ルートキットとは、サイバー攻撃を容易にする道具のようなものです。その名の通りルート（root：管理者）の奪取を試みます。管理者権限を持つことで、ルートキット自身の隠蔽やログを改ざんするため、ルートキットを検出したり、駆除したりするのは非常に困難です。

ルートキットにより、攻撃者からさまざまな攻撃を受けますが、攻撃を隠蔽する仕組みを持つルートキットも多く、長期的に攻撃され被害が大きくなる傾向があります。総務省から発表された「スパイウェアの現状等について」でも、ルートキットが悪質であると紹介されています。

ルートキット感染の仕組みは、主に脆弱性をついた攻撃や不正なソフトウェアのインストールによる感染です。攻撃者はさまざまな方法を用いて、ルートキットの感染を目指します。主な感染の仕組みは以下の通りです。

ルートキットは、あくまでも攻撃の道具の様なものですが、ルートキットを利用したサイバー攻撃が発生したため、マルウェアと認識されています。

過去に、レーベルが販売したCDにルートキットが組み込まれており、パソコンでインストールした場合に、ルートキットに感染する事件が発生しました。ルートキットを組み込んだ目的は、レーベルが複製防止機能を隠すためでしたが、その後、組み込まれたルートキットを利用したマルウェアが発生し、大きな問題に発展しました。

サイバー攻撃者にとって、ルートキットは攻撃を容易にするための道具の様なものです。ルートキットに組み込まれているツールによって、攻撃内容と被害内容が変わってきます。ここでは、よく組み込まれているツールの機能と役割を詳しく見ていきましょう。

これらはいずれも危険な仕組みです。特にルートキット自身が隠蔽されることで、感染していることに気付かずに、被害が拡大する危険があります。

ルートキットは自身を隠蔽したり、ログの改ざんにより攻撃の痕跡を消したりする仕組みを持つため、攻撃が長期間になりやすく非常に危険です。また、ルートキット専用の検出ソフトウェアを使用しても、検出できない仕組みを持つルートキットもあります。

ルートキットは潜伏されているだけで、非常に危険な存在です。

ルートキットに含まれるツールを用いた攻撃により、気づかないうちに大きな被害を受ける危険があります。ここでは、ルートキットにより受ける可能性のある被害を見ていきましょう。

ルートキットによりバックドアを仕掛けられ、Webサイトが改ざんされる危険があります。改ざん内容によっては、Webサイトに訪問しただけでマルウェアに感染するため非常に危険です。ランサムウェアのような危険なマルウェアに感染し、金銭被害を受けたり、パスワードやクレジット情報といった機密情報を盗まれたりする危険があります。

ルートキットに感染していることに気付かず、不正な攻撃の踏み台にされる危険があります。具体的には外部へのDDos攻撃や、別のWebサイトやサービスへの不正アクセス、SNSへの不適切な投稿などです。

これらの攻撃は、攻撃された側からみると、踏み台にされたユーザから攻撃を受けたように見えます。踏み台にされたユーザは、ルートキットにより乗っ取られていることを証明する必要がありますが、ルートキット自身が隠蔽されており、不正な攻撃のログが改ざんされているため、踏み台にされたことを証明するのは困難です。そのため、本来被害者である踏み台にされたユーザが、加害者とみなされる危険があります。

ルートキットには、感染する場所によりさまざまな種類があります。ルートキットの種類により、影響範囲と被害が異なるため、対応する上で、ルートキットの種類を把握することは重要です。ここではルートキットの種類と発生する被害を詳しく見ていきましょう。

ハイパーバイザーとは、仮想化環境を制御するための仕組みです。ハイパーバイザーがルートキットに感染すると、ハイパーバイザーが制御しているすべての仮想OSの管理者権限が奪取されます。そのため、すべての仮想OSがルートキットの補助により、バックドアの生成、マルウェアの感染、機密情報の盗聴、システムの改ざんや踏み台攻撃といった攻撃を受けます。

ハイパーバイザールートキットは、仮想OSよりも下層に潜伏する仕組みのため、検出が非常に困難です。さらに、複数の仮想OSが攻撃にさらされるため、被害が大きくなる傾向があります。

