ルートキットとは
この記事は約 2 分で読めます
ルートキット (Rootkit) とは、システムの深部に潜伏し、自身の存在を OS やセキュリティソフトから隠蔽するマルウェアです。名前は Unix/Linux の最高権限「 root 」に由来し、攻撃者がシステムへの永続的なアクセスを維持するために使用します。検出が極めて困難なため、感染に気づかないまま長期間にわたって情報が窃取されるケースがあります。 2024 年には UEFI ルートキットの新たな亜種が複数発見されており、ファームウェアレベルのセキュリティ対策の重要性が高まっています。
現場での使用例
「フォレンジック調査でカーネルモードルートキットを発見しました。通常のプロセスリストやネットワーク接続一覧には表示されず、メモリダンプの解析で初めて検出できました。感染から発見まで約 8 か月が経過しており、その間の情報流出量の特定が課題です。」
ルートキットの潜伏構造
ルートキットの種類
カーネルモードルートキットは OS のカーネルに組み込まれ、最も検出が困難です。ユーザーモードルートキットはアプリケーション層で動作し、プロセスやファイルを隠蔽します。ブートキットは OS の起動プロセスに感染し、 OS が読み込まれる前に活動を開始します。 UEFI ルートキットはファームウェアに感染するため、 OS の再インストールでも除去できない最も厄介なタイプです。ルートキット検出の書籍 (Amazon)で技術的な詳細を学べます。
実際の被害シナリオ
ある企業では、バックドア経由で侵入した攻撃者がカーネルモードルートキットを設置し、 6 か月間にわたって顧客データベースへのアクセスを維持していました。ルートキットがプロセスとネットワーク通信を隠蔽していたため、通常のセキュリティ監視では検出できず、外部からの通報で初めて発覚しました。インシデント対応では、ルートキットの存在を前提とした調査が求められます。
検出と除去
通常のウイルススキャンでは検出できないため、専用のルートキット検出ツールや、 OS 外部からのスキャン (ブータブルメディアからの起動) が必要です。カーネルモードルートキットが確認された場合、 OS のクリーンインストールが最も確実な対処法です。予防策として、 OS やソフトウェアを最新に保ち、強力なランダムパスワードで管理者アカウントを保護し、多要素認証を有効にすることで、初期侵入のリスクを低減できます。システムセキュリティの書籍 (Amazon)も参考になります。
この記事は役に立ちましたか?