6種類のルートキット：検知と予防のヒント"

ルートキットは、サイバー攻撃者がシステムへの不正アクセスを得るために使用する悪意のあるツールです。これらの持続的でステルス性の高いマルウェアプログラムは、オペレーティングシステムの深部に潜伏し、アプリケーション、ファイル、データへの長期的なアクセスを維持し、検出を回避します。

ルートキットはシステム操作を操作し、攻撃者に特権アクセスを付与し、データを盗み、侵害されたシステム内に悪意のあるコードを隠して制御権を回復させる可能性があるため危険です。これらは業務を妨害し、機密データを暴露し、ブランド評判を損ない、コンプライアンス違反のリスクや罰則を引き起こします。

本記事では、ルートキットの定義、種類、および防止策について解説します。

ルートキットとは？

ルートキット定義によれば、これはサイバー攻撃者に通常はアクセスが許可されていないコンピュータ、デバイス、ソフトウェアへのルートレベルのリモートアクセスを提供する悪意のあるプログラムまたはマルウェア（悪意のあるソフトウェア）の集合体です。

通常複数のマルウェアツールで構成されるルートキットは、システムに潜入し、サイバー犯罪者にルートアクセスまたは特権アクセスを許可するように設計されています。デバイスへの不正アクセスを獲得した後、ルートキットは検出されずに組織のデバイスやオペレーティングシステムなどを制御できるよう、悪意のあるコードを隠蔽します。ルートキットは長期間隠蔽状態を維持できるため、発見・除去が最も困難なマルウェアの一つである。エンドユーザーの承諾を得た上でエンドユーザーサポートを提供するなど、正当な目的でルートキットを利用する組織すら存在する。

大半のルートキットは、ランサムウェアやウイルスなどの悪意あるソフトウェアが組織のシステムやネットワークに侵入し、さらなる攻撃を行うためのバックドア経路を構築します。これにはボットを含む複数の悪意あるツールが含まれており、キーストロークロガーやDDoS攻撃（分散型サービス拒否）攻撃を実行するボットなど、複数の悪意のあるツールを含んでいます。その結果、セキュリティシステムを無効化したり、クレジットカード情報、パスワード、その他の個人情報を盗み出したりすることが可能です。

「ルートキット」という言葉は、「Root（ルート）」と「Kit（キット）」という2つの単語を組み合わせたものです。「Root」はUnix系システムにおける管理者/特権アカウントを指し、「Kit」はツールを実行するソフトウェアコンポーネントを意味します。インストールされると、ファイルの実行、システム設定の変更など、検出されずに様々な操作を実行する能力を獲得します。

ルートキットが脅威となる理由

悪意のある目的で使用されるルートキットは、攻撃者に不正アクセスを許可しながらも偽装を保つサイバーセキュリティ脅威です。これにより、システム、ネットワーク、運用、機密データにアクセスし、データ窃取や身代金要求などの悪意のある活動を実行します。ルートキットの影響を理解しましょう：

• マルウェアの展開： ルートキットはスパイウェアやランサムウェアなどのマルウェアをシステムに展開します。これらは攻撃者が初期侵入を解決した後でもシステムに再侵入するための検知不能なバックドアを作成します。高度なマルウェアは従来のセキュリティツールを無効化し、攻撃者がシステムのパフォーマンスを低下させることを可能にします。
• 検知と除去の困難さ: ルートキットは、ファームウェアやカーネルなどの低レベルで動作するため、システムからの検出や除去が困難です。従来のルートキット検出ツールは、システムにルートキットが存在する場合でもそれを検出できないことが多く、攻撃者がシステムやデータを悪用することを容易にしてしまいます。
• ステルス性と永続性： ハッカーは、アプリケーション、ファームウェア、カーネルレベルなど、システムの深部にルートキットを配置します。これらはファイアウォールや従来のアンチウイルスソフトなどのセキュリティツールを容易に回避します。再起動やソフトウェア更新後も永続的に存在し、システムへのステルスアクセスを可能にします。
• 財務的・評判的損害: ルートキット攻撃者は、機密性の高いビジネスデータや顧客データを盗み出したり暴露したりします。データセキュリティやプライバシーに関するガイドラインを満たせない場合、規制当局による厳しい監視、重い罰則、罰金が科せられます。これにより財務状況や業界での評判が損なわれ、顧客、パートナー、投資家を失うリスクが生じます。
• 業務の混乱： 組織は、優れた顧客サービスを提供し信頼を維持するため、業務の継続性を保ちたいと考えています。ルートキットはファイルやデータを操作・改ざんし、システムクラッシュやダウンタイムを引き起こします。これにより攻撃者は、財務システムやサプライチェーンなどの重要インフラにアクセスし、業務を混乱させ遅延させることが可能になります。