仮想化ルートキットは仮想環境のうち、1つの仮想OSが管理者権限を奪取されます。そのため1つのOSがルートキットの補助により、バックドアの生成、マルウェアの感染、機密情報の盗聴、システムの改ざんや踏み台攻撃といった攻撃を受けます。仮想化ルートキットも仮想OSよりも下層に潜伏する仕組みのため、検出が非常に困難です。

カーネルモードルートキットは、OSに感染したルートキットで、OSの管理者権限を奪取します。ルートキットの補助により、バックドアの生成、マルウェアの感染、機密情報の盗聴、システムの改ざんや踏み台攻撃といった攻撃を受けます。OSを改ざんし、ウィルス対策ソフトやルートキット専用の検出ソフトウェアを回避するものもあり、検出が非常に困難です。

ファームウェアルートキットは、OSとハードウェアを制御するファームウェアに感染するルートキットです。OSの管理者権限を奪取し、バックドアの生成、マルウェアの感染、機密情報の盗聴、システムの改ざんや踏み台攻撃といった攻撃を補助します。OS上でマルウェアやバックドアを検出、駆除しても、OSが起動するたびに攻撃されるため、長期的に危険な状態が続きます。他のルートキットと同様に、検出が非常に困難です。

ブートローダールートキットは、OSが起動する前に稼働するブートローダー上に感染するルートキットで、OSの管理者権限を奪取します。ルートキットの補助により、バックドアの生成、マルウェアの感染、機密情報の盗聴、システムの改ざんや踏み台攻撃といった攻撃を受けます。ファームウェアルートキットと同様に、OSが起動するたびに攻撃されるため、長期的に危険な状態が続きます。他のルートキットと同様に、検出が非常に困難です。

ユーザーモードルートキットは、OS起動後のアプリケーションと同レベルで稼働するルートキットです。OSの管理者権限を持たないため、管理者権限への昇格を試みます。特権へ昇格できなかった場合は、権限が限定的なため一部の攻撃補助で終わります。管理者権限へ昇格した場合は、他のルートキットと同様のバックドアの生成、マルウェアの感染、機密情報の盗聴、システムの改ざんや踏み台攻撃といった攻撃を補助します。

管理者権限を昇格した場合は、ルートキット自身を隠蔽するため、検出は非常に困難ですが、管理者権限に昇格できなかった場合は、隠蔽できる範囲が狭いため、他のルートキットに比べると検出しやすい傾向があります。OSの再起動によりルートキットが消滅する場合があります。

メモリルートキットとは、端末のメモリ上に感染するルートキットです。OSの管理者権限を奪取し、バックドアの生成、マルウェアの感染、機密情報の盗聴、システムの改ざんや踏み台攻撃といった攻撃を補助します。他のルートキット同様に、検出が非常に困難です。

OSのシャットダウンによりメモリはリセットされますが、ルートキット本体がハードディスク内やファームウェアにある場合は、起動時に再感染します。そのため、メモリ上にルートキット本体がある場合に限り、シャットダウンが有効です。

ルートキットとは攻撃者にとって、攻撃のための道具です。そのため、攻撃者が頻繁に利用するツールを多く含むのが特徴です。ここでは、ルートキットによく含まれるツールを見ていきましょう。

ルートキットのツールの1つにキーロガーがあります。キーロガーとは、入力したキーの内容を記憶するマルウェアです。機密情報を盗み出すために、ルートキットにキーロガーツールがよく仕込まれます。キーロガーによる被害は、ユーザIDやパスワードの個人情報、クレジット情報などの機密情報が盗聴される危険があります。

盗まれたユーザIDやパスワードにより、SNSでの不適切な投稿や、信用の失墜や機会の損失といった被害、盗まれたクレジット情報による金銭被害に遭う危険があります。

ルートキットのツールの1つにトラフィック監視ツールがあります。トラフィック監視ツールとは、ネットワークの通信を傍受する機能です。トラフィック監視ツールによる被害としては、パスワードや電子メールなどの盗聴です。

