Written by Aimee
目 次
ルートキットとは、攻撃者が不正にコンピューターシステムへと侵入し、そのシステムの管理者権限(root権限)を不正に取得することを目的とした一連がパッケージ化されたものを指します。
ルートキットには、システム内部へ侵入するための「バックドア」を作成するツールや、不正アクセス・情報窃取の痕跡を隠ぺいするツールなど、不正アクセスに成功した攻撃者が、長期にわたり情報を窃取し続けるためのプログラムが含まれています。
また、ルートキットとよく混同されるものとして「エクスプロイトキット」があります。
エクスプロイトキットは、システムに侵入するためのツールをパッケージ化したものですが、ルートキットは、システム侵入後に遠隔操作するためのツールをパッケージ化しているという点が異なります。
もしもルートキットを用いて攻撃された場合、ターゲットはシステムやコンピューターの管理者権限を奪われ、情報漏洩やWebサイトの改ざん・システム破壊 といった被害を受けることが予想されます。
ルートキットに有効な対策は以下の通りです。
- アンチウイルスソフトの導入
- OS・アプリケーションのアップデート
- 外部メディアの利用制限
- 不審なメールの添付ファイル、リンクを安易に開かない
- 信頼性の低いサイトの閲覧およびサイトからのソフトウェアのダウンロードを避ける
この記事ではルートキットの基本的な説明と、その対策方法、感染時の適切な対処法について詳しくご紹介します。
▼この記事を要約すると
- ルートキット(rootkit)とは、コンピューターやサーバーに不正侵入した後、攻撃者が秘密裏に遠隔操作するための一連のツールをパッケージ化したもの
- エクスプロイトキットは「システムに侵入」するためのツールをパッケージ化、ルートキットは「システム侵入後に遠隔操作」するためのツールをパッケージ化したものという違いがある
- ルートキットには「ユーザーモード」と「カーネルモード」の2種類がある
- ルートキットに感染すると「管理者権限を奪われる」「情報窃取」「Webサイトの改ざん」「踏み台に利用される」といった被害が想定される
- 対策として「アンチウイルスソフトの導入」「OS・アプリケーションのアップデート」「外部メディアの利用制限」「脆弱性診断の実施」などが有効
ルートキットとは
ルートキット(rootkit)とは、コンピューターやサーバーに不正アクセスした後、攻撃者がターゲットに気づかれることなく情報を盗み続けることを支援する、一連のツールをまとめたものを指します。
ルートキットには、以下のようなツールが含まれています。
- システム内部へ侵入するための「バックドア」を作成するツール
- キーボードの入力情報を記録して、外部に送信するツール(キーロガー)
- 不正アクセスや情報窃取の痕跡を隠ぺいするツール
ルートキット攻撃の目的は、コンピューターの「管理者権限(ルート)」を奪うことです。管理者権限を持つことで、攻撃者はターゲットのコンピューターやサーバー設定を自由に変更したり、アクセス権限を使ってデータへ自由にアクセスしたりすることが可能となります。
ルートキットに感染すると、機密情報の窃取、Webサイトやデータの改ざん、遠隔操作による不正プログラムの追加、さらに内部ネットワークへの感染拡大など、さまざまな深刻な被害が想定されます。
ルートキットとエクスプロイトキットの違い
ルートキットとしばしば比較されるツール郡に「エクスプロイトキット(Exploit Kit)」があります。
エクスプロイトとは、ソフトウェアやアプリケーション・OSなどの脆弱性を突いて不正な動作を行うプログラム(エクスプロイトコード)を指し、そのツールキットがエクスプロイトキットです。
ルートキットとエクスプロイトキットには、共に攻撃者が不正アクセスなどの犯行時に使用するツールをパッケージ化したものですが、その目的や機能に違いがあります。
▼ルートキットとエクスプロイトキットの違い
| 項目 | ルートキット | エクスプロイトキット |
|---|---|---|
| 主な目的 | システムに隠れて、不正アクセスや悪意のある活動を管理者から見えないよう隠蔽すること | 特定の脆弱性を利用して、システムに侵入するための手段やコードを提供すること |
| 使用方法 | 不正に取得した管理者権限を使ってシステムに常駐し、プロセスやファイルを隠す | 攻撃者がWebページなどに仕込み、脆弱性のあるシステムへと感染させる |
| 例 | ファイルやプロセスを隠して、マルウェアやバックドアを長期間潜ませる | ブラウザの脆弱性を利用し、ユーザーのPCにマルウェアを自動でインストールする |
ルートキットは「隠ぺい」が主な役割、エクスプロイトキットは「侵入手段」を提供する役割を持ち、エクスプロイトコードは直接的な被害をもたらすわけではなく、サイバー攻撃を仕掛けるための、足がかりとして使用されるケースが一般的です。
ルートキットの種類
ルートキットには主に、「ユーザーモード」と「カーネルモード」の2種類があります。
ユーザーモードとカーネルモードとは
カーネルモードとユーザーモードは、共にコンピューターのOSがプログラムを実行する際の実行モードです。
カーネルモードはOSの中心部分(カーネル)が動作するモードで、ハードウェアやメモリの管理など、システム全体にアクセスする権限を持っています。ユーザーモードは一般的なアプリケーションが動作するモードで、カーネルモードほどの権限は持たず、システムの特定部分にのみアクセスできるといった特性を持ちます。
