セキュリティでrootkitというキーワードが注目されている。一般のネット利用者でもrootkitとは何なのかをよく知らない人の方が多いだろう。

　このrootkitを有名にしてしまったのが世界の？SONYであったようだ。これからはrootkitといえばSONY、と一般の人には先入観を持たれてしまいそうだ。

「rootkit」問題再びか？--今度はソニー製USBメモリ

　rootkitとは名前の通り、rootすなわちUNIX系OSの管理者権限での操作を偽装し、制御可能にしてしまうものである。なんらかの方法で、サーバーに侵入してrootkitをインストールされてしまうと、作業内容の痕跡を消す、足跡になるログをきれいに消すなどの動作をする。そうなればサーバーを乗っ取ったことと同じで、バックドアなど内部からファイアウォールの変更だろうが情報漏えいだろうが、フリーハンドでできてしまう。いったん侵入されてrootkitをインストールされてしまうと、サーバー管理者ですら発見するのが難しいものである。もしやられたら、修復というよりOSを再インストールするしかなくなるだろう。

　またキットというから、それらの偽装に必要な道具に相当するツール類のパッケージであると考えてよい。具体的には偽装されたOSの管理コマンド群やライブラリなどからなる。
　rootkitは管理者が本来使うコマンド群そのものを偽装品と換装してしまったり、ログも改ざんしてしまうが、いずれにしてもサーバー側の管理の問題となるので、クライアント側である一般ユーザは直接関係のないことと思われてきた。そしてUNIX系ということと、コマンドを使わなければWindowsユーザにもあまり縁のないことだった。

　今回のSONYのツールの場合は、Windowsフォルダにインストールされたドライバ群のフォルダが表示されないそうだ。隠しファイルも含めて表示のオプションを指定しようが、Windowsからは存在が確認できないそうだ。このフォルダを不正プログラムの入る場所として利用される危険性が生じるという。　ただコマンドプロンプトからは、フォルダを表示できるらしい。WindowsAPIを騙すという点で、rootkitとしての観点では進化したものとも言えるのだろう。本物のrootikitにするには、従来のようにDOSコマンドも偽装すればよいのだろう。

　しかも、今回の件はサーバー側だけでなく、USB接続のデバイスドライバに関わるものであれば、きわめて身近に起こりうる危険であることをSONYは示してしまったことになる。

　USB接続されるメディアでは、ドライバが勝手にインストールされるものが普通になり、初心者にとっても便利でよいのだが、同時に気持ち悪さも残る。最近ではUSBメモリを挿した途端にAutorun.infを生成して感染させるタイプのウイルスも出現しており、なかなか油断がならない。

USBメモリウイルスが増加、先祖返りする感染手法 (@IT)

　以前、ある留学生の人の母国語Windowsの入っているノートPCにUSBメモリを挿してから、自分のノートPCに挿したら、すぐにウイルス警告が鳴ったことがあった。どうもお国柄、あまりセキュリティの意識はないようだった。サポートに時間があるときならまだしも、忙しい最中にそんなことでrootkitのようなものが混入したりしたら、たまったものではない。

　SONYが不正利用対策のために使った手法がrootkitの手法であったとは、セキュリティ上の攻撃と防御とは、犯罪とその対策と同じことで、実は表裏一体のイタチごっこであることを改めて認識させられる。

　これまではサーバー管理者としてだけ心配していればよかったことだが、現在ではスパイウェアを介してインストールされるようなrootkitもあるらしい。今後はこんなソフトでも自ら進んで入れておかなければならなくなるのだろうか。

AVG Anti-Rootkit Free 1.1.0.42
AVG Anti-Rootkit Free