「Rootkit」が「Rootkit」でなくなる日は来るか――業界団体が定義の作成へ（2/3 ページ）

[Ryan Naraine，eWEEK]

　自社製品に関してこうした問題が起こる以前から、Symantecは複数の業界団体に接触し、rootkitの定義を作成するよう持ちかけていた。同社の求めに応じたのが、IT-ISAC（Information Sharing and Analysis Center）である。IT-ISACは、セキュリティ関連情報の中央保管所として機能する、専門的な団体だ。

　IT-ISACのオペレーションディレクターであるピーター・アロール氏によると、同団体はrootkitを一般的に定義するための準備をすでに進めており、4週間以内には基本的な枠組みが整う見込みだという。

　Internet Security Systemsのインテリジェンスディレクターも務めるアロール氏は、この取り組みを全面的に支持し、AntiSpyware Coalitionがアドウェアおよびスパイウェアの明確な定義を作成した過去の事例になぞらえた。「業界が発するメッセージに一貫性がないと、エンドユーザーは混乱してしまう。ソフトウェアメーカーであろうとセキュリティベンダーであろうと、業界が同じ内容を意味する同じ言葉を使用すれば、状況は改善される」（アロール氏）

　Symantecと同様、ウイルス対策ベンダーKaspersky Labも、Windowsの専門家であるマーク・ルシノビッチ氏によってソフトウェアにrootkitタイプの機能を搭載していることが暴露され、問題となった。

　Kasperskyの創設者でありウイルス研究の責任者でもあるユージーン・カスペルスキー氏は、同社が「iStreams」と呼ぶ問題の技術はrootkitとは明らかに異なるものだと、インタビューの中で答えている。「当社は数年前に、スキャンのパフォーマンスを向上させるため、iStreams技術を利用し始めた。すなわち当社製品では、ユーザーシステム上のファイルのチェックサムデータを維持するのに、基本的にNTFS代替データストリームを用いているのである。チェックサムが過去にスキャンした際と変わらなければ、ファイルが改ざんされていないことが分かるし、そうでない場合は、ソフトウェアが再スキャンを実行する」（カスペルスキー氏）

　NTFS代替データストリームは内部データの格納に用いられるため、ウイルス対策ソフトウェアが稼働している間はこれを隠しているのだと、カスペルスキー氏は述べている。「最初から見えていなかったり、特別なツールを利用しなければ確認できなかったりするものが、すべて悪質であるというわけではない。また、こうしたデータストリームを使用して隠していることを理由に、その製品がrootkit利用製品であると言うことはできない」と、カスペルスキー氏は強調した。

　「セキュリティについて語るときは、悪質（かつ危険）なrootkitとクローキング技術の違いを明らかにする必要があると考えている。マルウェアは、クローキング技術を悪用することはできない」（カスペルスキー氏）