［ドイツ］【CeBIT 2008】
昨年12月に蔓延したrootkitはきわめて悪質――F-Secureが注意を呼びかけ

その名は「Mebroot」。検出困難で「打つ手立てなし」

（2008年03月05日）

　フィンランドのセキュリティ・ベンダーF-Secureは3月4日、ドイツ・ハノーバーで開催中のIT展示会「CeBIT 2008」において、昨年12月に感染が確認されたrootkitがきわめて検出困難であることが判明したと発表した。

　「Mebroot」と命名されたこのrootkitは、PC起動時に最初に読み込まれるハードディスク上の部分（セクタ）であるMBR（Master Boot Record）に感染するのが特徴だ。MBRは他のどのセクタよりも早くロードされるため、そこに感染したrootkitはほとんどのセキュリティ・ソフトウェアで発見されないという。

　F-Secureの研究担当最高責任者、ミコ・ヒポネン（Mikko Hypponen）氏は、Mebrootについて、「現時点で打つ手立てはない」と述べている。

　rootkitとは、コンピュータのOSの奥深くに潜み、除去が非常に難しい悪質なプログラム。

　Hypponen氏は12月以降、Mebrootのアルファ版とベータ版を目にしてきたが、いよいよ正式版が流布され始めたと注意を呼びかけている。

　rootkitに感染してしまうと、悪意あるクラッカーにマシンを完全に掌握されてしまい、ほかのさまざまな攻撃を受ける可能性が開かれる。例えば、悪質なソフトウェアが勝手にインストールされ、ユーザーのキー・ストロークのログから財務データや個人情報が盗み出される場合もあるという。

　rootkitの探索を専門とするF-Secureの技術でも、Mebrootに感染していると「推測する」ことしかできないという。Hypponen氏は、「あいまいな推測ではあるが、それに用いる技術は明らかにできない」と述べている。

　問題はMebrootが単なる1つのファイルではなく、マシン上で稼働している他のプロセスに身を隠し、悪質な行為を隠蔽することだとHypponen氏は指摘している。しかし、F-Secureのセキュリティ・ソフトウェアのCDを用いてPCを起動すれば、Mebrootの感染を推測できるとしている。

　Hypponen氏によると、PCへの攻撃を成功させるために必要とされる高度な技術は、今日のマルウェア作者の手の届かないものと考えられていたが、それは誤った認識であり、クラッカーらは現在、脆弱性を抱える特定のWebブラウザを介してPCにMebrootを自動的に感染させるWebページを作成しているという。この手法は「drive-by download（自動ダウンロード）」と呼ばれるものだ。

　Hypponen氏は、Mebrootがどの程度広まっているかは不明としている。なお、米国VeriSignのiDEFENSE部門の調査チームは、2007年12月12日と19日に行われた攻撃によって、約5,000ユーザーがMebroot感染した可能性があると発表している。

(Jeremy Kirk／IDG News Service ロンドン支局)