ルートキットは小手先の技術では除去できない
自分のシステムがルートキットを使ったマルウエアに侵入されたと疑う場合,何をしたらいいのだろうか?
まずは,ウイルス対策ソフトのベンダーやカスタマ・サポート・サービスといった信頼できる情報源からきちんとした削除の手順を入手すべきである。もし,それができなければ,唯一の安全な対策は,ディスクを再フォーマットしてWindowsを再インストールすることだけだ。削除ツールのリネーム機能といったもので,ルートキットをアンインストールできるなどと思ってはならない。リネーム対抗技術を使って開発されたルートキットだとしたら,そのリネーム機能は無効である。さらに悪いことに,そのツールではすべてのルートキットのコンポーネントは検出できないだろう,結果としてシステムは完全にはクリーンアップされない。
ルートキット技術は,マルウエアとの戦いをより大規模なリスクを持つレベルに押し上げるだろう。ルートキット開発者はセキュリティのコミュニティが知らない手法を導入し,システムに侵入したマルウエアが長期にわたって検出できなくなるという事態になるかもしれない。事態が明らかになったときには,もう既に破滅的なウイルスがインターネットに甚大な被害を及ぼしていたり,会社のデータが不正な人物の手に渡ってしまっていたり,といったことになっている可能性も考えられる。対策として重要なのは,厳密なセキュリティ・ポリシーを実施することである。またウイルス対策ソフト・ベンダーが継続して,Windows OSに対する十分な理解を深めることが必要だ。そしてその理解は,ルートキット開発者の視点からのもので,マルウエア開発者に一歩先んじるためにルートキットが偽装する方法を調査するものでなければならないだろう。
|
筆者紹介:Mark Russinovich |
