Internet Watch logo
記事検索
最新ニュース

マスターブートレコードに感染するrootkitが出回る、Symantecなどが警告


 PCの起動時に読み込まれるマスターブートレコード(MBR)に感染するrootkitが出回っているとして、セキュリティベンダーなどが警告している。

 MBRは、PCの起動時に最初に読み込まれるハードディスクの領域で、OSの起動プログラムやパーティション情報などが記録されている。今回発見されたrootkitはこのMBRの領域に侵入し、PCを支配下に置こうとする。

 MBRに感染する手法としては、MS-DOSの時代に流行したウイルス「ミケランジェロ」などが流行したが、その後は主流の手口ではなくなっていた。近年になって、自らの存在を隠すrootkitの手法としてMBRが再び注目され、2005年には米eEye Digital SecurityがMBRを攻撃対象としたrootkitのコンセプトコードを公開していた。

 米Symantecによれば、今回発見されたrootkitはeEyeのコンセプトコードをベースとしており、Webブラウザなどの脆弱性を悪用することにより起動してMBRを上書きし、PCにバックドアとなるトロイの木馬を仕掛ける。Symantecではこのrootkitを「Trojan.Mebroot」と命名している。

 Symantecでは、Windowsのいくつかのバージョンでは、プログラムが制限なしに直接MBRを上書きできる点が大きな問題だと説明。BIOSにMBRの保護機能がある場合には、それを有効にすることを推奨している。この問題は、Windows XP/2000に影響があり、Windows Vistaについては2006年にRC版に対する攻撃のデモが行なわれたことを受けて、部分的に安全になったという。

 米SANS Instituteによれば、2007年12月12日にこのrootkitの最初の攻撃が確認され、4日間で1,800人が感染。12月19日には第2弾の攻撃が行なわれ、4日間で3,000人が感染したという。また、このrootkitは、JVMの脆弱性(MS03-011)、MDACの脆弱性(MS06-014)、VMLの脆弱性(MS06-055)、XMLコアサービスの脆弱性(MS06-071)といった、既に修正パッチが提供されている過去の脆弱性を悪用して侵入するとしている。


関連情報

URL
  Symantec Security Response公式ブログの該当記事(英文)
  http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html
  SANS Instituteの該当記事(英文)
  http://isc.sans.org/diary.html?storyid=3820
  Trojan.Mebrootに関する情報
  http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2008-010718-3448-99


( 三柳英樹 )
2008/01/10 15:08

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.