ルートキットの定義。削除方法は？

ルートキットとは?

ルートキットは、攻撃者が貴社のシステムに不正にアクセスするための悪質なプログラムです。自らの存在を隠せるため、システムに侵入しているかを判断するのは難しいです。攻撃者は、不正な変更を加えたり情報を盗むために、ターゲットシステムにルートキットを仕掛けます。

ルートキットがインストールされると、異常な動作が見られ、攻撃者が遠隔でシステムの制御を握る可能性があります。これがルートキットの危険な点です。システムの制御が奪われた場合に失われる損害や情報を考えてみてください。

ファイルレスマルウェアが正規のプロセスを利用して検出を回避するのと同様に、ルートキットもシステムのプロセスやドライバに偽装するため、正規のものに見えることがあります。ルートキットはパソコンの動作を攪乱したり、アンチウイルスやセキュリティプログラムを欺く可能性があります。

‍

ルートキットの動作原理

ルートキットは悪質なコードをシステム内に隠すのが得意です。攻撃が成功すると、攻撃者はシステム内部の管理者権限を遠隔で取得することができます。ほんの少しの追加作業でセキュリティの穴を作り出します。

ルートキットは管理者レベルのアクセス権を偽装し、実際にその権限で操作を行います。以下は、ルートキットが行う主な変更の一例です:

• マルウェアの痕跡を隠す: ルートキットは自らを隠す能力に優れており、システム内のさまざまなマルウェアも見えなくしてしまいます。
• 管理者権限の遠隔アクセスの取得: システム内に隠れたルートキットは常にセキュリティの甘い部分を狙い、管理者権限を獲得しようとします。多くのルートキットには遠隔アクセスの技術が組み込まれています。
• セキュリティ対策やプログラムの妨害: ルートキットは通常のセキュリティ対策やプログラムの回避法を見つけ出します。これにより、システム内で活動しながらも発見されにくくなり、高度な攻撃ではシステムの検出や除去の手段を無力化することもあります。
• 恒久的なバックドアの作成: 一部のルートキットは、システム内に二重の侵入口を作り、将来的な外部攻撃にも備えることがあります。
• 監視機能の提供: ルートキットは、システムの利用状況を監視するために働くこともあり、攻撃者が利用者の行動を把握することが可能になります。
• セキュリティポリシーへの攻撃: ルートキットによって十分なアクセス権が得られると、ネットワーク通信の監視、キーストロークの記録、さらにはメールの内容の閲覧が可能になる場合があります。

ルートキットの種類

ルートキットは、攻撃するパソコンの部位や潜伏の仕方により様々なタイプがあります。主に以下の6つに分類されます:

1. クライアントモードのルートキット

クライアントモードのルートキットは、システムのユーザーレベルプロセスを攻撃し、自身を隠すために必要な高い権限を取得します。また、さまざまなマルウェアを隠すことも可能です。

これらのルートキットはパソコンの起動と同時に動作するため、単に再起動するだけでは除去できません。アンチウイルスや除去プログラムは、カーネルモードで動作する検出ソフトによってこれらを発見します。

2. カーネルモードまたはビットモードのルートキット

カーネルモードの検出ソフトを回避するために、攻撃者はカーネルモードのルートキットを作成しました。これらはシステムのOSと同じ権限で動作し、一度侵入されるとパソコン全体の制御を奪います。

カーネルモードのルートキットに感染すると、システム上で得られる結果は信用できなくなります。アンチルートキットチェックの結果さえもです。幸い、このタイプのルートキットは作成が非常に難しく、システムがクラッシュしたり不審な動作を示さなければ、発見されにくいという理由で実際の被害は少ないのです。しかし、完全に隠れることができれば大きな問題となるでしょう。

3. ファームウェアルートキット

ファームウェアルートキットは、パソコンのハードウェアを管理する低レベルのソフトウェアに潜みます。パソコンの電源が切れている間に潜伏し、再起動時に再び自身をインストールして動作を再開する恐れがあります。

セキュリティソフトが動作中のファームウェアルートキットを検出して無効化しても、次回起動すると再びインストールされる可能性があり、除去が非常に困難です。

4. ブートキット

パソコン起動時、MBR（マスターブートレコード）の指示に従ってOSが読み込まれます。ブートキット（別名ブートローダールートキット）は、カーネルモードのルートキットの一種で、システムのMBRに感染します。つまり、システムが起動するたびにブートキットも一緒に読み込まれます。

