セキュリティ研究レポート No.001では、悪意を持った攻撃者らの目的が「利益獲得」のための攻撃に変化したことで、セキュリティの脅威の活動や被害が目立たなくなっている現状を報告しました。キーワードは“ステルス化”です。

　今日の脅威は、ひそかに、そして確実に対象のネットワークに侵入しようと試みます。侵入に成功した攻撃ツールは、ユーザーに見つからないように自身の活動を隠し、ある時は異なるほかのツールを呼び込みながら、内部の情報を盗み出すなどの不正な活動を継続的に行います。

　だからこそ、セキュリティ管理者は「セキュリティ対策製品からアラートが上がらなければ問題なし」という考えを捨てなければなりません。そして、攻撃者の用いる手法を知っておくべきです。

■有用なツールが悪用されると厄介な存在に―「rootkit」とは何か

　今回は、システム上のあらゆる操作の実行を可能にし、また、それらの操作を隠すことにも悪用できる「rootkit（ルートキット）」のテクニックについてレポートします。

　root（ルート）とは、UNIX系システムの管理者アカウントを指します。Windows OSでいうところのAdministratorです。本来、rootkitは管理者がシステムの運用の現場で正当な目的のためにプロセスやアプリケーションの実行を隠すためのツールの名称でした。ところが、攻撃者らはrootkitが持つ強力な権限―システム上のあらゆる操作を自由に行なえる―に目を付けたのです。

　離れた場所にあるコンピュータに侵入して不正行為を働く際に、それを容易に行なえるようにするツールをまとめたもの―現在では、それをrootkitとして呼ぶことが多くなっています（本研究所では、そのようなツールもrootkitと呼ぶことにします）。

　rootkitを利用すれば、攻撃者はさまざまな不正な操作を行えます。ログを改ざんして不正な侵入を隠ぺいするだけではなく、バックドアの配置、不正に改ざんしたシステムコマンドのインストール、ほかの攻撃ツールのダウンロードなど、攻撃者は思うがままにさまざまな操作を行えます。

　シマンテックのセキュリティレスポンスウェブログでは、正規ソフトウェアの偽インストーラでrootkit のテクニックが悪用されている例が取り上げられています（2007年2月26日付）。

　この偽インストーラを実行すると、正規のソフトと同時にバックドアとキーロガーがインストールされます。この時、さらにそれらの存在を隠ぺいするrootkitもインストールされるのです。

　通常であれば、セキュリティソフトで検出できるかもしれないバックドアやキーロガーも、このような場合には検出できなくなってしまう可能性があります。

■「存在や活動を隠ぺいする」とはどういうことなのか

　rootkitは作成することが難しいツールの1つです。しかし、実際には、rootkitのテクニックはマルウェアの作成に頻繁に利用されています。何故ならば、ネット上でオープンソースのrootkitを容易に入手できるからです。攻撃者は、rootkitのつくりの詳細を知らなくても、利用することができます。残念なことですが、rootkitが悪用される機会は増加するでしょう。

　ところで、「存在や活動を隠ぺいする」とは、一体どういうことなのか、なぜそのようなことが可能なのかを考えてみましょう。

　存在を隠ぺいするとは、自身のファイルや収納ディレクトリ、レジストリキーを隠ぺいすることを意味します。こうなると、Windowsではエクスプローラからファイルやフォルダが見えない状態になります。同様に、活動を隠ぺいするとは、タスクマネージャのプロセス一覧に表示されない状態になるということです。

　もう少し専門的に解説しますと、このような隠ぺいは、正規のプロセスのためのメモリ領域に悪意のあるコードを挿入し、OSが用意しているさまざまなAPIをフックすることなどによって行なわれます。また、システムの深いレベルで動作するものはカーネルモードのドライバを使用します。

　つまり、rootkitはシステムがどのように動作しているのかを理解し、システムの正規の動作の中に自身の活動を隠しているともいえます。

■増え続けるrootkitの悪用、複雑になるステルス攻撃

　では、実際にrootkitのテクニックを取り入れたトロイの木馬「Trojan.Peacomm^*1」を題材にして、ステルス化していく過程を追ってみましょう。Peacommは、2006年末から2007年初めにかけて、最も大量のスパムメールをインターネット上に送信し、「Storm Worm」という別名が与えられました。

　Peacommは、オープンソースのメールワーム、ファイル感染型ウイルス、ポリモーフィックパッカー【注】、スパムリレー、rootkit、PtoP型のネットワーク上で動作するボットネットなど、多数の特徴を併せ持っています。なかでもrootkit機能は改良が続けられていることから、Peacommの作者がステルス化を重要視している姿勢がうかがい知れます。

　初期のPeacommは、自身の存在やレジストリキーを完全に隠ぺいできませんでした^*2。しかし、数日間のうちにファイルとレジストリ、指令待ちをしているポートを隠ぺいできるような改良が加えられたことを、シマンテックのセキュリティレスポンスウェブログは報じています。

　とはいえ、このPeacommもシステムコマンドの実行やパーソナルファイアウォールによって検知されるうえ、簡単なコマンドでrootkitサービスが停止できるものでした^*3。その後も改良が続けられたPeacommは、新しいrootkitドライバを搭載し、「Trojan.Peacomm.B^*4」になったのです。

　このように、マルウェアの作者は、ステルス化のための改良を日々行なっています。保護する側は、脅威の進化に対処し続けていく必要があるのです。

■rootkitテクニックの悪用に対処できるセキュリティ対策製品が求められる

　今回は、攻撃者の不正行為をステルス化してしまうrootkitを取り上げました。このような攻撃に対抗するためには、システムの深部をしっかりと監視し、わずかな兆候からでもマルウェアの存在を高い精度で検出できるセキュリティ対策製品が求められます。

　しかし、rootkit的なテクニックは、正当なシステム運用においても利用されています。正当な目的で使用されているrootkitの誤った検出は避けねばなりません。また、攻撃者によってシステムに仕込まれたrootkitを安全かつ完全に削除する機能も備えていなければなりません。システムの深部に組み込まれたrootkitを適切に削除できなければ、システムの動作が不安定になってしまうからです。

　何よりも、セキュリティ管理者がrootkitに対する正しい知識を持つことが重要です。その結果、セキュリティ対策製品が提供する検出情報を活用して、正しい対応を取ることができるようになるのです。

【習得！ セキュリティ研究所 トップページへ戻る】