サイバーセキュリティにおける6種類のルートキット

ルートキットはシステムに侵入し、ルートキット検出ツールから隠れたまま、攻撃者にすべてのファイルとデータへのアクセスを許可します。これらは異なるレベルで動作し、標的とする層と機能に基づいて分類されます。

サイバーセキュリティにおけるルートキットの種類は以下の通りです：

1.カーネルレベルルートキット

カーネルレベルルートキットは、オペレーティングシステムの核心であるカーネルで動作する悪意のあるソフトウェアです。これらのルートキットは、自身の存在を隠蔽しながら有害な活動を実行するためにオペレーティングシステムカーネルを改変します。活動内容にはネットワーク通信の傍受、プロセスの隠蔽などが含まれます。カーネルレベルの特権にアクセスできるため、これらのルートキットは検出が最も困難なマルウェアの一つです。

カーネルレベルルートキットは「カーネルモード」で動作します。これは、システムリソースへの最上位アクセス権を持ち、サイバー犯罪者がシステム機能を容易に操作できることを意味します。標準的なセキュリティツールから悪意のある動作を隠すため、カーネルコードを改変します。検出を回避するため、オペレーティングシステムと同等のセキュリティレベルで動作します。

カーネルレベルルートキットの検出と除去方法

組織システム内の異常を検出するには、既知・未知のルートキットに対応するRKhunterや既知ルートキット用のChkrootkitといったカーネル整合性ツールを活用できます。また、パフォーマンスの急激な低下や予期せぬクラッシュなど、不審な動作や異常な挙動をシステム監視で検知する方法もあります。別の方法として、改変されていない既知のベースラインとカーネルファイル・メモリシステム構造を比較し、マルウェアを検出することも可能です。

信頼できるソースからオペレーティングシステムを再インストールし、悪意のある変更やカーネルレベルルートキットを完全に除去してください。ルートキット除去機能を備えた高度なセキュリティソリューションなどの専用ツールも利用できます。

カーネルレベルルートキットの例:ランサムウェアの拡散で知られるカーネルモードルートキットには、Necurs、Demodex、Knark、Diamorphine、Glupteba、Reptile、FudModule、Zero Access、Adoreなどがあります。

2.ユーザーモードルートキット

ユーザーモードルートキットは、サイバー犯罪者がコンピュータネットワークのアプリケーション層で動作させるために設計した悪意のあるソフトウェアです。このため、アプリケーションルートキットとも呼ばれます。システムライブラリや実行ファイルを置き換え、APIの動作を変更することで、ユーザーレベルアプリケーションやプロセスの境界内で動作します。

ユーザーモードルートキットは、サイバー攻撃者が侵害されたシステムを検知されずに制御し続けられるようにすることです。カーネルレベルルートキットほど侵襲的ではありませんが、アプリケーションの動作を操作できるため脅威となります。まずシステムに侵入し、標準システムファイルを置き換えて悪意のあるファイルを隠蔽します。主な目的はAPI呼び出しを傍受し、アプリケーションの動作を操作することです。