アンチウイルスや検出ソフトは、カーネルモードルートキットがOS外で動作するため、区別が難しいです。幸い、Windows 8やWindows 10などの最新OSは、セキュアブート機能でこれらの脅威に対抗しているため、ブートキットの脅威は減少しています。

5. バーチャルルートキット

仮想マシンは、実際のパソコン上で別のPCのように動作するソフトウェアです。仮想環境は、ひとつのデバイスで複数のOSを動かしたり、アプリを制限された環境下でテストするために利用されます。

バーチャルルートキット（または仮想マシン型ルートキット、VMBR）は、仮想環境上にOSがインストールされる前にシステム内でロードされます。OSに組み込まれていないため、検出や除去がほぼ不可能です。

6. メモリルートキット

メモリルートキットは、パソコンのRAM内に隠れ、システムのセキュリティを脅かす悪意ある動作を実行するために、パソコンの資源を利用します。これによりRAMの動作に影響が出ます。このマルウェアはRAM内にのみ存在し、恒久的なコードを仕込むわけではありません。再起動すれば消えますが、場合によっては除去に追加の手間が必要になることもあります。短命であるため、システム基本機能に対する深刻な脅威とはなりにくいです。

7. アプリケーションルートキット

アプリケーションルートキットは、パソコン上の既存ファイルをルートキットファイルに置き換えたり、一般的なアプリの動作パターンを変更したりします。Microsoft Officeやペイント、メモ帳などが標的となることが多く、これらのアプリを実行するたびに攻撃者がシステムにアクセスできる可能性があります。通常の動作に紛れてしまうため、感染しているか判断が難しく、アプリレベルで動作するためアンチウイルスや検出ソフトによって発見されることもあります。

ルートキットの事例

新たなルートキットが発見されるたびに、セキュリティ分野における新たな課題となります。ここでは、有名な攻撃者や大手企業によって作成された、過去の著名なルートキットの例を紹介します。

1990年: 初めて知られるルートキットは、Sun MicrosystemsのLane DavisとSteve DakeがSunOSやUnix向けに作成しました。

• 1999年: Greg Hoglundは、自身の記事で NTRootkit と呼ばれるトロイの木馬の作成を発表しました。これは、Windows向けに初めて作られたルートキットであり、カーネルモードルートキットの実例です。
• 2003年: Windows 2000及びWindows XP向けのクライアントモードルートキット『HackerDefender』が発見され、その結果、感染と対抗の間でルートキット除去ツール『Rootkit Revealer』による攻防が始まりました。
• 2004年: グリート・ウォーターゲートと呼ばれる攻撃で、Vodafoneギリシャネットワーク上の約100台の携帯電話（国家首相の携帯を含む）がルートキットによって盗聴されました。
• 2005年: Sony BMGが、ユーザーの許可なくルートキットをインストールするCDを配布したため、大きな非難を浴びました。
• 2008年: TDL-4ブートキット（別名TDL-1）は、ボットネットを構築・維持するために使われたAlureonトロイの木馬の拡散に関与しました。
• 2009年: MachiavelliルートキットはmacOS（旧称Mac OS X）を標的とし、Macbookのルートキットやマルウェアに対する脆弱性を露呈させました。
• 2010年: Stuxnetワームは、イスラエルと米国によって開発されたとされ、イランの核開発計画内部に潜むルートキットでしたが、いずれの国も攻撃の責任を認めていません。
• 2012年: Flameと呼ばれる20MBに及ぶ大容量マルウェアが、中東及び北アフリカの複数のシステムを破壊しました（通常、マルウェアは1MB以下です）。
• 2018年: LoJaxは、パソコンのUEFI（マザーボードを制御するファームウェア）を攻撃できる初のルートキットであり、OS再インストール後も生存可能です。
• 2019年: 最新のルートキット攻撃はScranosによって行われ、暗号鍵や直近に保存されたインストール情報を取得するために設計されています。このマルウェアは、デバイスをクリックファームに変え、動画広告収益やYouTubeプロモーションを隠れた形で生み出すことで知られています。

‍

ルートキットから守るための対策

ルートキットはさまざまな手段でシステムに侵入します。攻撃を受けないよう、またはこの種の脅威に対処するため、適切な対策を講じることが重要です。最新のセキュリティ動向を追い、ルートキットの侵入を防ぐ措置を取るとよいでしょう。

