ルートキットとは

この記事は約 2 分で読めます

ルートキット (Rootkit) とは、システムの深部に潜伏し、自身の存在を OS やセキュリティソフトから隠蔽するマルウェアです。 名前は Unix/Linux の最高権限「 root 」に由来し、攻撃者がシステムへの 永続的なアクセスを維持するために使用します。検出が極めて困難なため、 感染に気づかないまま長期間にわたって情報が窃取されるケースがあります。 2024 年には UEFI ルートキットの新たな亜種が複数発見されており、 ファームウェアレベルのセキュリティ対策の重要性が高まっています。

現場での使用例

「フォレンジック調査でカーネルモードルートキットを発見しました。 通常のプロセスリストやネットワーク接続一覧には表示されず、 メモリダンプの解析で初めて検出できました。感染から発見まで約 8 か月が 経過しており、その間の情報流出量の特定が課題です。」

ルートキットの潜伏構造

ルートキットの種類

カーネルモードルートキットは OS のカーネルに組み込まれ、最も検出が困難です。 ユーザーモードルートキットはアプリケーション層で動作し、プロセスやファイルを 隠蔽します。ブートキットは OS の起動プロセスに感染し、 OS が読み込まれる前に 活動を開始します。 UEFI ルートキットはファームウェアに感染するため、 OS の再インストールでも除去できない最も厄介なタイプです。ルートキット検出の書籍 (Amazon)で技術的な詳細を学べます。

実際の被害シナリオ

ある企業では、バックドア経由で 侵入した攻撃者がカーネルモードルートキットを設置し、 6 か月間にわたって 顧客データベースへのアクセスを維持していました。ルートキットがプロセスと ネットワーク通信を隠蔽していたため、通常のセキュリティ監視では検出できず、 外部からの通報で初めて発覚しました。インシデント対応では、 ルートキットの存在を前提とした調査が求められます。

検出と除去

通常のウイルススキャンでは検出できないため、専用のルートキット検出ツールや、 OS 外部からのスキャン (ブータブルメディアからの起動) が必要です。 カーネルモードルートキットが確認された場合、 OS のクリーンインストールが 最も確実な対処法です。予防策として、 OS やソフトウェアを最新に保ち、 強力なランダムパスワードで管理者アカウントを保護し、多要素認証を 有効にすることで、初期侵入のリスクを低減できます。システムセキュリティの書籍 (Amazon)も参考になります。