パソコンのセキュリティ / いろいろな攻撃

2.7 rootkit

rootkit（ルートキット）というのは、基本システム（OS）の上で動作するプログラム（ワープロソフトからウイルスまで）としての禁じ手を使う手法を指します。 rootkit 自体はウイルスのように他のコンピュータに広まったりする機能はありません。しかし、この rootkit は基本システム（OS）そのものを書き換えてしまう、という暴挙に出て、ウイルスなどを見えなくしてしまいます。

Windows も MacOS も UNIX であっても、ハードディスクや CD-ROM 上にあるファイル一覧を見るときは、 Windows ならエクスプローラなどのファイルブラウザ、UNIX であれば ls コマンドなど、なんらかのプログラムを使用します。

エクスプローラや ls コマンドは特定のディレクトリにある、ファイルの一覧を表示するとき、必ず基本システム（OS）に対して問い合わせをします。通常、プログラムが直接、ハードディスクなどをアクセスすることはありません。基本システムは問い合わせを受け、ハードディスクにアクセスしてファイルやディレクトリの一覧をプログラムに回答します。回答を受けたプログラムが、その結果をグラフィカルなツリー状に表示したり、テキストで結果を表示したりします。

rootkit はウイルスによる感染や、製品に付いてくる機能として活動を開始します。上記にある「禁じ手」というは、

基本システム（OS）を書き換えてしまう

という点です。
今までのウイルスなどは、ハードディスク上にあるプログラムや、 Word や Excel などのファイルを書き直して感染するものが多かったのですが、基本システム（Windows や UNIX のシステム）を書き直すことはありませんでした。

rootkit によって書き直された基本システムは特定のファイルが見えなくなります。

このように基本システムに組み込まれた rootkit は、ハードディスクアクセスから、都合の悪いアクセスを除外してしまいます。こうされるとエクスプローラなどでは、特定のフォルダやファイルが見えなくなります。

この例では "printers" というフォルダが見えてしまうと、この rootkit にとって都合が悪いので、一覧から除外しています。

rootkit の問題点

rootkit は非常に重大な問題があります。

rootkit は基本システムの動作を変更してしまうため、ウイルス対策ソフト等が有効に効きません。
ウイルス対策ソフトも基本システムにしたがって動作しています。ウイルスに感染しているかどうかを調べるためのファイルの一覧を取得するときも、基本システムへ問い合わせて取得しています。その回答から rootkit 自身のファイルを除外されてしまうと、ウイルス対策ソフトは、そもそも rootkit 自身が存在しなかったという判断をしてしまいます。
rootkit は基本システムのプログラムを書き直してしまいます。容易に除去ができません。
rootkit は基本システムのかなり深い部分を書き直します。そして、rootkit が動作していることを察知できないように、さまざまな設定を変更してしまいます。そのため、通常、基本システムのプログラムを元に戻すだけでは、元に戻りません。デバイスドライバの設定なども特殊な手法やツールを使って適切な値に戻していく必要があり、元に戻すには非常に高度な専門知識とリスクが伴います。
rootkit は基本システムのプログラムを書き直してしまいます。このため、元に戻したくてもできない、というジレンマがあります。
というのも、たとえ rootkit をウイルス対策ソフトが発見しても、それを除去し、元に戻すには、基本システムのプログラムを元の動作に書き換える必要があります。ところが、基本システムのプログラムの著作権はウイルス対策ソフトメーカにはありません。たとえば、Windows の基本システムの著作権は Microsoft にあります。 Symantec のウイルス対策ソフトが rootkit を発見しても、元に戻すデータ自体が Microsoft の著作権に含まれてしまい、勝手に利用できないのです。

これらの問題から、rootkit に感染した場合は、ほぼ、基本システムのインストールしなおし（Windows や MacOS のインストールしなおし）になってしまいます。

rootkit はなぜ使われる？

rootkit は単体では単にファイルを隠してしまったりするだけのものです。しかし、rootkit とペア使われてウイルスなどを隠されてしまうと、ウイルス対策ソフトが、問題のウイルスを発見できなくなってしまいます。実際、そのようなウイルスは現在では多数発見されています。

rootkit によって透明人間と化したウイルスは、ウイルス対策ソフトにも見つからず、やりたい放題

また、2005年11月には米 SONY BMG が、自社の音楽 CD をパソコンにコピーできないようにする著作権管理用のプログラムを音楽 CD に組み込みましたが、このプログラムが rootkit の手法そのものを利用していたため、消費者から訴えられ、製品の回収と多額の賠償を支払うことになりました（実際には音楽のダウンロードを可能にせざるを得なくなった）。
この場合、著作権管理用のプログラムが Windows から削除されてしまうと、 CD がコピーし放題になる、という懸念から、SONY BMG が rootkit の利用を密かに踏み切るという勇み足をしてしまったのが原因です。
さらに、この問題を拡大させたのが、

SONY BMG の rootkit を利用して身を隠すウイルスが作られた。
SONY BMG が後に「除去ソフト」として公開したものは、単に rootkit の動作を停止させるだけで、実際は除去していなかった。
SONY BMG の rootkit 除去ソフト自体に脆弱性があり、実行すると Windows 自体の防御力が低下する。

などが見つかったため、事態は SONY BMG 側に大きく不利になるように進んでいきました。

そもそも、rootkit 自体、消費者が保有する Windows などの基本プログラムを本人の承諾なしに書き換えてしまうこと自体、米国でも日本でも法律違反であることは明確なのです。それを自社の利益優先で実施してしまうのは大変重大な問題です。

このように、rootkit はウイルスだけに限らず、特定のソフトウェアなどにも組み込まれてしまっている可能性があります。そして、ほとんどの場合、利用者は組み込まれたことに気がつかず、また、元に戻すことも不可能なことが多いです。
rootkit は組み込まれてしまうと発見することはかなり難しいです。どのようなウイルスやソフトウェアに rootkit が使われているか、ウイルスなら感染して rootkit を組み込まれる前に発見できるよう、ウイルス対策ソフトの常日頃のアップデートが必要です。ソフトウェアであれば、そのようなソフトウェアを使用しないという対策が必要です。そして、そういった情報は各セキュリティの専門サイト（IPA など）を常にウォッチして奥必要があります。