セキュリティ・コンサルタント
村上 純一
ルートキットは,その動作の仕方からユーザー・モード・ルートキットとカーネル・モード・ルートキットの二つに分類できる。ユーザー・モードとカーネル・モードは,x86プロセッサの特権レベルに由来する概念である。
簡単に説明すると,x86プロセッサにはリング0からリング3の4段階の特権レベルが存在する(図1)。リング0が最も特権レベルが高く,数字が大きくなるにしたがってレベルが低くなる。特権レベルが高い側は,特権レベルが低い側のプログラムが管理しているリソースにアクセスできる。反対に特権レベルが低い側からは,高い側のリソースに直接アクセスすることはできない。リング1~リング3では一部の命令(特権命令)の実行が制限される。
 |
| 図1●特権レベル(リング)の概念 |
OSカーネルやデバイス・ドライバなどコンピュータのリソースを隅々まで利用しなければならないコードは最も権限の高いリング0で実行され,通常のユーザー・プロセスは最も権限の低いリング3で実行される。リング1,2はメモリー管理が煩雑になることなどから一般的なOSでは利用されていない。
ルートキットもコードが実行される特権レベルに応じて分類でき,リング0の場合はカーネル・モード・ルートキット,リング3の場合はユーザー・モード・ルートキットと呼ばれる。ユーザー・モード・ルートキットとカーネル・モード・ルートキットの違いは,ルートキットの影響範囲と,埋め込まれた際の深刻度にある。
ユーザー・モード・ルートキットは,影響範囲が限定されており,一般的には個別プロセスにだけ影響が及ぶ。一方,カーネル・モード・ルートキットはOSと同じレベルで動作するため,その影響範囲は広く全プロセスに及ぶ。またカーネル・モードで動作するため,アクセスできるメモリー領域や実行可能な機械語命令について,まったく制約がない。ソフトウエア的な制限を受けずにより低いレイヤーでの実装が可能となるため,ユーザー・モード・ルートキットに比べ,カーネル・モード・ルートキットは検出が困難で危険度が高い。
カーネル・モード・ルートキットにも,技術的に見ると二つのテクニックが存在する。一つはアプリケーションやOSの正常な処理の流れ(実行パス)に自身の処理を挿入し,経由させることで情報を改ざん・隠ぺいする方法。もう一つは,実行パスには触れずに処理で取り扱われるデータやデータ構造に変更を加える方法である。
次回は,カーネル・モード・ルートキットに焦点を当て,その仕組みを見てみよう。
|
