「Rootkit」が「Rootkit」でなくなる日は来るか――業界団体が定義の作成へ（1/3 ページ）

ニュース解説：「rootkit」の決定的な定義を模索するための業界団体が設立されようとしているが、専門家らは、厳密な定義はrootkit技術の危険な要素を合法的に利用できる事態を招くのではないかと懸念している。

[Ryan Naraine，eWEEK]

　ウイルス対策企業Symantecの支援を受けて、rootkitを明確に定義するベンダー中立的な取り組みが進行中だ。だがセキュリティ専門家は、こうした取り組みは、rootkit技術から危険な部分を抽出して利用するのを合法化してしまう恐れがあるとして、憂慮している。

　Symantecが「Norton SystemWorks」にrootkitタイプの機能を搭載し、ユーザーが誤ってファイルを消去してしまうのを防いでいると認めたことをきっかけに、この問題に注目が集まるようになった。Symantecは、同機能が悪質なハッカーの隠れみのになる可能性を認識し、リスクを排除するパッチの提供を行ったが、rootkitという言葉は有益と思われる機能を指すために用いたのであり、同社に対する批判は不当かつ不適切だと述べている。

　Symantec Security Responseのシニアディレクターであるビンセント・ウィーバー氏は、Sony BMGがデジタル権利管理（DRM）の一環としてrootkit技術を使用していたことに社会の非難が集中し、リスクに対する認知度も高まったが、rootkitという言葉の使われ方は、Sonyの場合とSymantecの場合では「まったく異なる」と話した。

　「rootkitが何を指し示しているのか特定する場合は、どのような相手を対象としているのか、あるいは、さまざまな定義のうちどれを参照するのかということが重要になってくると、われわれは考えている」（ウィーバー氏）

　Symantec独自の定義によれば、理論上rootkitとは、コンピュータの半永久的かつ検知不能なデータを隠して維持するためのコンポーネントを指すという。同社は、「インストールや任意のコードの実行といったrootkitによる操作は、エンドユーザーの同意もしくは認識を得ないまま行われる」としている。

　Googleで「rootkit」および「定義」という語句を検索すると、さまざまな説が結果として表示される。コンピュータやセキュリティの専門家が参考にする定義の大半は、rootkitは「侵入者」がインストールするもので、プロセスやファイルの存在をユーザーに知られないよう隠すのに利用されると説明している。こうしたファイルやプロセスは、一度システムにインストールされると、削除するのはほぼ不可能と言ってよいほど難しいと考えられている。

　ウィーバー氏はeWEEKのインタビューに応じ、「この問題を解決する必要を強く感じている。多くの人々がrootkitをそれぞれ異なった解釈でとらえているのが現状だ。標準的な定義を決定し、rootkitと言えば誰もが同じことを思い浮かべられるようにしなければならない。セキュリティ界全体で一般的に受け入れられるものにすることが、最終的な目標だ」と語った。

　「何について話しているのか、明確に理解する必要がある。rootkitとは具体的に何なのか、隠すとはどのような行為なのか、エンタープライズおよび一般ユーザーが納得できるリスク要因とは何を指すのか、そしてこの技術を利用する正当な理由とはどういったものなのか、解明しなければならない」（ウィーバー氏）