eSecurity Planetは11月8日(米国時間)、「6 Types of Rootkit Threats & How to Detect Them (+ Examples)」において、ルートキットの脅威トップ6とルートキットから身を守るためのヒントを紹介した。ルートキットとは、システムへの不正アクセスに成功した攻撃者が、侵入後に遠隔操作で活動するために必要なツールのセットのこと。

ルートキットから自身やビジネスを守るため、さまざまな種類のルートキットを理解し、可能な限りデバイスからルートキットを排除するための手順や感染に気づいたときの対処法を理解しておくことが重要だと伝えている。

ルートキットの脅威トップ6は次のとおり。

  • カーネルモードのルートキット - オペレーティングシステムのコアとされているカーネルのコンポーネントをルートキットに変更する
  • ブートキット - カーネルモードルートキットの一種で、コンピュータの起動時にマスターブートレコード、ボリュームブートレコード、ブートセクションに感染する
  • ユーザモードのルートキット - アプリケーションルートキットとも呼ばれ、実行ファイルやシステムライブラリを置き換えたり、APIの動作を変更したりする
  • 仮想ルートキット - ターゲットオペレーティングシステムを仮想マシンとしてホストし、オリジナルオペレーティングシステムが行うハードウェアコールを傍受することを可能にする
  • ファームウェアのルートキット - デバイスまたはプラットフォームのファームウェアを使用してルータ、ネットワークカード、ハードドライブ、またはBIOSに持続的なマルウェアイメージを作成する
  • メモリー上のルートキット - コンピュータのランダムアクセスメモリ内に潜伏する。管理が容易なタイプのルートキットとされており、感染したコンピュータを再起動することで削除が可能

ルートキットからシステムを保護するための対策としては、以下を検討することが推奨されている。

  • ルートキットスキャナーなどの侵入検知・防止ツールの使用
  • 脆弱性パッチの適時適用
  • セキュリティガイドラインに従ったシステムの設定とシステム上で実行可能なサービスの制限
  • 最小権限原則を遵守する
  • アプリケーション層でネットワーク・トラフィックを分析できるファイアウォールを導入する
  • 強力な認証の使用
  • 定期的なセキュリティメンテナンスの実施
  • ルートキットに悪用されるコンパイラプログラムの制限

ルートキットに感染した場合、状況はより複雑になるとされており、ルートキットの検出と削除が困難であることに注意が促されている。ただし、セキュリティ専門家やルートキットスキャナーなどの分析ツールを使用することで、ルートキットの存在を示す手がかりを発見することが可能だと述べられている。

ルートキットはシステムの全権限を悪用できるため、その除去は非常に困難とされている。イメージバックアップを作成し、オリジナルのインストールメディアを使用し、感染したシステムを再構築することが推奨されている。

ルートキットの脅威に対処する最善策は、パッチ管理や定期的なメンテナンスなどのセキュリティのベストプラクティスおよびルートキットスキャナーやファイアウォールなどの専用ツールの導入など、感染を阻止することだという。