 |
 |
記事検索 |
最新ニュース |
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
ルートキットはカーネルを好む傾向、検出・削除が困難に |
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
シマンテックは19日、「ルートキット」の脅威に関する説明会を開催した。 ● ウイルスを隠すために活用されるルートキットが増える
シマンテックセキュリティレスポンス主任研究員の林薫氏は、ルートキットがウイルスと組み合わせて使われるようになってきたと指摘する。「最近では、ボットやStormワーム、オンラインバンクやオンラインゲームを標的にするトロイの木馬などを隠すために活用される。ルートキットが一般化してきたといえる」。 その証拠に、シマンテックが2007年下半期に集計した新種マルウェアのランキングでは、トップ10のうち2種がルートキットを活用。また、PC侵入後に別のウイルスをダウンロードする「ダウンローダー」のランキングでは、トップ10のうち6種がルートキットを活用していた。
● ソースコード公開でカーネルレベルのルートキットが増える
ユーザーモードは、アプリケーションレベルで実装されるため技術的なハードルが低いが、制限が多いことが特徴。これに対してカーネルモードは、OSに近い部分、つまり特権レベルで実装されるため、制限がないという。また、かつては技術的なハードルが高かったが、実装のためのソースコードがインターネット上で掲載され、技術的なハードルが下がったとしている。 ルートキットの問題点について林氏は、ウイルス対策ソフトでの検出・削除が困難なことを挙げる。特にカーネルモードのルートキットの多くは、PCをセーフモードで起動しても動作するほか、削除を困難にする技術も併用していることから、検出に成功しても削除が難しい。「検出・削除が長期化することで、データの盗難やリソースの悪用などの被害が拡大する」。
● ルートキット検出・削除が難しい理由
広瀬氏は、同社のセキュリティ対策ソフト「ノートン・インターネットセキュリティ」では2006年版製品からルートキット検出機能が搭載されており、同機能ではOSカーネルのI/Oマネージャをバイパスするため、直接ディスク上のデータ構造をチェックしてルートキットを検出・削除できるとした。 また、2006年9月に米Thompson Cyber Security Labsが実施した調査を紹介。同調査は無作為に20種のルートキットを選び、セキュリティ各社製品で検知・削除を試みたもの。最も評価が高かったのは、シマンテックの検出数20種、削除数16種で、マカフィー(検出数17種、削除数6種)など他社に大きく差を付けたという。広瀬氏は、ウイルス対策ソフトの評価基準について、「定義ファイルの更新速度だけでなく、高度な技術を用いたルートキットの対策も見極めるべき」とアピールした。
関連情報 ■URL シマンテック http://www.symantec.com/ja/jp/ ■関連記事 ・ マスターブートレコードに感染するrootkitが出回る、Symantecなどが警告(2008/01/10)
( 増田 覚 )
- ページの先頭へ-
|
