rootkitからbootkitまで──極悪マルウェア対処法検出困難な隠ぺい技術からネットワークを守るには

元ブラックハットハッカーが、rootkitとbootkitの仕組みとその対処法を解説する。

2007年10月12日 04時45分 公開
[Noah Schiffman,TechTarget]

 おそらく、今日の悪質なコードの中で最も複雑で危険なタイプの1つが「rootkit」であろう。その名前が示すように、このタイプのマルウェアは、UNIXシステムの最高権限レベルである「root」アクセスを獲得し、その小さな(しばしば悪質な)実行可能パッケージの「キット」を配備することができる。これにより、このコードはシステム内への継続的かつ検出不可能なアクセスを提供できるのだ。

 今日のrootkitは、OSのカーネルへのアクセスを獲得することによって、そのパワーを引き出している。こういった「カーネルモード」のrootkitは、信頼されたすべてのシステムプロセスと同じ下位レベルで動作するため、システム制御の許可と効果的手段の提供のプロセスが隠されたままになる。

 継続的にシステムにアクセスでき、しかも検出を免れるというrootkitの能力は、セキュリティコミュニティーに難題を課している。Microsoftでは、カーネルモードのマルウェアおよびデジタル権利管理(DRM)違反を防止するために、すべてのデバイスドライバに対してデジタル署名を要求するポリシーをWindows Vistaで採用した。しかし、このセキュリティメカニズムは、サードパーティー各社がデバイスドライバを開発する妨げになるとして批判されている。Vistaが一部の周辺機器に対応しないのも、このポリシーが原因だと考えられているが、ブートセクタウイルスを連想させるようなrootkitの変種を作成しようとする試みに対してVistaのドライバ署名ポリシーが抑止力になっているのも確かだ。

「bootkit」

関連ホワイトペーパー

rootkit | マルウェア | セキュリティポリシー


Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news085.jpg

OpenAI、Google、etc. 第59回スーパーボウルで賛否が分かれた“微妙”CMたち
スーパーパーボウルLIXでは、有名人やユーモア、政治を前面に押し出した広告について、賛...

news067.jpg

「単なるスポーツ広告ではない」 Nikeの27年ぶりスーパーボウルCMは何がすごかった?
Nikeが27年ぶりにスーパーボウルCMに復帰し、注目を集めた。

news082.png

Z世代と上の世代で利用率の差が大きいSNSトップ3 1位「TikTok」、2位「Instagram」、3位は?
サイバーエージェント次世代生活研究所が実施した「2024年Z世代SNS利用率調査」の結果が...