ルートキットの種類とは？感染経路・特徴・対策

「トロイの木馬」や「ワーム」といった不正プログラム（マルウェア）の名前は、ネットワークセキュリティにあまり精通していない人でも一度は耳にしたことがあるでしょう。

しかし、「ルートキット」は言葉自体初めて聞くという人も少なくないはずです。あるいは、何となく危険なものだという認識はあっても、それが具体的にどういうものなのかは詳しく知らないという人もいるでしょう。

ルートキットについての基本的な概要の説明からその感染経路、そして予防策や駆除方法まで説明します。

ルートキットとは何か？

まずはルートキットについての基本的なところを説明します。

ルートキットの定義

ルートキットとは、簡単にいえばクラッカーやアタッカーがターゲットのPCに侵入しやすくするためのツールのことをいいます。

※クラッカー：マルウェアなどを作成したり不正に他人のPCに侵入したりする人
※アタッカー：他人のPCにDos攻撃などの直接的な攻撃を仕掛ける人

これらの不正な侵入者はルートキットを利用して他者のPCへのアクセス権を取得し、そのままリモートで制御を奪いさまざまな不正行為を行うことを主な目的としています。金銭や機密情報の取得を狙ったものだけではなく、単純な悪戯という場合もあります。

ルートキット自体はPCに入り込むための単なる手段ということになります。ルートキットそのものが必ずしもマルウェアというわけではなく、あくまでも攻撃者による様々な不正行為を支援するプログラムの総称なのです。

ルートキットの特徴

ルートキットはターゲットとなるPCに密かに侵入し、自らの存在を隠蔽しながらそのまま長期間潜伏します。

そしてコンピュータのシステムを改ざんすることによってマルウェアの存在を検知させないようする、さまざななデータを隠蔽したり情報を盗み取る、といったようなことを引き起こすのです。

そしてバックドアを構築して攻撃者の侵入経路を確保したり、アクセスログを改ざんして攻撃者がシステムに侵入した形跡を消す働きをしたりすることもあります。たとえるならば、敵国に侵入して様々な工作活動を行うスパイのような動きをするわけです。

ルートキットはそれ自体がPCに直接的な被害を与えるわけではありませんが、他のマルウェアが活動するための準備を整え、PCへの攻撃を可能にする下地を気づかれずに用意するものです。もしルートキットを放置したままにすると、将来的に深刻な被害が引き起こされるリスクを高めることに繋がるのです。

ルートキットの種類

このようにさまざまな動きをするルートキットですが、大きく分けると「ユーザーモード」と「カーネルモード」の2つのタイプがあります。これらの違いを理解するためには、まずOS（オペレーションシステム）の動作モードにおける両者の違いについて理解しなければいけません。

Windowsにおけるカーネルモード

そもそものところを説明すると、コンピュータを誰もが簡単に操作できるようにと作られたものがOSです。OSによってコンピュータ全体が管理され、ユーザーがより制御し易いよう設定されています。

コンピュータを安全に運用するためには、OSには常に優先してストレージが割り当てられるようになっていなければいけませんし、それ以外の他のプログラムには利用できないコマンドやレジスタ（CPU内部に設けられた記憶装置）などを設けることが推奨されます。

なぜならば、OS以外のプログラムが本来OSが担当すべき処理をしてしまうと、コンピュータ全体の動きがおかしくなり、プログラム自体が破損してしまうという危険もあるからです。

そのため、重要な一部の処理はOSのみ特権的に実行できるようにすることで、安全にコンピュータを運用するための動作モードがWindowsには存在します。これを「カーネルモード」といいます。

Windowsにおけるユーザーモード

そしてユーザー側のアプリケーションを動かすためのモードとして「ユーザーモード」があるのです。先ほど説明したOS本来の動作をするために設けられたキャパシティ以外の部分、のようなイメージです。。

今ではほとんどのOSはカーネルモードとユーザーモードに分かれており、前者はOSを保護するため、後者はユーザーがインストールした様々なアプリケーションを動かすためのものとすることによって、OSのプログラムが破損しないようにしています。

ルートキットにも「ユーザーモード」「カーネルモード」がある

そして、これまで説明してきたルートキットにも「ユーザーモード」と「カーネルモード」があります。この分類はOSの動作モードの違いと同様に、OSのみが許される領域で活動するものか、他のアプリケーションレベルで活動するものかの違いによります。

ユーザーモードのルートキット

OS内で他のアプリケーションと同じレベルでさまざまな改ざんを行うものがメインです。それによって動作中のアプリケーションの一部のプロセスを乗っ取ったり、そこで使用されるメモリを勝手に上書きしたりといった動作をすることが報告されています。

これらは比較的検出が容易だといわれており、いわゆる（ルートキット）対策ツールのほとんどは、このユーザーモードのルートキットが対象となっていました。

カーネルモードのルートキット

OSの最下層で行動し、コンピュータに密かに仕掛けられたバックドアの存在を隠蔽したり、攻撃者の侵入の痕跡を抹消したりします。

場合によっては、コンピュータの権限セット（PC内の様々なツールとその機能へのアクセス権）を奪い取り、コンピュータそのものを完全にコントロール下に置いてしまう可能性もあるのです。

カーネルモードの方はユーザーモードよりも一般的ではありませんが、その性質上、複雑な構成をしており、検出も駆除もユーザーモードよりも困難だといわれています。

ルートキットの感染経路

システムやアプリケーションの脆弱性を狙った手段

ルートキットの侵入経路として最もありがちなのが、OSや各種アプリケーションの脆弱性をピンポイントで突かれるケースです。

クラッカーやアタッカーはそういったPC内部の脆弱性を標的にしてコンピュータの権限を取得しようとします。そしてルートキットをインストールさせて、外部からリモートアクセスするための「足場」を築こうとします。

