ルートキットの定義と意味
ルートキットは、ハッカーが標的の機器にアクセスして制御できるよう設計されたマルウェアの一種です。ルートキットのほとんどはソフトウェアやオペレーティングシステムに影響を及ぼしますが、なかには、PCのハードウェアやファームウェアに感染するものもあります。ルートキットは自らの存在を巧みに隠し、身を隠しつつ活動します。
PCに不正にアクセスすると、ルートキットは、サイバー犯罪者が個人データや財務情報を盗んだり、マルウェアをインストールしたり、また、スパムメールをばらまくためにそのPCをボットネットに取り込んで利用したり、あるいは、DDoS(分散型サービス拒否)攻撃に参加させたりするのを手助けします。
「ルートキット」の名は、最も高いアカウント権限を「ルート」と呼ぶ、UnixとLinuxのオペレーティングシステムに由来します。不正なルートを可能にする、または、不正な管理者レベルで機器にアクセスできるようにするアプリケーションは「キット」と呼ばれます。
ルートキットとは
ルートキットは、標的のPCやネットワークを乗っ取るためにサイバー犯罪者が使うソフトウェアです。ルートキットは1つのソフトウェアのように見えますが、ハッカーが標的の機器を管理者レベルで制御できるツールがパッケージ化されているものが少なくありません。
ハッカーは、次のようなさまざまな方法で標的の機器にルートキットをインストールします。
- よくあるのは、フィッシングメールやその他のソーシャルエンジニアリング攻撃によるものです。被害者は、知らないうちに、自らの機器で実行されるプロセスに紛れ、ハッカーにオペレーティングシステムをほぼ全面的に掌握させるマルウェアをダウンロードしてインストールします。
- 更新されていないソフトウェアやオペレーティングシステムの弱点など、脆弱性を利用してルートキットをPCに侵入させる方法もあります。
- また、マルウェアは、感染したPDFや不正にコピーされた媒体、怪しげなサードパーティストアで入手したアプリなど、他のファイルと一体化している場合もあります。
ルートキットは、オペレーティングシステムのカーネル近くや内部で動作し、これにより、ルートキットはPCにコマンドを送れるようになります。オペレーティングシステムを利用しているものはすべてルートキットの標的になり得ます。IoTが拡大していることから、これには冷蔵庫やサーモスタットといった機器も含まれる可能性があります。
ルートキットは、こちらの許可なくキーストロークを収集するキーロガーを隠し持っています。これにより、サイバー犯罪者は、クレジットカードやオンラインバンキングの情報といった個人情報を容易に盗めます。ルートキットによって、ハッカーはこちらのPCを使ってDDos攻撃を仕掛けたり、スパムメールを送信したりすることができるようになります。また、ルートキットは、セキュリティソフトウェアを無効にしたり、削除したりすることも可能です。
ルートキットには、リモートでITサポートを提供する場合や、法の執行を支援する場合など、正当な目的で用いられるものもあります。とは言え、ほとんどが悪意のある目的に使用されています。PCのオペレーティングシステムを操作したり、リモートのユーザーに管理者権限でのアクセスを可能にしたりといったさまざまな種類のマルウェアが含まれている点で、ルートキットは極めて危険です。
ルートキットの種類
1. ハードウェア/ファームウェアルートキット
ハードウェア/ファームウェアルートキットは、ハードドライブやルーター、PCのマザーボード上の小さなメモリーチップに搭載されているソフトウェアであるBIOSに影響を及ぼす恐れがあります。オペレーティングシステムではなく、ファームウェアを標的にして、検出の難しいマルウェアをインストールします。ハードウェアに影響を与えるこのルートキットにより、ハッカーはキーストロークを記録したり、オンライン活動を監視したりすることができるようになります。他の種類に比べて少ないとはいえ、ハードウェア/ファームウェアルートキットはオンラインの安全性にとって重大な脅威です。
2. ブートローダールートキット
ブートローダーは、PCのオペレーティングシステムの読み込みをつかさどっています。ブートローダールートキットはこのシステムを攻撃し、PCの正当なブートローダーをハッキングされたブートローダーに置き換えます。このブートローダーは、オペレーティングシステムが完全に読み込まれないうちにルートキットを起動させます。
3. メモリルートキット
メモリルートキットは、PCのランダムアクセスメモリ(RAM)に潜み、PCのリソースを使ってバックグラウンドで悪意のある活動を実行します。メモリルートキットは、RAMのパフォーマンスに影響を及ぼします。このルートキットはPCのRAM内にのみ存在し、パーマネントコードを注入することはないため、システムを再起動すれば消失します。ただし、それだけでは駆除できない場合もあります。寿命が短いことから、重大な脅威と見なされない傾向にあります。