盗まれたパスワードによる、Webサイトやサービスの不正利用、電子メールの盗聴による機密情報の流出の危険があります。

ルートキットのツールの1つにバックドア生成があります。バックドア生成とは、Webサイトやサービス、システムに不正にアクセスする裏口（バックドア）を作る攻撃です。バックドアにより、セキュリティや認証を回避して、不正アクセスできるようになり、結果、システムの改ざん、機密情報の漏洩といった被害に遭う危険があります。

バックドア生成ツールは、ルートキットに組み込まれる割合が非常に多いのが特徴です。

ルートキットのツールの1つにログ改ざんツールがあります。主に以下の2つの理由でログを改ざんします。

ログ改ざんツールにより、各種ログを削除することで、不正行為の形跡が残りません。結果、ルートキットの検出ができなくなったり、検出が遅れたりして、被害が拡大する危険があります。

ルートキットにより感染したマルウェアを検出、および削除しても、ルートキットは自身を隠蔽する仕組みを持つため、ルートキット自体の検出は非常に困難です。よって、通常のマルウェアとは異なる方法で検出する必要があります。

上記の方法を用いても、検出できない場合もあります。ネットワークで不審な通信を監視したり、端末の挙動を監視したりして、常に注意深く監視しましょう。

ルートキットの駆除は、非常に専門的な知識とスキルが必要です。ルートキットの種類を特定したうえで、適切な駆除ツールを使う必要があります。駆除ツールが存在しないルートキットもあるため、感染が疑われる場合は、セキュリティの専門家に相談した方が良いでしょう。場合によっては駆除できずに、機器を入れ替えて再構築する場合もあります。

ルートキット自身の隠蔽や、ログの改ざんによりいつから感染しているのか分からない場合があるため、バックアップデータを復元する場合は、慎重な見極めが必要です。

ルートキットは感染すると、検出および駆除は非常に困難になります。そのため、基本的には感染しない予防対策が極めて重要です。ここでは、感染しないための対策を詳しく見ていきましょう。

対策の1つとして、信用できない怪しいアプリケーションをインストールしないことが重要です。過去の感染例では、偽の仮想環境向けセキュリティソフトや、海賊版の仮想化環境向けソフトウェアにルートキットが仕込まれたケースが確認されています。ソフトウェアは信用できるソフトウェアメーカの公式サイトよりインストールするようにしましょう。

対策の1つとして、信用できない怪しいデバイスを接続しないことが重要です。ルートキットを仕込まれたUSBやDVDから感染する事例があるため、信用できるデバイス以外は接続しないようにしましょう。

対策の1つとして、信用できない送信元からのメールに添付されているファイルや、リンクにアクセスしないことが重要です。添付ファイルやリンク先に、ルートキットを仕込まれる危険があります。また、メールの送信元を詐称する場合もあるため、メールを送信したか、送信元に確認する方法を併用すると良いでしょう。

対策の1つとして、信用あるウィルス対策ソフトの導入も有効です。ルートキットは感染すると検出は困難ですが、ルートキットに感染させるためのマルウェアを検出し、感染防止が期待できます。

対策の1つとして、念のためにバックアップを取得し、即座に復元できるようにする対策も有効です。ランサムウェアの様な危険なマルウェアによっては、バックアップを削除したり、改ざんしたりする場合もあるため、バックアップは外部媒体に取得し、隔離する必要があります。

ただし、ルートキットに感染した時期を特定できることと、定期的にバックアップを取得し、ルートキット感染以前の状態に戻せることが条件になります。

OS・セキュリティソフト・アプリケーションは常時アップデートし、最新状態を保つことが極めて有効です。脆弱性は日々発見されるため、発見後はすみやかにアップデートし、ルートキットが侵入できる脆弱性をすぐに塞ぐ対策が最も重要です。

ルートキットは、不正なアプリケーションのインストール、不正なデバイスの接続、不正な添付ファイルや、メールのURLをクリックが、主な感染の原因となります。従業員へのセキュリティ教育は極めて有効です。定期的にサイバー攻撃の仕組みや、感染事例を教育し、日ごろから注意していくことが重要です。

ルートキットは一旦感染すると、検出が非常に困難です。更に、攻撃者が容易に攻撃できるようになるため、感染しないことが最も重要です。ルートキットの予防対策を確実に行い、感染しない環境を構築しましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。