ユーザーモードのルートキット
ユーザーモードのルートキットは、オペレーティングシステム(OS)内で、通常のアプリケーションと同じレベルで動作します。
感染した場合、アプリケーションのプロセスを制御されたり、メモリを上書きされたりしますが、カーネルモードのルートキットと比べると、影響範囲は限定的です。
カーネルモードのルートキット
カーネルモードのルートキットは、OSと同じレベルで動作します。カーネルモードはOSの中核部分であり、ハードウェアと直接やり取りを行うため、システム全体に深く関与しています。
カーネルモードのルートキットに感染させると、攻撃者はすべてのプロセスやシステムリソースを制御することができ、より広範な不正行為が可能になります。
またカーネルモードのルートキットは、ユーザーモードのルートキットに比べると作りが複雑で、検出・駆除が難しいという厄介な特徴があります。
ルートキットの感染経路
ルートキットの主な感染経路は以下が挙げられます。
- OS・アプリケーションの脆弱性
- 外部メディアの挿入
- メールの添付ファイル、リンク
- 不正なWebサイト
中でも最も多いのが、OS・アプリケーションの脆弱性を悪用され、感染するケースです。
脆弱性とは、「セキュリティ上の欠陥」のことで、ソフトウェア・OSの開発段階での設計ミスやプログラムコードの書き間違いなどによって発生します。
未修正の脆弱性は攻撃者にとって侵入の足がかりとなりやすく、特にシステムのカーネルや管理者権限に関連する脆弱性が残されている場合、ルートキットがインストールされ大きな被害を受ける可能性があります。
またその他の手口として、あえて人目に付く場所にルートキットが仕込まれた外部メディア(USBメモリやCD-ROMなど)を置き、拾ったユーザーがメディアをPCで利用することで、感染するといったケースもあります。
その他、メールの添付ファイルを開封して感染したり、悪意のあるWebサイトを訪問した際、システムの脆弱性が悪用され、ルートキットが自動的にインストールされたりといった感染経路も見られます。
ルートキットに感染した場合の被害
ルートキットに感染すると、以下のような被害が考えられます。
- 管理者権限を奪われる
- 情報が窃取される
- Webサイトを改ざんされる
- サイバー攻撃の踏み台に利用される
管理者権限を奪われる
ルートキット攻撃の目的は、コンピューターの「管理者権限(ルート)」を奪うことです。
攻撃者が管理者権限を取得した場合、システムの設定変更や重要なファイルへのアクセスが可能になってしまいます。
情報が窃取される
ルートキットには、キーロガーやデータ収集ツールが含まれていることがあり、ユーザーの個人情報や機密情報が盗まれる可能性があります。
Webサイトを改ざんされる
ルートキットに感染して管理者権限が奪われた場合、自社のWebサイトが改ざんされることがあります。自社のWebサイトが改ざんされた場合、サイトを訪問したユーザーが不正なサイトに誘導され、マルウェアに感染する恐れがあります。
サイバー攻撃の踏み台に利用される
ルートキットに感染したコンピューターは、他の攻撃を実行するための「踏み台」として利用されることがあります。これにより、大量のスパムメールを送信したり、DDoS攻撃に加担したりすることが想定されます。
※DDoS攻撃…複数の端末から攻撃対象のサーバーに対して、意図的に大量のパケットを送信し、相手のサーバーやネットワークをダウンさせるサイバー攻撃
ルートキットへの対策
ルートキットからコンピューターを保護するためには、以下の対策が効果的です。
- 強力なアンチウイルスソフトやEDRを導入する
- OS・アプリケーションは常に最新の状態を保つ
- 外部メディアの利用を制限する
- 不審なメールの添付ファイル、リンクを安易に開かない
- 信頼性の低いサイトの閲覧およびサイトからのソフトウェアのダウンロードを避ける
強力なアンチウイルスソフトやEDRを導入する
基本的な対策として「アンチウイルスの導入」があります。高精度なアンチウイルスにより、ルートキットの感染を未然に防ぐことを目指します。
また、侵入後のルートキットの潜伏を防ぐためのツールとして「EDRの導入」も効果的です。EDRは、システムの挙動やプロセスの異常な活動をリアルタイムで監視し、ルートキットの兆候など、異常な動きが発生した際に迅速に検知・対応できる点が強みです。
アンチウイルスとEDRの併用により、既知・未知の脅威双方に対して多層的な保護が期待できます。また、高度な隠蔽技術を用いたルートキットを完全に防ぐためには、以下で紹介するセキュリティ対策も並行して検討すると良いでしょう。
OS・アプリケーションは常に最新の状態を保つ
ルートキットではシステムやOSの脆弱性を狙った犯行が多いため、OS・アプリケーションの迅速なアップデートが重要な対策となります。
定期的に提供されるセキュリティパッチや更新プログラムを適用することで、既知の脆弱性を修正し、ルートキットが侵入するリスクを減らすことが可能です。
更新漏れを防ぐため「自動更新機能を有効」にすることも、おすすめの対策です。
外部メディアの利用を制限する