検出と除去の方法？

ユーザーモードルートキットをシステムから検出・除去するには、様々な手法やツールを活用できます。

• システム動作を定期的に監視し、未知のエンティティによるメモリ使用量や高CPU使用率、不審なネットワーク接続、ファイル消失などの異常活動を検知します。
• システムファイルを元のバージョンと比較し、システム内の悪意ある変更を検出します。
• API監視、ルートキットスキャナー、メモリ分析などの手法を活用し、ユーザーモードルートキットを容易に検出してください。

ルートキットを検出したら、除去プロセスはそれほど難しくありません。エンドポイント検知・対応（EDR）ツールやタスクマネージャーなどの専用ツールで、コンピュータ上で実行中の不審なプロセスを終了させます。変更されたファイルはバックアップから復元し、システムを正常に動作させましょう。高度なアンチウイルスやサイバーセキュリティソフトウェアを使用して、システム内のルートキットをスキャンしてください。

ユーザーモードルートキットの例: 代表的なユーザーモードルートキットには、Hacker Defender、Vanquish、Adore-ng、Aphexなどがあります。

3.ブートキット

ブートキットは、システムがロードされる前にボリュームブートレコード、Unified Extensible Firmware Interface（UEFI）、マスターブートレコード、ブートセクションを攻撃するカーネルレベルのルートキットです。これらは、ブートシーケンスの早い段階でシステムを制御下に置くことで、コンピューターのブートプロセスを標的とします。通常、USBドライブ、外付けハードドライブ、またはディスクを介して侵入します。これらのプロセスは、攻撃者にブートローダープログラムの場所を教えるからです。

サイバー犯罪者がブートローダープログラムを発見すると、正規のブートローダーをマルウェアブートローダーに置き換えます。ブートローダーを改変し、攻撃者がシステムを制御できるように悪意のあるコードを注入します。ブートキットは検出が困難で、システムに深刻な損害を与える可能性があります。

ブートキットの検出と除去方法

ブートキットの検出と除去は、オペレーティングシステムが読み込まれる前の低レベルで動作するため困難です。しかし、高度なツールと技術を用いれば、システム内のブートキットを容易に特定・排除できます。システムの動作が遅くなったり異常な挙動を示したりしていないか、継続的に監視してください。エンドポイント検知ツールを使用して脅威を特定しましょう。

ブートキットの除去プロセスはシステムに損傷を与える可能性があります。そのため、重要なファイルを外部ドライブやクラウドストレージにバックアップし、マルウェアスキャンを実施してください。ブートローダーからブートキットを除去するには、高性能なサイバーセキュリティツールを活用しましょう。コマンドプロンプトを使用してブートローダーを修復したり、ファームウェアを更新して悪意のあるコードを上書きすることも可能です。

ブートキットの例: 代表的なブートキットには、Stoned Bootkit、Rovnix、Olmasco、TDL4、Mebroot、MoonBounce、GrayFish、FinFisher、Petyaなどがあります。

4. メモリベースのルートキット

メモリベースのルートキットはシステムのRAMを占有し、揮発性でステルス動作するよう設計されています。従来の脅威検知ツールでは検出を回避することさえ可能です。メモリベースのルートキットの問題点は、調査可能な痕跡をファイルシステムに残さないため、検出と修復が困難な場合が多いことです。コンピュータを再起動すると消えることもありますが、活動中はシステムに多大な損害を与えます。

メモリベースのルートキットは、悪意のあるプログラムを通じて大量のRAMリソースを消費し、パフォーマンスを低下させて生産性を低下させます。メモリ内でシステム機能、カーネル構造、APIを改変し、自身の存在を隠蔽します。プロセスホローイング、コードインジェクション、DLLインジェクション手法を用いてシステムメモリに侵入し、実行中のプロセスを侵害します。

メモリベースのルートキットを検出・除去する方法とは？

メモリベースのルートキットを検出するには、異常なシステム遅延、ネットワークトラフィックの異常、予期せぬメモリ使用量の急増に注意してください。カーネルデバッガーなどの高度なサイバーセキュリティツールを使用して、カーネル構造への不正な変更を監視・特定します。