4. アプリケーションルートキット
アプリケーションルートキットは、PC内の標準ファイルをルートキットファイルに置き換え、標準のアプリケーションの動作方法を変えてしまう場合すらあります。このルートキットは、Microsoft OfficeやNotepad、ペイントといったプログラムに感染します。攻撃者は、こちらがこれらのプログラムを実行すると、いつでもPCにアクセスできます。感染したプログラムは正常に動作し続けるため、ユーザーがルートキットに気づくのは困難です。しかし、ウイルス対策プログラムであれば、どちらもアプリケーション層で動作するため、検出可能です。
5. カーネルモードルートキット
カーネルモードルートキットは、オペレーティングシステムの核心部(カーネルレベルなど)を標的にするため、最も厄介な種類のルートキットの1つです。ハッカーは、PC内のファイルにアクセスするためだけでなく、自身のコードを注入してオペレーティングシステムの機能を変更するのにもこのルートキットを使用します
6. 仮想ルートキット
仮想ルートキットは、PCのオペレーティングシステムの下層に自らをロードします。次に、標的のオペレーティングシステムを、仮想マシンとしてホストします。これにより、元々のオペレーティングシステムによるハードウェアコールを妨害できるようになります。この種のルートキットは、オペレーティングシステムを妨害するのにカーネルを変更する必要がなく、検出も非常に困難になります。
ルーツキット事例
スタックスネット
これまでで最も悪名高いルートキットの1つが、2010年に発見され、2005年あたりから開発されてきたとされる悪意あるコンピュータワーム、スタックスネットです。スタックスネットは、イランの核開発計画に重大な損害を与えました。これは、オリンピック作戦として知られる共同取り組みにおいて米国とイスラエルが共同で開発したサイバー兵器であると広く信じられています。とはいえ、いずれの国も責任を認めてはいませんが。
ルートキットの注目すべき事例には、他に以下があります。
Flame
2012年に、サイバーセキュリティの専門家が、主として中東のサイバースパイ活動に使われるルートキットFlameを発見しました。Flamer、sKyWIper、Skywiperとも呼ばれるFlameは、PCのオペレーティングシステム全体に影響を及ぼし、機器のスクリーンショットや音声を収集し、キーストロークを記録します。Flameの背後にいるハッカーは見つかっていませんが、3つの大陸の80台のサーバーを使って感染したPCにアクセスしていたと研究結果は示唆しています。
Necurs
Necursは2012年にルートキットとして登場し、報道によれば、同年に8万3千件の感染が検出されたということです。東ヨーロッパのエリート揃いのサイバー犯罪者集団が関係するNecursは、その技術的複雑さと進化能力で突出しています。
ZeroAccess
2011年に、サイバーセキュリティの専門家が、世界で200万台以上のPCが感染したカーネルモードのルートキット、ZeroAccessを発見しました。このルートキットは、感染したPCの機能に直接影響を与えるのではなく、感染したPCにマルウェアをダウンロードしてインストールし、ハッカーがサイバー攻撃の実行に使用する世界規模のボットネットに取り込みます。ZeroAccessは今なお健在です。
TDSS
TDSSルートキットは、2008年に初めて検出されました。自らをロードして、オペレーティングシステムの初期段階で動作し、そのために検出と駆除が難しいため、ブートローダールートキットに似ています。
ルートキットの検出方法
ルートキットがPCに感染しているかを検出するのは困難です。それは、この種のマルウェアが明らかに潜伏するよう設計されているからです。また、ルートキットはソフトウェアを無効にできるため、検出作業はさらに困難になります。結果として、ルートキットマルウェアは、長期間PCに居座って重大な損害をもたらすことになります。
ルートキットマルウェアの考えられる兆候には、以下があります。
1. ブルースクリーン
Windowsのエラーメッセージが大量に表示されたり、ブルースクリーンに白い文字(「死のブルースクリーン」と呼ばれることもある)が現れたりし、さらに、PCを頻繁に再起動する必要がある。
2. ウェブブラウザの動作がいつもと違う
知らないブックマークがある、URLがリダイレクトされる。
3. 機器の動作が遅い
起動に時間がかかり、動作が遅かったり、頻繁にフリーズしたり、マウスやキーボードからの入力に応答しなかったりする。
4. 許可なく、Windowsの設定が変更されている
自分では何も変更していないのに、スクリーンセーバーが変更されていたり、タスクバーが消えてしまったり、誤った日付や時間が表示されたりする。