持ち主がわからないようなUSBメモリやCD-ROMを安易に使用すると、ルートキットに感染する恐れがあります。外部メディアを使用する際には、信頼できるものであるか確認し、事前にウイルススキャンを実施することが推奨されます。
また業務においては、外部メディアの利用をあらかじめ制限しておくことで、感染のリスクを低減できます。
不審なメールの添付ファイル、リンクを安易に開かない
メールの添付ファイルやリンクには、ルートキットが仕込まれていることがあります。
不審なメールや送信者が不明な場合は、添付ファイルやリンクを開かずに削除するようにしましょう。
脆弱性診断を実施する
企業や組織のルートキット対策として、定期的な脆弱性診断の実施もおすすめです。
脆弱性診断を行うことで、攻撃者がルートキットを仕込むために悪用するシステムやソフトウェアの脆弱性を特定し、効率的に改善が行えます。診断によって発見された脆弱性を修正することで、不正な侵入経路を防ぎ、ルートキットがシステムに潜り込むリスクを大幅に減らすことが可能です。
特に、管理者権限やカーネルレベルの脆弱性が放置されるとルートキットが設置されやすくなるため、定期的な脆弱性診断はおすすめです。
ルートキット対策ならLANSCOPE サイバープロテクションにお任せ
ルートキットへの感染を防ぐためには、根本的な対策としてアンチウイルスやEDRといったエンドポイントセキュリティの導入が挙げられます。ただし、通常のマルウェアに比べ検知の難しいルートキットは、従来型のパターンマッチング式のアンチウイルスでは検知できず、脅威の侵入を防ぎきれない可能性があります。
「LANSCOPE サイバープロテクション」では、検出の難しい未知のマルウェアであっても迅速な検知・ブロックを可能とする、2種類のAIアンチウイルスを提供します。
▼2種類のアンチウイルスソリューション
- アンチウイルス✕EDR✕監視サービスをセットで利用できる「Aurora Managed Endpoint Defense」
- 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービスをセットで利用可能な「Aurora Managed Endpoint Defense」
「LANSCOPE サイバープロテクション」では、EDRのマネージドサービス「Aurora Managed Endpoint Defense」を提供しています。
「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。
「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。
- 脅威の侵入をブロックするAIアンチウイルス「Aurora Protect」
- 侵入後の脅威を検知し対処するEDR「Aurora Focus」
セキュリティのスペシャリストが徹底したアラート管理をおこなうため、お客様にとって本当に必要なアラートのみを厳選して通知することが可能になり、不要なアラートに対応する必要がなくなります。
また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。
2. 各種ファイル・端末に対策できるNGAV「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。
「Deep Instinct」は、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
※Unit221B社調べ
万が一、マルウェアに感染した場合は? インシデント対応パッケージにお任せください
「マルウェアに感染したかもしれない」
「サイトに不正ログインされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査の専門家が、お客様の環境を調査し、感染状況や影響範囲を特定。マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまで提供します。
「自社で復旧作業が難しい」「攻撃の経路や影響範囲の特定を専門家に任せたい」という方は、ぜひご検討ください。
まとめ
本記事では「ルートキット」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- ルートキット(rootkit)とは、コンピュータやサーバーに不正侵入した後、攻撃者が秘密裏に遠隔操作するための一連のツールをパッケージ化したもの
- エクスプロイトキットは「システムに侵入」するためのツールをパッケージ化、ルートキットは「システム侵入後に遠隔操作」するためのツールをパッケージ化したものという違いがある
- ルートキットには「ユーザーモード」と「カーネルモード」の2種類がある
- ルートキットに感染すると「管理者権限を奪われる」「情報窃取」「Webサイトの改ざん」「踏み台に利用される」といった被害が想定される
- 対策として「アンチウイルスソフトの導入」「OS・アプリケーションのアップデート」「外部メディアの利用制限」「脆弱性診断の実施」などが有効
ルートキットに感染すると、管理者権限を奪われ、情報の窃取やWebサイトの改ざんといった甚大な被害を受ける恐れがあります。
また、一度感染すると完全な駆除が難しいため、アンチウイルスソフトの導入やOS・アプリケーションのアップデートなど、基本的な対策を徹底し、感染を未然に防ぐことが非常に重要です。
おすすめ記事
