MS研究者、「カーネルrootkits」の脅威を警告
米Microsoftのセキュリティ研究者が、新世代の強力なシステム監視プログラム「rootkits」に関して警鐘を鳴らしている。このプログラムは現行のセキュリティ製品ではほとんど検出不可能で、企業や個人に深刻なリスクをもたらす恐れがあるという。
同社研究者らは2月15日、サンフランシスコで開催のRSA Security Conferenceのセッションで、カーネルrootkitsによる脅威が拡大していると語った。この監視プログラムは一般的になってきており、近いうちに新世代の大量配布型スパイウェア・ワームの作成に利用されるようになるかもしれない。
Microsoftセキュリティソリューション部門のマイク・ダンセグリオ氏とカート・ディラード氏によると、リモートシステム監視ソフトは何年も前から出回っており、Hacker Defender」「FU」「Vanquish」といった名称のプログラムがその最新世代だという。
悪意を持ったハッカーはこうしたプログラムをシステムにインストールし、そのシステムの乗っ取りや攻撃、システム内の情報の取得に利用する。またこの種のソフトは通常、ウイルスやハッキングにより、持ち主が知らないうちにマシンにインストールされると両氏は説明した。
いったんインストールされると、多くのrootkitsはバックグラウンドで密かに動作するが、感染したシステム上で実行されているメモリプロセスを探すか、マシンから外部への通信を監視するか、新しくインストールされたプログラムをチェックすれば簡単に発見できる。
しかし、カーネルを修正するカーネルrootkitsが一般的になってきており、またrootkits作者はプログラムを隠す手腕をかなり進歩させているとダンセグリオ氏は語った。
特に、比較的新しいrootkitsは、カーネルに渡されるクエリー(システムコール)を傍受し、rootkitsソフトが生成したクエリーを取り除く。その結果、実行可能ファイル名(コンピュータのメモリの一部を使用する名前付きプロセス)やOSのレジストリのコンフィグレーション設定など、プログラムが実行されていることを示す通常のサインが管理者や検出ツールから見えなくなると同氏は説明した。
次第に高度化するrootkits、そしてrootkitsの技術からスパイウェアやウイルスに移るスピードが速いのは、ステルス型侵入ソフトを重要視するオンライン犯罪組織の影響が原因かもしれないとディラード氏は語った。
約1年前にリリースされたHacker Defenderというrootkitsは、外部への通信を保護するために暗号化まで利用しており、TCP 135番ポートなど一般に使われているポートから、同じポートを使っているほかのアプリケーションを妨害することなく外界と通信できると同氏。
両氏によると、このソフトは、ウイルス対策ソフト、ホスト・ネットワーク侵入検知センサー(IDS)、スパイウェア対策製品など多くの検出ツールから見えない。
実際、最も強力なrootkits検出ツールの一部は、セキュリティ企業ではなく、rootkits作者が作ったものだという。
感染したシステムからrootkitsを検出する方法はほとんどない。rootkitsによって動作も身を隠す方法も異なるのだからなおさらだ。
時折、ネットワーク上の別のマシンから感染システムを調べることで、カーネルrootkitsを発見できることもあるとディラード氏。また、CD-ROMから起動できるWindows XPのスリム版「Windows PE」を使ってコンピュータを立ち上げて、感染システムとクリーンなシステムのプロファイルを比較するという手もあるという。
Microsoft Researchの論文によると、同社研究者らは、クリーンなWindowsと感染の疑いがあるWindowsを比較して、カーネルrootkitsが動作している兆候らしき相違を探すことでrootkitsを検出できるツール「Strider Ghostbuster」を開発済みだ。
それでも、唯一の信頼できるカーネルrootkits削除法は、感染したHDDの中身を全部消去して、OSを再インストールすることだとダンセグリオ氏は語った。
rootkitsはWindowsに特有というわけではないが、人気の高い同OSは格好の標的であり、悪意を持ったハッカーがこうしたプログラムの存在を偽装するのを容易にしていると、RSAに参加したSymantecの@stake部門のジョナサン・レビン氏は指摘した。
Windowsの強力なAPIのおかげで、システム上での行動を隠すのは簡単だ。Internet Explorer(IE)も、クラッカー、ウイルス、ワームがrootkitsを脆弱なWindowsシステムに仕込むのによく利用されていると同氏。
もっと優れたツールがあれば、現行のカーネルrootkitsを検出することはできるだろう。ただし、rootkits作者は新たな検出技術を見つけ、それを回避できるようにプログラムを修正することに長けているとダンセグリオ氏は語った。
「彼らは頭がいい。とても頭がいいんだ」(同氏)
Copyright(C) IDG Japan, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。