GameGuard
 Alureon

検出



ルートキットの検出は非常に困難です。なぜなら、ルートキットはシステムが頼るライブラリやツールを改竄し、自身の存在を隠蔽するためです。特にカーネルレベルのルートキットは、オペレーティングシステムの根幹を操作するため、完全に信頼することが難しくなります。

最も信頼できる検出方法は、感染の疑いがあるコンピュータをシャットダウンし、別のメディア(レスキューCD-ROMやUSBなど)から起動してストレージを検査することです。これにより、動作中のルートキットが隠蔽できない状態になり、既存のアンチウイルスプログラムで検出可能になります。

セキュリティベンダーは、ルートキット検出機能を既存のアンチウイルス製品に統合するソリューションを開発しています。ルートキットがスキャン中に自分自身を隠そうとすると、ステルス検出によって見分けられるようになります。また、ルートキットが一時的にシステムからアンロードしようとする場合は、アンチウイルスソフトがパターンファイルによって検出します。

ルートキット検出ツール



chkrootkit、rkhunter: Unix系システムでよく使用されるルートキット検出ツールです。
 Blacklight: Windowsプラットフォームで利用できる無償のステルススキャナーです。
RootkitRevealer: Sysinternalsから提供されているWindows向けの検出ツールです。OSが返す一覧と実際のディスクから読み出した一覧を比較することで検出します。

除去



ルートキットの除去は非常に困難で、感染したシステムを完全に信頼することは難しいという意見があります。ルートキットの正体と特性がわかっていたとしても、必要な技術や経験を持つシステム管理者の時間と労力を考えると、オペレーティングシステムを再インストールする方が効率的な場合が多いです。システムがオンラインの状態で他のファイルシステムドライバを用いてルートキットを削除する方法も存在しますが、完全な除去は難しいのが現状です。

コンピュータウイルスやワームとの比較



ルートキットはコンピュータウイルスやワームと混同されやすいですが、それぞれ特徴が異なります。

 コンピュータウイルス: システムの中核ソフトウェアを修正し、ペイロード(攻撃者が実行したいコード)を追加します。ウイルスの主な目的は他のシステムへの伝播です。
ルートキット: システムへのアクセスを維持し、侵入者の存在を隠蔽することを目的とします。一般に、他のシステムへの伝播は行いません。
 コンピュータワーム: 脆弱性のあるシステムをネットワーク経由で自動的に検出し、感染を広げます。ルートキットをインストールしたり、アカウント情報を盗んで侵入者に送信したりする場合があります。

これらのマルウェアは互いに組み合わせて使用されることが多く、複合的な攻撃を行う場合があります。

一般的に入手できるルートキット



ルートキットの多くはインターネットで容易に入手可能であり、技術力の低いプログラマーでも利用可能です。しかし、これらのルートキットは、実験的な目的で作られたものが多く、ステルス性が最適化されていない場合があります。そのため、検出された場合に痕跡が残りやすいという特徴もあります。

関連項目



マルウェア
 コンピュータウイルス
トロイの木馬
 キーロガー

外部リンク



www.antirootkit.com (ルートキット除去ソフトウェア)
 Linux Kernel Rootkits
analysis of the T0rn rootkit
 WindowsとLinuxのルートキットとルートキット検出ソフトウェア
ウイルスによって投下されたルートキットの例
 Anti-trojan.org (トロイ系ルートキットと除去の情報)
Strider GhostBuster Rootkit Detection
 Please stop flaming us
Sony, Rootkits and Digital Rights Management Gone Too Far (Sony DRMルートキットについてのMark Russinovichの最初のブログエントリ)
 Steve Gibson's Security Now! Episode #9 (ルートキット)
Steve Gibson's Security Now! Episode #12 (ルートキット)
 wikiHow - How to Protect Yourself from Sony DRM Rootkit Malware

ソフトウェア



商用



BOClean Privacy Software Corporation (Windowsのセキュリティとプライバシー保護)

シェアウェア



 Blacklight F-Secure (Windows/Linuxセキュリティ)
Security Task Manager Neuber Software (Windowsユーティリティ)
 TaskInfo Igor Arsenin (Windowsユーティリティ)
UnHackMe Greatis Software (Windowsセキュリティ、ユーティリティおよび開発)
 TrojanHunter Mischel Internet Security AB (Windowsセキュリティ)
ProcessGuard Diamond Computer Systems Pty. Ltd. (Windowsセキュリティとプライバシー保護)
 様々なWindows/Linuxのセキュリティ/アンチセキュリティダウンロード (www.egocrew.de より)

フリーウェアおよびオープンソースソフトウェア



chkrootkit Nelson MuriloとKlaus Steding-Jessen (UNIX/Linuxセキュリティ)
 Rootkit Hunter Rootkit.nl (UNIX/Linux管理)
RootkitRevealer Sysinternals (Windows管理)
 FLISTER [email protected] (Windows 2000/XP/2003; ユーザモードおよびカーネルモードのWindowsルートキットによって隠されたファイルを検出するproof-of-conceptコード)
klister "joanna" (probably [email protected]) (Windows 2000/XP/2003)
 IceSword "pjf_" (こちら がpjf_とのインタビュー)
RootKit Hook Analyzer Resplendence Software Projects (Windows管理とセキュリティ)

関連書籍



 Butler, Jamie and Hoglund, Greg: Rootkits: Subverting the Windows Kernel. Addison Wesley, 2005. ISBN 0321294319
* 渡辺勝弘 伊原秀明 不正アクセス調査ガイド—rootkitの検出とTCTの使い方 オライリー・ジャパン 2002 ISBN 4873110793

もう一度検索

【記事の利用について】

タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。

【リンクついて】

リンクフリーです。