rootkitとは、コンピュータあるいはコンピュータネットワークに管理者権限でのアクセスを可能にするツール(プログラム)群である。クラッカー(悪意を持ったハッカー)は通常、既知の脆弱性を利用したりパスワードを入手したりすることによって、最初にユーザー権限でアクセスを取得した後で、rootkitをコンピュータにインストールする。rootkitがインストールされると、攻撃者は侵入の痕跡を隠し、コンピュータ(そして場合によってはネットワーク上のほかのマシン)へのroot(特権)レベルでのアクセスを獲得できる。
rootkitにはスパイウェアなどのプログラムが含まれていることがある。これらのプログラムは、トラフィックやキーストロークを監視する、ハッカーが利用するための「バックドア」をシステムに仕掛ける、ログファイルを改ざんする、ネットワーク上のほかのマシンを攻撃する、検出を免れるために既存のシステムツールを改変するといった悪事を働く。
ネットワーク上でのrootkitの存在が初めて報告されたのは、1990年代初頭のことである。当時は、SunのOSとLinuxが、rootkitのインストールを狙うハッカーの主要なターゲットだった。今日では、Windowsを含むさまざまなOS用のrootkitが出回っており、ネットワーク上で検出するのがいっそう困難になっている。
rootkitはますます一般化し、そのソースも驚くほど多様化した。2005年10月末、Sysinternalsのセキュリティ研究者、マーク・ルシノビッチ氏は、ソニーのオーディオCDのデジタル著作権管理(DRM)用コンポーネントの一部として、自分のコンピュータにrootkitがインストールされたことを発見した。一般の人々が思っているよりも広範にこういった手法が広がっており、攻撃者が既存のrootkitを悪用する恐れがある、と専門家は指摘する。フィンランドに本社を置くF-Secureでウイルス対策研究を担当するディレクター、ミッコ・ヒッポネン氏は、「これはウイルス作成者に攻撃のチャンスを与えるものだ。これらのrootkitは、各種のマルウェアが利用することができる。その場合、われわれのような企業が悪質なrootkitと正規のものを区別するのは難しい」と話す。
Microsoft、F-Secure、Sysinternalsなどのベンダーは、rootkitの存在を検出できるアプリケーションを提供している。しかしrootkitが検出されたとしても、それを除去するにはコンピュータのハードディスクの内容を完全に消去し、OSを再インストールするしかない。
Copyright © ITmedia, Inc. All Rights Reserved.