ルートキット：隠れているデジタル暗殺者

閉じ込められた？多数のウイルス対策プログラムやマルウェア対策プログラムをインストールした後でも、データが危険にさらされていませんか？彼らは侵入者に対抗しましたか？セキュリティソフトウェアが原因を検出できなかった場合はどうなりますか？はい、それは可能です。ウイルスやマルウェアよりもはるかに巧妙で操作的な他の脅威があり、それらは「ルートキット」と呼ばれます。

ルートキットはコンピュータプログラムであり、オペレーティングシステムに不可欠なプログラムになりすまして、攻撃者に管理者レベルのアクセスを提供します。「root」という用語はUNIX風の特権アカウントに由来し、「kit」はツールのグループを指します。ルートキットは、ウイルス対策ソフトウェアからのカバーを提供することにより、他の悪意のあるファイルも隠します。

画像ソース：pondurance.com

ルートキットはどのように存在を隠しますか？

ルートキットは、オペレーティングシステムのいくつかのベースレイヤー、つまりアプリケーションプログラムインターフェイス（API）の利用、関数のリダイレクト、または文書化されていない関数の使用など、さまざまな方法を使用して、任意のマシンでその存在を隠します。また、攻撃者にシステムへのフルアクセスを提供しながら、オペレーティングシステム内の正当なアプリケーションのように動作する場合もあります。アクセスを取得した後、攻撃者は実行可能ファイルを実行し、ホストコンピュータのシステム構成を操作する可能性があります。

画像ソース：spywareinfoforum.com

ルートキットの検出：

コンピューターでルートキットを手動で検索することは、干し草の山で針を探すようなものです。カモフラージュ特性があるため、ほとんどのウイルス対策およびマルウェア対策はルートキットの検出または隔離に失敗します。ただし、高レベルで標準化されたアンチウイルスの一部は、同じものを検出して中和できないこともわかっています。これらのプログラム以外に、コンピュータがその動作によって感染しているかどうかを知ることもできます。Windows設定の異常な変更、クロールインターネット速度、頻繁な遅延、およびシステムクラッシュは、システムでのルートキットアクティビティを示している可能性があります。

画像ソース：newpctricks.net

ルートキットは、ユーザーモードのときに診断される可能性が高くなります。しかし、OSカーネルに入ると、検出される可能性は低くなります。OSカーネルは、オペレーティングシステムとウイルス対策を実行する基本的なプラットフォームです。したがって、悪意のあるソフトウェアがカーネルモードに入ると、何かを回復することはさらに困難になります。

ルートキットがカーネルモードに近づくと、オペレーティングシステムは信頼できなくなります。ここで、ルートキットは管理者レベルの権限を取得し、マスターブートレコードを制御し、システムの起動時に起動するように設定できます。ルートキットが「ブートキット」段階に達すると、ハードディスクをフォーマットしても役に立ちません。

解決：

 ルートキットに関しては、予防は治療よりも優れています。ほとんどのセキュリティソフトウェアはルートキットを検出することすらできないため、それらを購入しても意味がありません。保護するための最良の方法は、ブラウジングとダウンロードの習慣を再分析することです。ただし、ルートキット開発者は、ブラウジングの習慣に基づいてマルウェアを分析およびプログラミングすることで、パンとバターを作ります。したがって、インターネットを使用する際には細心の注意を払う必要があります。

関連項目：  2017年のマルウェア対策ソフトウェアのベスト10 

全体として、ルートキットは、コンピュータが検出できる最悪のタイプの感染です。安全でないWebサイトにアクセスしたり、疑わしいソースからコンテンツをダウンロードしたりすることは、保護のためのベストプラクティスです。このような脅威に対抗するために、信頼できるマルウェア対策およびウイルス対策プログラムを使用してコンピューターを保護してください。