【セキュリティ】【セキュリティ】ルートキットは「多くのマルウェアに使われている」

「ボットやStormワーム、トロイの木馬にバックウェアなど、ルートキットテクノロジは、
思った以上にいろいろな脅威に使われている」（シマンテック セキュリティレスポンス主任研究員の林薫氏）

シマンテックは6月19日、Windows上でファイルやレジストリ、プロセスなどを隠蔽するために改変を行う「ルートキット」
について解説した。ルートキットは、PCに侵入した悪意あるソフトウェアを、ユーザーの目や対策ソフトウェアから
隠すコンポーネントだ。アプリケーションからのファイル呼び出し命令を途中でフックし、あたかもシステムが正常に
動いているように見せかける。この結果、侵入に気付くのが遅れ、ユーザーの被害は拡大してしまう。

シマンテックでは定期的に、マルウェアの動向をレポートとしてまとめているが、2007年下半期のレポートでは、
「ダウンローダー」として検出されたマルウェア上位10種のうち6種類がルートキットを用いていたという。

ルートキットは「ユーザーモード」と「カーネルモード」の2種類に大きく分けることができる。ユーザーモードの方が、
悪用するための技術的ハードルは低いが、その分、できることも限られていた。一方カーネルモードのルートキットは、
いったん忍び込むとほぼあらゆることが可能になるが、以前は作成のための技術的ハードルが高く、悪用が困難だったという。

しかし、「インターネットやコミュニティなどで、カーネルモードのルートキットのソースコードや
情報が掲載されるようになった」（林氏）ことから、現在ではほとんどがカーネルモードのルートキットとなっている。
「カーネルモードのルートキットは、OSの中のハードウェアに近いレベルで動作するため、ほとんど何の制限もない。
何でも動くようになってしまう」（林氏）。

しかもルートキットは、もともとファイルの存在を隠すためのツールなので、ウイルス対策ソフトによる検出が困難だ。
「見つかりにくいから削除できないうえ、セーフモードでも動作してしまうため削除できないものもある」（林氏）。
こうして検出・駆除までの期間が長期化することにより、被害が拡大する傾向にあるという。
中には、ルートキットが潜んでいるPC上でウイルススキャンを実行すると、うまく動作せずスキャンがストップすることもあるという。

こうしたルートキットに対して、シマンテックでは、合併したベリタスソフトウェアの「VxMS（ベリタスマッピングサービス）」という技術を
活用することで、検出を可能にしている。VxMSは、ブロック単位でデータを保存し、ファイルシステムとのマッピングを行うテクノロジだ。
同社のセキュリティ製品「Symantec Endpoint Protection 11.0」ではこれを実装することで、物理ディスクに直接アクセスし、
ファイルシステムより下のレイヤで動作するルートキットについても検出が可能になっているという。

http://www.atmarkit.co.jp/news/200806/19/symantec.html