メモリベースのルートキットは揮発性であるため、システムを再起動することで除去できます。ただし、安全な再起動後にすべての情報をバックアップするため、攻撃の根本原因を調査するとともに、すべてのファイルとデータを保護する必要があります。存在を検知した場合は、マルウェアの拡散を防ぐため、直ちにシステムをネットワークから切断してください。システムの修復と業務の継続には、常に安全な環境を使用してください。

メモリベースのルートキットの例: DarkComet RAT、Duqu、Stuxnet、Fanny Worm、Code Redなどは、組織のシステムを悪用するメモリベースのルートキットです。

5. ファームウェアルートキット

ファームウェアルートキットは、ネットワークカード、ハードドライブ、BIOSなどのデバイスのネットワークカード、ハードドライブ、BIOSなどのデバイスを標的とします。これらは永続的なマルウェアであり、オペレーティングシステムの再起動や再インストール後も容易に存続します。プラットフォームやデバイスを利用して、ネットワークカード、BIOS、ハードドライブ、ルーターに永続的なマルウェアイメージを挿入し、長期間隠蔽された状態を維持します。

ファームウェアとは、システム機能を管理し、上位ソフトウェアとハードウェア間のインターフェースを提供する低レベルソフトウェアです。ファームウェアルートキットは同じレベルで動作し、同じインターフェースを介して重要な情報を窃取します。このルートキットには正当な用途もあり、例えばサードパーティベンダーがBIOSイメージにプリインストールする盗難防止技術などがあります。しかし、サイバー犯罪者はこのプロセスを悪用してシステムデータを搾取します。

ファームウェアルートキットの検出と除去方法とは？

ファームウェアルートキットは永続的でステルス性が高く、デバイスファームウェア内に潜伏して低レベルで動作します。システム監視により、予期せぬ再起動、ファームウェアの再フラッシュ不能、起動プロセス中の異常、システム再インストール後の再感染を確認できます。また、ファームウェアレベルコンポーネントからの異常なネットワークトラフィックやパフォーマンス問題なども、ファームウェアルートキット検出の手がかりとなります。

フラッシュ後もルートキットが持続する場合は、ハードウェアメーカー提供の信頼できるクリーンなバージョンでファームウェアを再フラッシュし、侵害されたハードウェアを交換してください。高度なセキュリティツールを使用すれば、システムのパフォーマンスに影響を与えたりデータを危険にさらしたりすることなく、ファームウェアルートキットを検出・除去できます。

ファームウェアルートキットの例: 代表的なファームウェアルートキットには、LoJax、MoonBounce、Shamoon、VGA、Cloaker、Thunderstrike、およびハッキングチームによるUEFIルートキットがあります。

6. ハイパーバイザー（仮想化）ルートキット

ハイパーバイザー ルートキットは、サイバー犯罪者がシステムの仮想化技術を攻撃し制御を奪うために使用する高度なマルウェアです。仮想マシン（VM）を悪用するためにソフトウェア層を標的とする仮想化ツールキットとしても知られています。これらはオペレーティングシステム内にゲストとして悪意のある仮想マシンを作成し、検出されずにシステム操作と相互作用し操作します。

ハイパーバイザールートキットは、システムのパフォーマンスを低下させるためにオペレーティングシステムのカーネルを変更する必要はありません。代わりに、悪意のあるVMとして自身をインストールするか、既存のVMを改変してOSとハードウェアの間に位置します。また、オペレーティングシステムを制御下に置き、システム動作を改変して機密情報を窃取します。

ハイパーバイザールートキットの検出と除去方法

低レベルでの動作特性のため、従来のセキュリティツールや手法ではハイパーバイザールートキットの検出・除去は困難です。データやシステム性能を損なうことなくルートキットを特定・排除するには、高度なサイバーセキュリティソリューションの導入が必要です。また、外部・内部監視を実施することで、性能低下の問題、異常なリソース使用状況、ハイパーバイザー層の問題を発見できます。

