昨年12月に蔓延したrootkitはきわめて悪質――F-Secureが注意を呼びかけ
その名は「Mebroot」。検出困難で「打つ手立てなし」フィンランドのセキュリティ・ベンダーF-Secureは3月4日、ドイツ・ハノーバーで開催中のIT展示会「CeBIT 2008」において、昨年12月に感染が確認されたrootkitがきわめて検出困難であることが判明したと発表した。
「Mebroot」と命名されたこのrootkitは、PC起動時に最初に読み込まれるハードディスク上の部分(セクタ)であるMBR(Master Boot Record)に感染するのが特徴だ。MBRは他のどのセクタよりも早くロードされるため、そこに感染したrootkitはほとんどのセキュリティ・ソフトウェアで発見されないという。
F-Secureの研究担当最高責任者、ミコ・ヒポネン(Mikko Hypponen)氏は、Mebrootについて、「現時点で打つ手立てはない」と述べている。
rootkitとは、コンピュータのOSの奥深くに潜み、除去が非常に難しい悪質なプログラム。
Hypponen氏は12月以降、Mebrootのアルファ版とベータ版を目にしてきたが、いよいよ正式版が流布され始めたと注意を呼びかけている。
rootkitに感染してしまうと、悪意あるクラッカーにマシンを完全に掌握されてしまい、ほかのさまざまな攻撃を受ける可能性が開かれる。例えば、悪質なソフトウェアが勝手にインストールされ、ユーザーのキー・ストロークのログから財務データや個人情報が盗み出される場合もあるという。
rootkitの探索を専門とするF-Secureの技術でも、Mebrootに感染していると「推測する」ことしかできないという。Hypponen氏は、「あいまいな推測ではあるが、それに用いる技術は明らかにできない」と述べている。
問題はMebrootが単なる1つのファイルではなく、マシン上で稼働している他のプロセスに身を隠し、悪質な行為を隠蔽することだとHypponen氏は指摘している。しかし、F-Secureのセキュリティ・ソフトウェアのCDを用いてPCを起動すれば、Mebrootの感染を推測できるとしている。
Hypponen氏によると、PCへの攻撃を成功させるために必要とされる高度な技術は、今日のマルウェア作者の手の届かないものと考えられていたが、それは誤った認識であり、クラッカーらは現在、脆弱性を抱える特定のWebブラウザを介してPCにMebrootを自動的に感染させるWebページを作成しているという。この手法は「drive-by download(自動ダウンロード)」と呼ばれるものだ。
Hypponen氏は、Mebrootがどの程度広まっているかは不明としている。なお、米国VeriSignのiDEFENSE部門の調査チームは、2007年12月12日と19日に行われた攻撃によって、約5,000ユーザーがMebroot感染した可能性があると発表している。
(Jeremy Kirk/IDG News Service ロンドン支局)
