■本稿は,ソニーBMGの音楽CDがユーザーのマシンに「Rootkit(ルートキット)」を組み込むことを発見したMark Russinovich氏による「Rootkit」の解説記事である(米国のWindows Server専門誌「Windows IT Pro Magazine」2005年6月号に掲載)。Russinovich氏は「インサイド Microsoft Windows」(日経BPソフトプレス発行)の著者の一人であり,Windowsカーネルに精通している。Russinovich氏はかねてより,Rootkitがマルウエア(悪意のあるソフト)の隠蔽に悪用されることを懸念していたが,その懸念は2005年11月に現実のものとなった。システム管理者やセキュリティ対策担当者には,ぜひ本稿でRootkitの仕組みを学んで頂きたい(ITpro編集部)。



 ここ数年間,コンピュータ・ウイルス,トロイの木馬,スパイウエアといった「マルウエア(悪意あるソフト)」が流行している。ある調査によると,パッチを適用していないWindows XP(Service Pack 1適用済み)マシンをインターネットに接続して,何らかのソフトウエアをダウンロードするだけで,そのマシンは数分以内にマルウエアに侵されてしまうという。Webサイトを訪れたときに,好ましくないソフトウエアをシステムに導入されてしまうこともある。

 幸運なことに,こうした災難に備えるため,ウイルス/スパイウエア対策ソリューション,ファイアウオール,そして最新のパッチといった有用なセキュリティ対策があり,常に改良されている。しかし,「ルートキット」と呼ばれる技術は,こうしたセキュリティ対策の有効性を脅かし,コンピュータがマルウエアに侵されていないことを調べることを難しくしたり,不可能にしたりする。

 ルートキットとは,ソフトウエアを隠ぺいする技術を大まかに総称する言葉だ(訳注:ルートキット技術を実現するツールを指すことも多い)。ルートキットを使用すれば,マルウエアはウイルス対策ソフトやタスク・マネージャといったツールから,自身を隠せるようになる(訳注:ルートキット・ツール自体も隠ぺいされる)。

 この記事では,一般的なルートキットの仕組みや手法,ルートキットの存在を検出できるユーティリティ,システム上でルートキットを発見した際に行うべきこと——を解説したい。

Windowsでも高まるルートキットの脅威
 ルートキットは1990年代の初めに現れ,90年代後半までは主にUNIXで利用されていた。しかし90年代後半に,Windowsの開発者コミュニティがルートキットの技術を探求し始め,何人かのプログラマが,他人も変更・拡張が容易なルートキットのツール集を発表して事態は大きく変わった。そのツール集のうちのいくつかは非常に出来の良いパッケージになっていた。マルウエア作成者がルートキットの隠ぺい機能を使おうと思ったら,単にルートキット・ツールの設定ファイルにちょっとした変更を加え,マルウエアにバンドルすれば済むようになったのである。

 ルートキット開発者は,「ROOTKIT」(http://www.rootkit.com/)というWebサイトを中心に活動している。そこには,ルートキットを叩くために活動していると主張する人々が集まっているが,場合によってはしっくりこない,そして物議をかもすルートキットが発表される。このWebサイトで発表されたルートキットには,「Vanquish」「FU」「Afx Rootkit 2005」「NT Rootkit」「Hacker Defender」などがある。

 ルートキットへ非常に簡単にアクセスできることを考慮すると,ここ数年間に野に放たれたウイルスの隠ぺいにルートキットが使用されていないというのは驚きである。もっと驚くのは,スパイウエアやアドウエアの開発者が,彼らの作成したソフトウエアをシステムの深部に侵入させるために,ルートキットを使用していないことである。マイクロソフトのカスタマ・サポート・サービスやウイルス対策ソフト会社が,ユーザーのシステムにインストールされたルートキットを発見するのは,比較的珍しいようだ。

 しかしながら昨今,ルートキットがマルウエアの次なる戦場となることに研究者が気づき,ルートキットはマスメディアの大きな注目を集めている。メディアは,エンドユーザーに対してルートキットの危険性を警告しているが,同時にマルウエア作成者に対してルートキットの威力を喧伝することにもなった。いずれ,彼らは,年々強化されるウイルス/スパイウエア対策ソリューションに対抗するために,ルートキットを使用し始めるだろう。ディスクの再フォーマットとOSの再インストールでしか削除できないウイルス,スパイウエア,アドウエアなどがお目見えする日も近いはずだ。