USBドライブを介した手段

また、USBドライブなどの外部デバイスによる感染例もあります。そういった外付けの機器に予めルートキットを潜ませておき、ターゲットのPCに直接的に送り込んだり、あるいはユーザーの使用しているUSBメモリに仕込んでおいたりする強引な手法がとられることもあります。

あるいは正規のものに見せかけたアプリケーションやファイルの中に密かに紛れ込ませておくという、マルウェア感染の常套手段が用いられるケースもあるようです。

ルートキットは何をするのか？

①管理者権限を奪う

既に説明してきたように、ルートキットの最終的な目的の多くはコンピュータの管理者権限を奪ってしまうことです。

②PC上にある重要な情報を盗み出す

管理者権限を奪い、そのコンピュータを実質的に乗っ取ってしまうことで、PC上にある重要情報を盗み出して悪用することを目的としている場合があります。

③WEBサイトの改ざん

ターゲットとなったコンピュータが提供しているWEBサイトを改ざんして、不正なサイトへとリダイレクトさせるようなケースも考えられます。

④仕込んだPCを経由して別のPCへ攻撃

ルートキットを感染したPCを経由して、他のPCに攻撃を加えたり大量のスパムメールを送りつけたりといった事件も起こっています。感染したPCがさらなる攻撃の足がかりにされてしまうわけです。

ルートキットへの対策

ここからはルートキットの感染対策について具体的に解説していきますが、予防策についてはそのほとんどが他のマルウェア対策と同様であり、本当に基本的なものばかりです。

ルートキットは一度感染してしまうと発見がなかなか困難ですから、まずは侵入されないようにすることが最も重要なのです。他のマルウェア同様に、基本的な対策がメインとなります。

セキュリティソフトの導入

まずは一にも二にもセキュリティソフトの導入が必須です。ルートキットはとりわけ無害なものを装うことに長けているため、一般のユーザーでは気付きにくく対策もしづらいです。ルートキットからの侵入を防ぐためにセキュリティソフトを導入しておきましょう。

セキュリティ対策ソフトをお探しの方はこちらの記事も参考にお読みください。

感染の有無の定期的な確認

ルートキットは他の不正プログラムだけでなく、自らの存在も隠蔽する傾向にありますから、定期的な感染チェックが必要となります。特にセキュリティソフトでは発見できない可能性もありますから、専用のルートキットスキャンツールを使うとよいでしょう。

アップデートを行い常に最新の状態を保つ

これも他のマルウェア対策と同じで、セキュリティ対策の基本です。OSなどのアップデートにはバグ修正などが含まれることが多く、脆弱性を減らす意味で大変重要な作業となります。なるべく最新の状態を保つようにしましょう。

持ち主不明のUSB（外部メモリ）を使用しない

既に説明したように、USBなどの外部デバイスから感染してしまう危険がありますので、持ち主が分からないUSBメモリなどは使わない方が懸命です。

不審なメール添付ファイルやリンクを開かない

ウイルスやトロイの木馬のようにメールの添付ファイルに仕込まれていたり、ルートキットが勝手にインストールされるサイトに誘導するためのリンクがメール本文に記載されていたりします。差出人不明のメールや迷惑メールには特に注意が必要です。

ルートキットの駆除方法

こうした対策をしていたにも関わらず、ルートキットが自分のPCに入り込んでしまった場合、どうすればよいのでしょうか？こんな時にルートキットを駆除する方法をいくつか紹介します。

共有しているネットワークを遮断

まず何よりも先に、インターネットや他の機器とのネットワークから当該PCを遮断してください。それによって他のPCへの影響を最小限に抑えることができます。放置してしまうと他のネットワーク上のPCやシステムにも悪影響を及ぼす危険があります。

OSの機能によってネットワークの遮断ができますが、最も確実なのは物理的に繋がっているLANケーブルを抜いてしまうことです。ノートパソコンなどが無線LANで繋がっている場合は、電源を落としてネットワークに繋がらないような環境を整える必要があります。

削除ツールが対応している場合はそれを使用

ルートキットの種類が分かっていれば、それに対応している削除ツールを調べてみましょう。該当するものがあったらそれを使って削除するようにします。ほとんどの場合、ルートキットの駆除は特別なツールが必要となることを覚えておきましょう。

専門家の確認

企業であれば日頃ネットワークセキュリティの構築を依頼している外注先に相談してみましょう。個人であっても、ウイルス対策ソフトのサポートで相談にのってくれることもあります。そういった専門家の下で適切な処置をする必要があります。

OSの再インストール

これは他のマルウェア対策でも同じですが、最終手段は「OSを再インストール」することになります。その場合はユーザーが作成したPC内のデータ類は全て消えてしまいますから、必要なものはバックアップを取っておく必要があります。手間はかかりますが、確実に駆除したい場合はこれが確実です。

ウイルスもルートキットも対策しよう

一度PCに侵入されてしまうと、その全てを駆除するのは非常に困難なのがルートキットの特徴ですから、まず何よりも感染しないようにすることが重要です。OSを最新のものにアップデートしたり、ウイルス対策ソフトを導入したりするといった基本的なところはもはや必須です。不安な人は専用ツールを導入して定期的にチェックを行うのも有効でしょう。
いずれにせよ基本を疎かにしないことと、いざ感染した際に適切な処置をするための知識を持っておくことが肝要ですから、本記事を参考にして適切な対策をとれるようにしておきましょう。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}