IT事件簿 音楽CDに隠された凶悪なルートキット：“迷探偵”ハギ−のテクノロジー裏話（1/3 ページ）

ウイルス対策ソフトでの検出が困難なものの1つに「rootkit（ルートキット）」がある。最近ではその脅威が深刻だ。ルートキットが世界で初めて社会問題化した事件を振り返ってみよう。

[萩原栄幸，ITmedia]

　今回は筆者が直接体験したり、見聞きしたりしたさまざまなITの事件の中から、近年になって脅威が深刻化している「rootkit（ルートキット）」が世界で初めて社会問題化した事件を取り上げたい。以降ではできるだけ忠実に事件の全体を触れていくつもりだが、一部に筆者の想像や憶測があることはご容赦いただきたい。またこの事件に関わった当時の会社は、現在では社名も異なり、体制も変わっている（と思う）。本稿は現在の会社を批判するものではなく、過去の事件の教訓を通じて、少しでも安全にITを活用していける世の中になってほしいとの思いで執筆していることをご理解いただきたい。

　2005年、音楽CDの中に凶悪なルートキットが仕込まれるという事件が明らかになった。この事件は、コンピュータセキュリティにおいてルートキットが深刻な問題を引き起こす契機になったはずだが、なぜか大手マスコミで報道されることはほとんどなく、事件の重要性に気付く人は少なかった。

ルートキットとはなにか？

　「ルートキット」という言葉は、今でこそ少しでも聞いたことがある人なら、「マルウェアの1種だよね」と認知されるまでになった。だが、今から7年前の2005年当時、ルートキットなる言葉はほとんど知られていなかった。筆者が初めて耳にしたのは、確か2003年頃のハッカー同士の集まりである「DEFCON」の紹介記事だったと思う。その時に驚愕したのは、「ルートキットがもしばら撒かれたら、これを発見できるウイルス対策ソフトはない」ということだった。それがたった2年で現実のものになるとは夢にも思わなかった。

　当時、ルートキットという表現はバズワードに近いものがあり、厳密に定義することが難しかった。筆者なりに分類していたものだけで47種もあった。事件で使われたのは、その中の1種である。ルートキットは大きく2種類が存在する。1つは「メモリベースのルートキット」、もう1つは「半永久的なルートキット」だ。メモリベースのルートキットは、コンピュータを再起動すると自己消滅するので、悪さをするのは半永久的なルートキットである。そして、ルートキットは自分自身の存在を隠ぺいするために、通常ではWindowsのAPIを乗っ取る。つまり、“透明人間”ならぬ“透明ファイル”になってしまうので、セキュリティソフトでの発見が困難になる。

　例えば、コンピュータの画面からCドライブにアクセスして、その中の「年別鉄道乗車記録一覧」というフォルダを開いたとしよう。その中に以下のファイルがある。

• A.doc
• B.txt
• C.xls
• D.pdf
• X.exe

　「X.exe」がルートキットの一部を構成する重要なファイルだと考えてほしい。正常なWindowsではフォルダを展開すると、HDDなどに保存されているデータの管理簿情報を使ってコンピュータの画面にその状況を表示している。だがルートキットに感染した状態ではAPI自体が乗っ取られているので、画面に表示する情報は改ざんされたものになる。つまり、「Xというファイルが存在しています」という情報を「存在しません」というように改ざんして画面に表示するので、ユーザーには「X」というファイルの存在が見えない。

　隠ぺい方法は簡単であり、ファイル名の頭に「＄sys＄」という5バイトの文字を入力すれば、そのファイルが目の前から消える。実際に筆者もPC1台を壊しても構わないという感覚で試したのだが、目前のファイル名を変更するだけで、見事に消えてしまったのだ。

　さて、音楽CDにルートキットが存在することがなぜ分かったのか。発見者は、OSのローレベルでのテストを特別な環境で行っていた（例えるなら半導体製造のクリーンルーム）。ところがテスト中に、システムコール（ドライバーがWindows APIの挙動を制御する仕組み）に対する恣意（しい）的なフックが見つかったという。

　その原因を探っていくうちに彼が勘付いたのは、外部から持ち込んだ唯一の物理的な機器、「音楽CD」だった。音楽CDの中にルートキットが忍び込んでいたのである。