ターゲットのコンピュータ上で
アンチウイルス
に検出されないように設計された
ルートキット
は、
マルウェア
を使った
サイバー攻撃
の手法の中でも、最も危険だと言われています。
もともとは、システムをroot権限などの特権でのアクセスを可能にするためのツールであった
ルートキット
は、検出されずにターゲットのシステムにインストールできるため、その存在と行動を隠したい
マルウェア
と結びつくことにより、犯罪にも利用されるようになりました。攻撃者は、
ルートキット
を使用して、
マルウェア
が検出されないように隠し、
マルウェア
対策のセキュリティソフトを無効化してユーザの
アプリケーション
に深刻な損害を与えるケースや、ユーザの行動を分析してDDoS攻撃を開始したり、特権IDを不正利用して機密データを盗む場合もあります。
近年
ルートキット
は、ダークWebで簡単に購入できてしまうとのことで、多くの標的型のサイバー犯罪に使われてしまっているのが現状です。
OS
、
アプリケーション
、ファームウェア、およびブートローダーのかなり深くに侵入し、ユーザのデバイス等に巧妙な変更を加えることによって、
ルートキット
は、従来の
アンチウイルス
の
マルウェア
対策技術から身を隠そうとします。
その中でも
アプリケーション
レベルの
ルートキット
は、主にMicrosoft Office、メモ帳、ペイントなどの標準プログラムに感染して不正アクセスを可能にしますが、
アプリケーション
層で動作するため、ウイルス対策ソフトでそれらを比較的簡単に検出できます。
一方、カーネルレベルの
ルートキット
は、オペレーティング システムの奥深くに埋め込まれて
マルウェア
のスキャンを上手く騙して、
ルートキット
の
マルウェア
がシステム自身の一部であると認識させてしまいます。
これによって、
アンチウイルス
が使用するスキャン、インデックスの作成や診断ツールを回避できるようにして、ソフトウェアやハードウェアに変更を加えたり、他の
マルウェア
をダウンロードしてインストールしたり、リモートでユーザデータへアクセスしたりします。そして、カーネルレベルの
ルートキット
は、OSから完全に隠されている隠しメモリキャッシュをハードドライブ上に作成することさえできます。ブートローダーに感染して、
OS
がロードされる前であっても、
ルートキット
がアクティブとなる
ルートキット
や、コンピュータのBIOSや、ハードドライブ、ルーター、メモリチップ、ネットワークカードにアクセスできるハードウェアやファームウェアを狙った
ルートキット
などもあります。それらは、デバイスの再起動で削除できる
ルートキット
もありますが、ハードドライブを完全に再フォーマットしても削除できないものもあるため、ハード自体を交換しなければ修復できないケースさえあります。
高度なウイルス対策ソフトの中には、リアルタイムでのデバイス保護や、オンラインのセキュリティ機能で優れた
ルートキット
検出や削除ツールを提供しているものもあり期待が持てますが、
ルートキット
にも多くの手法があり、それによる被害もさまざまなのでやはり対策は必要です。
その対策としては、セキュリティソフトの種類や設定を見直し、システムは最新のバージョンに保ち、フイッシングに騙されないようセキュリティ教育を徹底して、海賊版や無許可のソフトのダウンロードなどしないよう心掛けることが必要です。
ルートキット
は、犯罪に使用されると厄介
