UIRUSU01

 先日からコンピュータウイルス(マルウェア)についての知識と題して記しております。
今回はルートキット編です。このマルウェアに感染すると非常に厄介となります。大変なことにならないようにするためにもぜひ覚えましょう。

1.ルートキットとは何?

ROUTEKIT01
 ルートキットとはルート(道)とキット(組み立て材料一式)を合わせた言葉で、マルウェアでは不正プログラムの侵入経路を作るプログラムツールのことを言います。
 ルートキットははターゲットとなるパソコンやスマホなどに密かに侵入し、自らの存在を隠蔽しながらそのまま長期間潜伏します。
 そして、感染したパソコンやスマホのシステム情報を改ざんし、マルウェアの存在を検知させないようにします。また同時に個人情報などさまざななデータを隠蔽したり情報を盗み取ります。
SPY01

 簡単にいうと映画などに出てくる「スパイ」ということになります。





2.ルートキットはどんな特徴があるの?
KAKURE

 ルートキットそのものはマルウェアではなく、あくまでも悪意のあるユーザーによる様々な不正なことをを支援するプログラムであるため、通常のプログラムと見分けが付かないというのが大きな特徴となります。また、先ほど記したとおりそのまま長期間潜伏するため、感染されても活動を行わなければ、セキュリティプログラムでも反応しないということになります。
 ルートキットはバックドアを構築し、他のマルウェアの侵入を手助けします。しかもシステム内部のアクセスログを改ざんしてマルウェアがシステムに侵入した形跡も消してしまいます。


3.ルートキットについてもっと詳しく!

KUWASIKU

 ここからもっと詳しく説明いたしましょう。
 ルートキットの種類には2種類あります。「カーネルモード」と「ユーザーモード」です。

 まずは「カーネルモード」と「ユーザーモード」という言葉ことを理解してください。

 A.カーネルモード

 カーネルモードとはOS(Windowsなど)を動作するにあたり、CPUの制御やメモリの制御・ストレージが割り当てなどを行う中心的なプログラムとなります。このカーネルプログラムはOSの中でも最上位特権を持っており、プログラムには利用できないコマンドやレジスタを使ってさまざまな制御を行っています。これはOSが安全・安定的に動作できるようにするためであり、これを1つの普通のプログラムが行った場合、何かあった時強制終了となると、OSやディスクなどの破損につながります。そのため、ユーザーなどが制御できない領域でOS全体をつかさどるプログラムが動いているわけです。最重要な仕事をしているため、このプログラムの邪魔をすることは絶対できません。

 B.ユーザーモード
 
 ユーザーモードとはアプリケーションを動かすためのモードで、いわゆる、自分たちがプログラムを動かしている領域となります。このユーザーモードのプログラムからたえずハードの制御情報をカーネルプログラムに渡し、カーネルプログラムがさまざまな制御を行っています。つまり、ユーザーモードはあくまでも通常のプログラムを実行・インストールを行う領域となります。


つまり、端末を動かしているOSはすべて「カーネルモード」と「ユーザーモード」という領域が2つ存在するのです。


 ではバックドアの種類の「カーネルモード」と「ユーザーモード」とはどうなのかというと、どの領域で活動しているかという種類になります。

 通常のルートキットの場合、「ユーザーモード」で動作します。このモードで動作するルートキットは動作中のアプリケーションの一部のプロセスを乗っ取ったり、使用されるメモリの内容をを勝手に上書きしたりします。このモードでのルートキットは検出は比較的に容易で、ルートキット対策ツールのほとんどは、このユーザーモードのルートキットが対象となっております。
また、タスクマネージャ上でも異常な行動などが表示されるため、
このルートキットが活動を開始すると異常だと気づくこともあります。
SIHAI

 厄介なのは「カーネルモードのルートキット」です。この領域に感染すると、完全にOSはルートキットの支配下になります。バックドアの存在を隠蔽したり、攻撃者の侵入の痕跡を抹消することが出来ます。また、ルートキット対策ツールでも検出がほぼ無理となります。感染した場合はOSの再インストールを行うしかありません。




4.ルートキットはどこから感染?
DOROBOU

ルートキットは次のようなところから侵入し、感染します。

A.OSやアプリケーションの脆弱性を狙う

 ルートキットのほとんどはOSやアプリケーションの脆弱性を狙って感染するケースです。特にWeb上でネット閲覧を行っているときにアプリケーション(Adobe Flash)などの脆弱性をピンポイントをついて感染します。


B.外部ドライブから感染
 少々強引な感染方法となりますが、USBドライブなどの外部ドライブを借りて使用している場合、貸した人のパソコンなどが感染しており、それによって外部ドライブなどにルートキットが潜んでしまっていたというケースもあります。


C.正規のものに見せかけたアプリケーションから

 これは他のマルウェアと同様の手段になります。公式サイト以外からのダウンロードを行った場合、インストーラーにひそかに仕込んでいる場合もあります。インストールするする前に必ずマルウェアのスキャンチェックを行ってください。


5.ルートキットに感染されたらどうなるの?
KANSEN02

ルートキットに感染されたらOSの管理者権限が奪われ、ほかのマルウェアが次々と侵入してしまいます。つまりパソコンがマルウェアの住み家となってしまいますので注意してください。


6.ルートキットに感染されないようにするには?

BLOCK

 ルートキットの場合はほかのマルウェアとは違い、感染されたかどうかわかりません。侵入しないように入り口で阻止する方法が一番となります。
 そのためには

 A.セキュリティソフトを導入する。

 現在のセキュリティソフトの場合ヒューリスティックスキャンというのがあり、いろいろなパターンから怪しいものを見つけ出してくれる機能があります。今までのセキュリティソフトはウイルスパターンから照合を行うだけでしたが、その場合、未知のウイルスには対応することはできませんでした。現在はそのパターンから変化を予想し、怪しいプログラムを見つけることができます。導入と同時に定期的なチェックも必要になります。ルートキットは潜伏していてどこで活動開始しているか分かりません。定期的なチェックを行うことによって感染されているかどうかわかってきます。

 B.不審なメール添付ファイルやリンクを開かない
 これはマルウェア全般に言えることです。絶対に怪しい添付ファイルは開かないようにしてください。



 C.OSやソフトのアップデートを行い常に最新の状態を保つ

 これが一番重要となります。OSやアプリケーションの脆弱性を狙ってきますので、その脆弱性をなくするためにも必ずアップデートを実行してください。