rootkitをばらまいたのは誰?

rootkitはよくハッカーと結びつけて考えられるが、最近rootkitの検出が急激に増えたのは、あるスパイウェアベンダーが原因だ。

» 2005年12月09日 11時32分 公開
[Ryan Naraine,eWEEK]
eWEEK

 Windowsマシンで検出されるrootkitが急増した原因は、プロセスを隠し、アンインストールを妨げる高度な技術を使っているアドウェア・スパイウェアベンダーにある――ウイルス対策ベンダーのF-Secureがこう指摘している。

 セキュリティスイートの一部としてrootkitスキャナを提供している同社は、「Apropos」「PeopleOnPage」というアドウェアの開発元であるContextPlusがrootkitの大量感染に関与していると特定した。

 F-Secureのチーフインシデントオフィサー、ミッコ・ヒッポネン氏によると、同社のrootkitスキャン技術「BlackLight」が、Aproposで「非常に高度なrootkit技術」が利用されていることを発見した。AproposはユーザーのWebブラウジング習慣とシステム情報を収集し、ContextPlusサーバに送り返すスパイウェアだ。

 典型的なスパイウェアと同様に、Aproposは収集したデータを利用して、ユーザーがWebを閲覧している間にターゲット型ポップアップ広告を表示する。

 検出されないためにrootkit技術を使っている平均的なワームやボットとは違って、Aproposのrootkit機能はマシン上でプログラムの存在を隠すのに使われているのではない。

 「これはファイル、ディレクトリ、レジストリキー、プロセスを隠せる非常に高度なカーネルモードrootkitを使っている」とヒッポネン氏は取材に応えて説明した。

 Aproposのrootkitは、ブートプロセスの初期段階で自動的に起動するカーネルモードドライバにより実行される。ファイルとレジストリキーが隠されていたら、これらにユーザーモードプロセスでアクセスすることはできない。

 ヒッポネン氏は、Microsoftが公表したrootkit駆除数の統計データはF-SecureのBlackLightを使っている顧客からの反応と一致していると語る。

 「BlackLightをリリースしてから9カ月、当社はMicrosoftが報告しているのと同じ状況を目にしている。2005年はFU rootkitが非常に広範囲で見られた」とヒッポネン氏は言う。同氏は、FUなどのrootkitはオープンソースであるため、スパイウェアベンダーは既存のrootkitのドライバを追加し、ドライバを制御するユーザーモードコードをコピー&ペーストできると指摘する。

 同氏はF-Secureのブログの中で、FUは「ワームやボットにコピー&ペーストできる非常にシンプルなrootkitだ」と説明している。

 FUはプロセスを隠すだけであり、ファイルとレジストリキーは隠さないと同氏は言う。

 「現在、ワームやボットの作者は主にタスクマネージャからプロセスを隠すことに関心を持っている。彼らはファイルを隠すことには熱心でない。ほとんどのWindowsユーザーはSystem32フォルダにどのファイルが入っているべきかを知らないからだ」(同氏)

 FUは、Microsoftの無料のWindows用不正ソフト駆除ツールで削除されたマルウェアのトップ5に入っている。ほかに2つのrootkit(WinNT/IsproとWin32/HackDef)もこのリストの上位に入っている。

 ヒッポネン氏によると、Win32/HackDef(「Hacker Defender」とも呼ばれる)が上位に入っているのは危険な兆候だという。

 これはFUほど感染を広げていないが、マルウェア作者はマルウェアの存在を隠すために、よくボットやバックドアでHacker Defender(HackDef)を使っていると同氏は言う。

 さらに同氏によると、Hacker Defenderは悪意を持ったハッカーが脆弱な企業のサーバ上でよく使っている。「従って、HackDefの感染数はたぶんFUのそれを大きく下回っているだろうが、たいていは企業サーバへの感染の方がずっと深刻だ」

 「FU rootkitは広範囲に広がっており、危険だが、HackDefやAproposで使われているような高度なrootkitを見つけた場合の方がずっと心配だ」(同氏)

 同氏によると、AproposのrootkitはWindowsのカーネルに「非常に深いレベルで」パッチを当てるカーネルモードドライバを使う。また、幾つかの重要なデータ構造とWindowsカーネルが実装するネイティブAPI関数を書き換える。

 F-Secureの研究者は、ContextPlusがスパイウェア対策ソフトなどのデスクトップセキュリティアプリケーションを回避するために使っている新たな手口も発見したと同氏は言う。

 「同社が使っている高度な手口はrootkitだけではない。ContextPlusはスパイウェアファイルの外観を絶えず変える多様形wrapperを使っている」(同氏)

 「ContextPlusのサーバからAproposプログラムをダウンロードするたびに、このプログラムは見た目が完全に変わる。ダウンロードサーバはダウンロードごとにこのプログラムを生成し直している。これは従来のスパイウェア検出ソフトにとって大きな問題となる」と同氏は説明する。

 ContextPlusに何度も電子メールでコメントを求めたが、回答はなかった。

 スパイウェア対策研究者でコンサルタントのエリック・L・ハウズ氏は、ContextPlusは追跡が難しいことで悪名高いと話す。同社に関連する複数のドメインは、匿名かフランスとポーランドの登録者により登録されている。

 「ContextPlusが米国のどこかにいても意外ではない」とハウズ氏はZiff Davis Internet Newsのメールに応えて語っている。「全体的に見てずいぶん奇妙だ」

 ハウズ氏は、F-SecureがContextPlusとAproposを特定したことはかなり重要だと語る。「rootkitは一般的に、サーバをハッキングしたり、バックドアを埋め込んだりするブラックハット(悪玉ハッカー)が作ったマルウェアと結びつけられる。しかしF-Secureは、rootkitを一番よく使っているのは営利目的のアドウェア会社だと主張している」

 ContextPlusは自社のWebサイト上で、自らを「ワンツーワンデスクトップマーケティング」企業と表している。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.