【解説】
ハッカーはもはやルートキットを使わない

感染攻撃を行う脅威全体の1％未満

（2008年11月17日）

　ルートキットは、コンピュータの奥深くに感染してひそかに攻撃活動を行う恐るべき存在だ。セキュリティ対策ツールでも、検出や分析が困難だという。ところが、最近のサイバー犯罪者たちはルートキットを使わないという。本稿では、ルートキットの脅威と最近の攻撃者たちの傾向について解説しよう。

Robert McMillan／IDG News Serviceサンフランシスコ支局

PC上でひそかに活動する
ルートキット

　ドイツのITサービス会社GADのセキュリティ研究員、フランク・ボールドウィン（Frank Boldewin）氏は、悪意あるソフトウェアを数多く見てきたが「Rustock.C」のようなものは初めてだった。

　Rustock.Cは、Windowsコンピュータに感染し、感染PCを勝手にスパム・メール配信サーバに転用するために悪用されるルートキットだ。各種の高度な技術が応用されており、セキュリティ対策ツールでも検出や分析がほとんど不可能とされている。

　ボールドウィン氏が今年、Rustock.Cに初めて気づいたのは、このルートキットが同氏のコンピュータをクラッシュさせたからだ。Rustock.Cは、ドライバ・レベルの暗号化機能を搭載しており、調査するにはそれを復号する必要があった。また、アセンブリ言語を用いて“スパゲッティのようなコード構造”で作成されていたため、ソフトウェアの実際の挙動を把握するのは非常に困難だった。

　通常、ルートキットの分析は、ボールドウィン氏のような高い技術を持つ人なら一晩でできるものだ。だが、同氏がRustock.Cの仕組みを調べるのに何日もかかった。ボールドウィン氏は、Rustock.Cは非常に見つかりにくいことから、「ウイルス対策製品で検出され始める1年近く前から出回っていたのでは」と述べている。

　これこそが、ルートキットの特徴だ。つまり、ユーザーやセキュリティ・ツールに見つからないように、こっそりと不正行為を行うというものだ。だが現在、ルートキット自体は大きな脅威となっているのだろうか。

ルートキット技術を応用した
コピー・プロテクト・ソフト

　2005年秋、Windowsセキュリティの専門家であるマーク・ルシノビッチ（Mark Russinovich）氏は、自分のPCにルートキットを見つけて困惑した。調査の末に同氏は、Sony BMG Music Entertainmentが採用していたコピー・プロテクト・ソフトウェアが、ルートキット技術を使ってコンピュータ上で自身の存在を隠していたことを突き止めた。Sonyのソフトウェアは、悪意ある動作をするようには設計されていなかったが、ほとんど検出不能で、削除するのは非常に困難だった。

　Sonyのルートキットは、同社のイメージに大きな打撃を与え、同社はこのソフトウェアがインストールされたマシンのユーザーの訴訟・和解に数百万ドルを費やした。現在はMicrosoftのテクニカル・フェローを務めるルシノビッチ氏は、依然として、「このルートキットはコンピュータ・ユーザーにとって重大なトラブルを引き起こした」と考えている。

　Sonyのルートキットは、ウイルス対策ベンダーにとっても災いの種となった。どのウイルス対策ベンダーも、このソフトウェアを約1年間も発見できずにいたのだ。このことで、セキュリティ業界は著しく評判を落とした。

　ルートキット自体が登場したのは何年も前のことで、当初はUNIXマシンが主な標的だった。ところが、この騒動を機に、ルートキットはウイルス対策ベンダーにとって次の大きな脅威だと考えられるようになった。セキュリティ専門家は、仮想化技術を使ってルートキットを隠す手法を探り、まったく検出できないルートキットが登場するかどうかを巡って議論を戦わせた。

　しかしルシノビッチ氏は、ルートキットについて盛んに言われていた予想は外れたと述べる。「大方の予想とは異なり、ルートキットは蔓延していない」

｜1｜2｜ > 次のページへ