［米国］【Black Hat USA 2008】
ルートキットのセッションが盛況、“新タイプ”のデモも相次ぐ

NICチップセット・ベースやCisco IOS向けのルートキットが登場

（2008年08月08日）

　8月2日～7日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」では、昨年と同様、ルートキット（rootkit）に関するセッションが盛況であった。ここでは、そのうちのいくつかを紹介しよう。

　Clear Hat Consultingのシェリ・スパークス（Sherri Sparks）社長とショーン・エンブルトン（Shawn Embleton）CTOは8月6日、NIC（ネットワーク・インタフェース・カード）チップセット・ベースのルートキット「Deeper Door」をどのように開発したかを説明した。Deeper Doorは、攻撃者がひそかにトラフィックを隠したり、監視したりするために利用できるとされる。

Black HatのWebサイト。次回は10月7日から東京で開催される

　Sparks氏によると、Deeper Doorは、ポーランドの研究者ジョアンナ・ルトコウスカ（Joanna Rutkowska）氏が開発したルートキット「Deep Door」とは異なり、OSに依存しない。攻撃者の観点で見ると、どちらのルートキットにも一長一短がある。ただしDeeper Door Intel 8255xチップセット・ルートキットのほうは、「チップセット、マザーボード・チップセット、LANコントローラ上で完全に動作する」とSparks氏は語った。

　Sparks氏とEmbleton氏は、Deeper Doorがどのようにロードされるかを示すデモを行い、「われわれの研究により、Deeper Doorは、ソフトウェア・ベースのファイアウォールやIPS、例えばSnort IDS、ZoneAlarm、Windows XPファイアウォールなどでは検出できないことがわかった」と述べた。さらに両氏は、不正なアウトバウンド・トラフィックを送信するDeeper DoorがZoneAlarmで検出されないことを示すデモも行った。

　両氏によると、ハードウェア・ベースのファイアウォールであればDeeper Doorを検出できるという。しかし、「このルートキットは非常にしぶとい」とEmbleton氏。NICを無効にしても、Deeper Doorを停止することはできないという。Deeper Doorは、カードが無効にされているかどうかをチェックし、無効にされている場合は有効にするよう設計されているからだ。

　同じく6日に行われたルートキットに関するもう1つのセッションで、セキュリティ・ベンダーのCore Security Technologiesの研究者、アリエル・フトランスキー（Ariel Futoransky）氏は、同社がCisco IOSルートキット「DIK」（da IOS rootkit）の開発をどのように成功させたかを詳しく説明した。

　DIKは、Cisco IOSルータを危険にさらす軽量ルートキット。同OSのイメージに感染し、ネットワークに対してひそかに不正な操作を行う悪意あるコードを残すと同氏は説明し、その簡単なデモも行った。

　Cisco IOSルートキットが実際に仕込まれていた事例は知られていないが、研究により、それが可能であることはわかっていると、Futoransky氏は語った。「DIKから自衛できるのかどうかについては、簡単な答えはない。だが、暗号化ツールを利用すれば、ルートキット攻撃の痕跡を隠すのは難しくなるだろう」（Futoransky氏）

　Ciscoは現在、Core Security Technologiesと協力して、IOSルートキットの研究に取り組んでいる。Ciscoの広報担当者ケビン・ペチョウ（Kevin Petschow）氏は、同社製品に対する新手の攻撃を研究者が発見したら、よろこんで共同作業を行うと述べている。

　別のセッションでは、Praetorian Globalのセキュリティ研究者兼ソフトウェア・エンジニア、ジェシー・ダグアノ（Jesse D'Aguanno）氏が、AppleのMac OS Xもルートキットを仕込まれる危険があることを指摘した。Mac OS Xに対応するルートキットを開発するのは必ずしも簡単ではないが、実際に可能だと同氏は述べ、その証拠を示すとともに、同氏が開発したルートキットのデモを行っている。

(Ellen Messmer／Network World米国版)