【 ここから本文 】

アクセス制御/認証

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

[米国]
米国のセキュリティ研究者、新タイプのルートキットをBlack Hatで発表へ

「OSではなくSMMで稼働する、きわめて検知困難なソフト」

(2008年05月12日)

 米国のセキュリティ研究者が、新たなタイプのルートキット(システムのルート権限を盗み出すための悪意あるプログラム)の開発につながる概念実証ソフトを開発した。同ソフトは、今年8月に米国ラスベガスで開催されるセキュリティ・コンファレンス「Black Hat」で公開される予定だ。

SMMルートキットを開発した米国Clear Hat ConsultingのShawn Embleton氏(写真左)とSherri Sparks氏(同右)

 SMM(System Management Mode:システム管理モード)ルートキットと呼ばれるこの概念実証ソフトは、システムの電源管理を担うSMM上で稼働する。SMMルートキットを開発した、米国のセキュリティ・コンサルティング会社Clear Hat Consultingのショーン・エンブルトン(Shawn Embleton)氏とシェリー・スパークス(Sherri Sparks)氏によると、同ソフトには、キー・ロギング/通信ソフトが組み込まれており、同ソフトを忍ばせたPCから情報を盗み出すことも可能だという。

 現在、サイバー犯罪者が使っているルートキットは、検知されるのを防ぐため、みずからの痕跡を隠すように設計されている。ルートキットは、米国Sony BMG Musicによって使われ始めた2005年以降、広く普及するようになった。

 近年、サイバー犯罪者や研究者たちの関心は、OSの外でルートキットを稼働させる手法の開発に集まっている。このようなルートキットは、現在のアンチウイルス製品では検知するのがきわめて難しいからだ。2年前、シンガポールにあるコンピュータ・セキュリティ・イニシアチブ・コンサルタンシー(COSEINC)のジョアンナ・ルトコフスカ(Joana Rutkowska)氏は、AMDが導入したチップ・レベルの仮想化技術を使ってみずからを隠す「Blue Pill」というルートキットを発表し、「この技術を使うことで100%検知不可能なマルウェアを開発することが可能になる」と警告した。

 3年前に「Shadow Walker」と呼ばれるルートキットを開発したことのあるSparks氏も、「近年のルートキットは、ハードウェアで稼働するタイプのものが多くなっている。システムの中に深く入り込むほど攻撃力が強まり、検知も難しくなる」と指摘する。

 Blue Pillが、近年マイクロプロセッサに搭載されるようになった新しい仮想化技術を利用しているのに対し、SMMルートキットは、米国Intelの386プロセッサ(1985年に発表)の時代から使われているSMM上で稼働する。米国のセキュリティ・コンサルティング会社NGS Softwareの調査ディレクター、ジョン・ヒースマン(John Heasman)氏によると、SMMルートキットは、メモリ内におけるロックされた部分に置かれるため、Blue Pillよりも検知が難しいという。

 SMM上で稼働する悪意のあるソフトについては、数年前から多くの研究者たちが警鐘を鳴らしていた。2006年には、ロイス・デュフロ(Loic Duflot)という人物が、SMMマルウェアの稼働メカニズムを実証してみせた。Embleton氏は、「Duflot氏が開発したのは、OSのセキュリティ・モデルの裏をかく小さなSMMハンドラ(制御ソフト)だった。われわれは、このアイデアを発展させ、ルートキット・ライクなテクニックを用いて、より複雑なSMMハンドラを開発した」と語る。それが、SMMルートキットというわけだ。

 ただし、SMMルートキットを稼働させるには、デバッガに加え、扱いにくいアセンブラ言語でドライバ・コードを作成しなければならない。しかも、このドライバ・コードは、攻撃するシステムが明確に認識できるものでなければならないという。

 Sparks氏は、「(SMMルートキットは)ハードウェアへの依存度が高いので、脅威が拡散する可能性は低い。おそらく、ターゲットを絞った攻撃に用いられるのではないか」と指摘する。また、SMMルートキットの検知が100%不可能かどうかという点についても、「検知が難しいとは思うが、不可能であるとは言っていない」と語る。

 Sparks氏とEmbleton氏は、Black Hatのセッションで、検知手法についてもさらに議論したいとしている。

(Robert McMillan/IDG News Serviceサンフランシスコ支局)

関連記事

▲ページの先頭へ戻る

注目のリポート/ホワイトペーパー

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

企業の持続的な成長のためには、サプライ・チェーンの最適化が不可欠

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

現在のプロセス状況を可視化し、改善ポイントを見つけることがカギ

「UTM」実践導入ガイド

「UTM」実践導入ガイド

巧妙化するあらゆる攻撃からネットワークを守る

「リアルタイムLANアナライザ」とは?

ネットワーク・トラブルにまつわる諸問題を解決する「リアルタイムLANアナライザ」とは?

高いコスト・パフォーマンスと操作性――最新製品に備わる特徴と機能

Windows Server 2008 対応製品(ソフトウェア関連)

SOA/BPM 関連製品

注目のトピック

ワークスタイル革新[New]
業務生産性の向上とワーク・ライフ・バランスの実現を目指して
事業継続マネジメント(BCM/DR)[Update]
万全のBC/DR基盤を構築し企業の信頼を高める
マルチコア・コンピューティング[Update]
ITインフラを最適化しパワーを最大限に生かす
グリーンITの戦略的価値
“環境マネジメント”の視点でITを最適化する
仮想化の“真実”
IT革命を支えるテクノロジー
データセンター革新
次世代ITインフラをいかに構築すべきか
ビジネス・インテリジェンス最新事情
組織と“個”の知的生産性を高める
セキュリティ・マネジメント[戦略と実践]
内外の脅威から企業を守る
Windows Server 2008 World
新世代プラットフォームの実力を探る
コンプライアンス総点検
法令順守の実態を把握し、万全の対策を!
SOAがITを変える
企業はどう備えるべきか
ITIL活用最前線
ITILでビジネスとITを変える
データ・マネジメント
新時代の情報/データ管理基盤を構築するために

Weekly Ranking

集計期間:11/27〜12/03

トピック一覧

ニュース特集

セキュリティ

ソフトウェア&サービス

経営/業務改革

ITマネジメント

データ・マネジメント

プラットフォーム

IT基盤技術

ハードウェア

ネットワーキング

トレンド

IT業界動向

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国