F-Secureが公開した「Rootkit解体白書」

F-Secure Security Labsが、数年間にわたって進めてきたKernel Rootkitの追跡および分析の結果をまとめた文書を公開した。

[Lisa Vaas，eWEEK]

　セキュリティアナリストらはかねてから、2007年も引き続き、プログラムのソフトウェアカーネルの一部分を変更した別のコードで置き換え、自身の活動を隠そうとするKernel Rootkit（カーネルルートキット）の出現頻度が高まるだろうと予測してきた。

　CAでは、Microsoftの新しいOS、Windows Vistaの64ビット版に組み込まれたカーネル保護システム「PatchGuard」をはじめとする、Rootkit対策テクノロジも存在するが、一方で今後1年の間、PCユーザーの大半は、この攻撃に無防備なままだろうと指摘したことがあった。経験の豊富なPC利用者でさえ、彼らの高度なテクニックには脆弱だろうという。

　F-Secure Security Labsではこの数年間、カーネルマルウェアの追跡および分析に取り組んできた。この手の攻撃が最初に登場したのは1999年にさかのぼり、「WinNT/Infis」という攻撃の形を取っていた。

　F-Secureの研究者、キモ・カスリン氏は、これまでに得られた研究成果を「カーネルマルウェア：内側からの攻撃」と題する文書にまとめた。スライドショーの資料も公開されている。

　カスリン氏は、カーネルマルウェアがどのようなものであり、どのように動作し、なにゆえ発見と駆除が困難なのかについて詳細に説明している。同氏はまた、検出を免れ、パーソナルファイアウォールをバイパスするためにカーネルモードのテクニックを用いた2つのマルウェアの事例についても紹介している。

　これまで発見されたマルウェアの中でKernel Rootkitが占める比率は、まだ非常に少ない。しかしカスリン氏の資料に示された、ありのままを示す図版を見れば、2004年以降、その数がいかに急増したかが分かる。

　なぜ突然、この種の恐ろしい攻撃が急増したのだろうか？

　「カーネルマルウェアが急増した理由の多くは、マルウェア作者の動機によって説明できるだろう。つまり、彼らはその成果を、できる限り検出から隠したいと考えるようになっている」と同氏は記している。

　「隠蔽作業をより巧妙にするため、より多くの文書やサンプル、完全に動作するソースコード付きのサンプルが出回るにつれて、作者らはカーネルモードのRootkitテクニックを用いるようになった。しかしながら、別の動機も存在する。おそらく最も重要な狙いは、ファイアウォールやアンチウイルススキャナを回避することだ」

　一般に、現在のセキュリティソリューションは貧弱な保護しか提供してくれないとカスリン氏。Rootkitがフルカーネルモードで動作すると、OSそのものと同等の権限が与えられ、ファイアウォールやアンチウイルスソフトウェアを停止させることができる（セミカーネルマルウェアとして知られているものでは、実行のためにユーザーモードに手を伸ばすことができないのとは対照的だ）。

　これはすでに、Rootkitやそれらが備えているアンチ検出エンジンに見られる兆候だと同氏は指摘している。

　「Rootkitは、Rootkit検出システムからこれ以上自分自身を隠すことができないことに気づくと、ゲームを終えようとする。戦術を変え、検出システムそのものを攻撃しようとし始める。ルートキット検出システムが開始されないよう、よりアグレッシブなアプローチを取り始める。もしくは、ルートキット検出システムに直接パッチを当てて、内部ロジックを変化するようなコードを追加する可能性もある」

　望みはあるのだろうか？　カスリン氏によるとほとんどない。「アンチウイルススキャナやファイアウォールを含めた現在のセキュリティソリューションは、カーネルマルウェアからの防御用にはデザインされていない。予防が唯一の解決策だ」と同氏はスライドショーの結論の中で記している。

原文へのリンク