Linux向けのマルウェア駆除ツール：Leverage OSS（3/3 ページ）

[Joe-Barr，Open Tech Press]

OSSEC

　ルートキット以外の検出もできるとはいえ、ChkrootkitとRootkit Hunterの双方が力を入れているのはルートキットの検出だ。これに対し、OSSECは完全なホスト型侵入検知システム（Host Intrusion Detection System）であり、侵入を試みるあらゆるものを検知するように作られている。2006年にOSSECをレビューしたときのバージョンは0.9だった。先の2つのツールに比べてずっと大規模で複雑なものだが、OSSECも簡単にインストールできる。

　OSSECはChkrootkitやRootkit Hunterと少し違ったカテゴリに入る、というのがわたしの意見だ。インストール先としてはデスクトップマシンよりもサーバの方がずっとふさわしいのだが、ローカルにインストールすることもできる。このツールを今回の比較に含めた唯一の理由は、積極的にメンテナンスが行われているLinux向けのルートキット検出ツールがほかに見当たらなかったことにある。つまり、それだけOSSECがルートキット検出のツールとして優れているということだ。今回、非公式に比較した結果では、ほかの2つのツールよりも多くのルートキットとワームを検出している。

　OSSECをインストールするには、ダウンロードページから最新版を入手して展開し、展開先のディレクトリでrootユーザーになって「install.sh」を実行すればよい。gccコンパイラがインストールされていれば、このインストールスクリプトによってコンパイル、設定、インストールが行われ、OSSECの実行が開始される。

まとめ

　これら3つのツールのセキュリティテストは、合計80種類のルートキットのほか、各種のワーム、トロイの木馬、バックドアを用意して行った。わたしの非公式な比較（実施条件やバージョンが若干異なるため、厳密な調査になっていないことは明らか）では、Chkrootkit、Rootkit Hunter、OSSECによってそれぞれ64、60、56種類のマルウェアのテストが実施された。ただし、それぞれの厳密な件数よりも、ほかのツールでは実施されないマルウェア向けのテストが行えることの方が重要である。

　わたしの考えでは、SOHOのLANで複数のマシンをチェックするならOSSECが、単体のデスクトップPCまたはノートPCで使うならほかの2つのどちらかが適している。では後者の場合、ChkrootkitとRootkit Hunterのどちらを選べばよいのだろうか。もっともな質問だが、わたしとしてはオリジナルのRootkit Hunterを開発したMichael Boelen氏の意見を参考にしたい。彼は、Rootkit HunterがChkrootkitの置き換えではなく、「セカンドオピニオン」を提供するものとして書かれたことを明言している。ということで、両方とも利用してはどうだろうか。それで問題が生じることはないし、そうすれば一方が見逃すかチェックできないルートキットを他方が見つけてくれるはずだ。

原文へのリンク