疑わしいファイルを避ける: ファイルの内容を開く前に必ず確認し、見慣れない送信元からのファイルは開かないよう注意してください。フィッシング攻撃などによりシステムが損なわれる恐れがあります。

信頼できるソースからだけソフトウェアをダウンロードする: アプリを入手する際は、メーカー、Playストア、またはアプリストアなど正規のソースからダウンロードするようにしてください。アプリの動作ルールを確認し、ルートキットがこっそり混入していないかをチェックすることが大切です。攻撃者はマルウェアをダウンロード可能なアプリに偽装する場合があり、インストールされるとファイルや設定の変更に必要な完全な権限が与えられてしまいます。

システムのアップデートは即時にダウンロード・インストールする: これらの更新には、最新のネットワークセキュリティ脅威に対処するためのセキュリティパッチが含まれており、過去の脆弱性を解消します。

‍

ルートキットの検出方法

ルートキットはシステム内に自身の存在を隠すように設計されているため、その検出は非常に困難です。ルートキット検出の最善の方法は、専用のスキャナーと除去ツールを使用することです。これらのツールは、現在デバイスに存在するルートキットを検知し、除去するとともに再度の侵入を防ぎます。

自力で対処したい場合、ルートキット攻撃に特に注意を払うためのいくつかのヒントも存在します。しかし、専用のスキャナーと除去ツールを用いる方法ほど効果的ではありません。自力で検出方法を見つけたとしても、正しく除去するための手順が必要となります。

ルートキット攻撃の兆候

システム上にルートキットが存在する可能性を示す兆候は以下の通りです:

システムの挙動が異常になる: ルートキットは攻撃者にOSへのアクセスや制御を可能にするため、普段と異なる動作が見られる場合は、不正アクセスが行われている可能性があります。

設定の不審な変更: パソコンが自動的に更新や、意図しない動作を行うことは通常ありません。ルートキットによって外部から設定が改変される恐れがあります。

ネットワーク速度の低下: インターネット接続が急に遅くなる場合、攻撃者がルートキットを用いて大量の通信を行っている可能性があります。

‍

ルートキット検出の手順

パソコンがルートキットに感染していると疑われる場合、以下の方法で問題の特定を試みてください:

• 署名チェック: パソコンは基本的に数字で動作します。デバイスの署名は、システム上でそのデバイスを識別する数字の並びです。既知のルートキット署名と照合し、該当するものがあるか確認してください。
• ‍メモリダンプ解析: Windowsがクラッシュするとメモリダンプが生成されます。専門家はその内容を解析し、ルートキットが原因かどうかを判断することができます。
• システムメモリスキャン: システムのメモリ全体をスキャンし、正常な状態か確認してください。この際、アクセスパスやインポートされたライブラリの呼び出しも確認することが必要です。

ルートキットはどのように侵入するか

コンピュータウイルスやワームとは異なり、ルートキットはシステムに明示的にインストールされる必要があります。攻撃者は、インストーラーとローダーという二つの補助プログラムを用いて、さまざまなパソコンにルートキットを導入します。ここでは、その一部の手法を紹介します。

Dropper: Dropperはマルウェアをシステムにインストールする役割を担います。これはインストールの第一段階であり、被害者がDropperを実行すると、ローダーも起動します。

Loader: Dropper実行後、Loaderは迅速にルートキットをシステムにインストールします。Loaderは、バッファオーバーフローを引き起こすタイミングで動作することが多く、攻撃者はパソコンの深層メモリにコードを保持することが可能となります。

攻撃者が複合的な脅威セットを提供する場合もあり、その際は次の手法でルートキットが導入されます:

• ルートキットは、テキストメッセージを通じて拡散される場合があります。被害者が悪意あるメッセージ内のリンクをクリックすると、直ちにパソコンが感染します。
• ハッカーは信頼できるアプリやソースを用いて、破壊的なルートキットをこっそりインストールすることがあります。また、ダウンロードサイトにマルウェアを仕込むことで、感染したアプリのインストール時にルートキットが同時に導入される場合もあります。
• また、他のマルウェアを介してルートキットが侵入することもあります。マルウェアがインストールされると、すぐにルートキットも続いて導入されます。