信頼できるベンダーから公式のハイパーバイザーインストールパッケージを入手し、再インストールすることで、すべての安全な設定を回復できます。最新の更新プログラムを適用して脆弱性を簡単に修正し、ハイパーバイザーとファームウェアソフトウェアを更新できます。ステルス型ルートキットを除去する最善策は、全データをバックアップし、ファームウェアやストレージドライバを含むシステム全体を消去した後、ハイパーバイザーとOSを再インストールして仮想化ルートキットを排除することです。

ハイパーバイザールートキットの例: Blue Pill、SubVirt、Vitriolなどのハイパーバイザールートキットや仮想化ルートキットは、ハイパーバイザーレベル攻撃の可能性を示すために使用されます。

ルートキット対策：ベストプラクティス

ルートキットは、攻撃者がシステムへの不正アクセスを可能にしながら自身の存在を隠蔽できる、最もステルス性と持続性を持つマルウェアです。業務継続性と企業評判を維持するため、以下のベストプラクティスを実施し、システムアプリケーション層・カーネル層・ファームウェア層へのルートキット侵入を防止してください。

• システムの更新を継続する: サイバー攻撃者は、悪用しやすい脆弱性を含む古いファームウェアやソフトウェアを標的にします。既知および未知の脆弱性を修正するため、オペレーティングシステム、ファームウェア、アプリケーションを定期的に更新する必要があります。遅延を減らし、アプリケーションとファームウェア層を保護するために自動化を導入する。

• 認証メカニズムの改善： 侵害された弱い認証情報は、攻撃者が遠隔でルートキットをインストールすることを可能にします。そのため、全員に多要素認証を導入し、強力なパスワードポリシーを実行し、不審なログイン試行を監視することで、認証メカニズムを強化する必要があります。

• 最小権限アクセスを実装する: 過剰なアクセス権限は攻撃対象領域を拡大し、ルートキットがシステムに侵入する道を開きます。ユーザー権限を制限することで、管理者権限を取得される可能性を減らし、攻撃対象領域を最小化できます。ユーザーには職務に必要な権限のみを割り当て、管理者権限を制限してください。常に不正アクセスに警戒し、インシデントを調査し、ルートキットの侵入を防止してください。
• 高度な脅威検知ソリューションの使用： ルートキットは従来のセキュリティツールやアンチウイルスソフトを回避するよう設計されています。高度なサイバーセキュリティソリューションを活用し、ルートキットを検知・排除してください。これにより、24時間365日のルートキット活動分析が可能になります。
• ブートプロセスの保護：ルートキットはシステム起動時にブートローダーを標的とし、システム起動プログラムへのアクセスを試みます。BIOSの代わりにUEFI（Unified Extensible Firmware Interface）を使用することでブートセキュリティを強化できます。信頼できるソースからのみ起動するようシステムを設定し、サイバー攻撃を軽減しましょう。
• 定期的なバックアップ: システムからルートキットを除去しようとすると、重要な情報の削除など、システムファイルやデータに影響を与える可能性があります。そのため、機密データは常にバックアップし、ルートキットの修復後に復元できるようにしてください。サイバー脅威からの安全性を高めるため、データをオフラインでバックアップすることも検討してください。

結論

ルートキットはステルス性と深いシステム統合を利用して、システムの動作やセキュリティを損ない、検出を回避します。カーネル空間、ユーザー空間、ファームウェア、ブートローダー、仮想マシンなど様々なレベルで動作し、長期的な制御を維持し、悪意のあるコードを隠蔽します。

ルートキットの種類とその動作を理解することは、それらに対する堅牢な防御戦略を構築する上で重要です。ルートキットを検出するには、高度なサイバーセキュリティツール、継続的な監視、最小権限アクセス原則の組み合わせが必要です。さらに、システムの安全性を維持するためには、システム整合性チェック、従業員の意識向上、定期的な更新といったセキュリティベストプラクティスの優先的な実施が不可欠です。

"