5. ウェブページが適切に機能しない
ネットワークトラフィックが過剰なために、ウェブページやネットワークアクティビティが、断続的に表示される、あるいは、適切に機能しない。
ウイルス対策ソリューションで行えるルートキットスキャンは、ルートキット感染を検出する最善の方法です。ルートキットウイルスが疑われるなら、PCの電源を切り、既知の感染していないシステムからスキャンを実行するのも、感染を検出する1つの方法です。
動作解析もルートキット検出の方法の1つです。これは、ルートキットそのものを探すのではなく、ルートキットが疑われる動作を探すものです。システムの動作がおかしいとわかっていれば、的を絞ったスキャンは効果がある一方、動作解析は、攻撃を受けていることに気づく前にルートキットについて警告してくれます。
ルートキットの削除方法
ルートキットの削除は複雑なプロセスで、一般的に、TDSSルートキットの検出と削除が行える、カスペルスキーのTDSSKillerユーティリティといった専用ツールが必要です。うまく隠れているルートキットを完全に削除するには、PCのオペレーティングシステムをアンインストールし、ゼロからやり直すしかない場合もあります。
ルートキットをWindowsから削除する方法
Windowsでの削除には、スキャンの実行も含まれます。深く入り込んでいる場合には、Windowsを再インストールするのが、ルートキット削除の唯一の方法です。これは、内蔵のWindowsインストーラーを使わずに、外部メディアを介して行う方がいいでしょう。ルートキットのなかにはBIOSに感染するものもあり、正常な状態に戻すには修理が必要です。修理してもルートキットを削除できないなら、PCを買い替えるしかありません。
ルートキットをMacから削除する方法
Macでは、最新のリリースを反映するようにします。Macの更新は、単に新たな機能を追加するだけではありません。更新によって、ルートキットといったマルウェアも削除されます。Apple製品には、マルウェアから保護するセキュリティ機能が内蔵されています。ただし、macOSには既知のルートキットの検出ツールはないため、ルートキットの感染が疑われるなら、macOSを再インストールする必要があります。再インストールにより、PCからほとんどのアプリとルートキットが削除されます。Windowsの場合と同様、ルートキットがBIOSに感染している場合は、修理して正常な状態に戻す必要があります。そして、それでも削除できないなら、PCを買い替えるしかありません。
ルートキットを阻止する方法
ルートキットは危険かつ検出が困難なため、インターネットをブラウズしたり、プログラムをダウンロードしたりする際には慎重に行うことが重要です。コンピュータウイルスを防ぐための対策は、同様に、ルートキットのリスクを最小限に抑えるのにも役立ちます。
1. 包括的なサイバーセキュリティソリューションを利用する
使用している機器を保護する対策を積極的に講じ、包括的かつ最新のウイルス保護ソリューションをインストールします。カスペルスキーはサイバー脅威を全面的に防止し、ルートキットスキャンの実行も可能です。
2. 最新の状態に保つ
自身を守り、ハッカーによるマルウェア感染を防ぐには、ソフトウェアの更新を継続して行うことが最も重要です。脆弱性を利用するルートキット攻撃を防ぐため、すべてのプログラムとオペレーティングシステムを最新の状態に保ちましょう。
3. フィッシング詐欺に注意する
フィッシングは、財務情報を提供させたり、悪意のあるソフトウェアをダウンロードさせたりするために詐欺師がEメールを使ってユーザーをだます、ソーシャルエンジニアリング攻撃の一種です。ルートキットのPCへの侵入を防ぐため、差出人に馴染みがない場合は特に、疑わしいメールは開かないことです。リンクが信頼できるかどうか確信が持てない場合も、クリックしないようにしましょう。
4. 信頼できる情報源からのみファイルをダウンロードする
ルートキットがPCにインストールされるのを防ぐため、添付ファイルを開く際は注意し、知らない相手からの添付ファイルは開かないようにします。ソフトウェアは、信頼できるサイトからのみダウンロードするようにしてください。安全でないサイトにアクセスしようとしているというブラウザの警告を無視しないようにしましょう。
5. PCの動作やパフォーマンスに注意する
PCの動作に問題がある場合は、ルートキットが動作していることを示しているのかもしれません。予期せぬ変更がないか常に注意し、変更があったら、その原因を突き止めるようにしてください。
ルートキットは、見つけるのも駆除するのも非常に難しいマルウェアの1つです。検出が困難だからこそ、多くの場合、予防が最大の防御です。継続的な予防を確実に行えるよう、最新のサイバーセキュリティ脅威についての情報収集を怠らないようにしましょう。
関連製品:
関連記事:
