情報の内容 |
セキュリティ関連ツール |
情報ソース |
Sysinternals |
報告日 |
2005/2/24 |
対象環境 |
Windows NT 4.0/Windows 2000/Windows XP/Windows
Server 2003 |
各種Windowsシステム管理ツールなどを無償公開しているSysinternalsが、クラッキング・ツールであるrootkitを検出する“RootkitRevealer”ツールを公開した。RootkitRevealerを使えば、Windowsシステムにrootkitが隠されていないかを検出できる。
一時的なサービス拒否攻撃や、愉快犯的なWebコンテンツの改ざんなどと異なり、ほかのシステムを攻撃するための踏み台探しや、金銭目当ての情報窃取などでは、攻撃者はできる限りシステムを自由に操り、同時に侵入の痕跡を残さないようにするために、時間をかけてターゲットとなるシステムを調査する。この際には、対策されずに放置され悪用が可能なセキュリティ・ホールの調査、侵入路がふさがれた場合でも出入りできるようにするためのバックドアの設置、自身の活動を隠蔽するログ改ざんなどを実施する。
こうしたクラッキングを効率的に実施するにはツールが必要だ。このためのクラッキング「七つ道具」のようなソフトウェア・ツール集を総称してrootkitと呼ぶ。アンダーグラウンドでは、さまざまなrootkitが開発され、インターネットからも入手可能になっている。
一般にrootkitを使ったシステムの調査にはかなりの時間がかかるので、その間、rootkitが発見されないように隠しておく必要がある。具体的な手法はまちまちだが、例えばアプリケーションによるOSのAPI呼び出し(ディレクトリ一覧のAPIなど)を横取りして、rootkitのファイルが存在しないように見せかけるものや、カーネル内部のプロセス・テーブルを改変して、rootkitのプロセスの存在を隠蔽するものなどがある。
RootkitRevealerは、このようなrootkitがシステムにインストールされていないかどうかを走査するツールだ。
RootkitRevealerは、ウイルス対策ソフトウェアのようなパターンマッチ方式ではなく、Windowsシステムやファイル・システム内部の整合性などを検査することで、rootkitが存在する可能性を検査する。パターン・ファイルは不要なので、オフライン環境でも実行できるし、未知のrootkitでも検出できる可能性がある。Windows
NT 4.0、Windows 2000、Windows XP、Windows Server 2003で実行が可能だ。ツールにはコマンドライン版とGUI版の2種類があり、用途や環境に応じて両者を使い分けられる。
 |
RootkitRevealer |
rootkitらしきプログラムがコンピュータに侵入していないかどうかを走査する。 |
特に、インターネット向けにサービスを提供しているサーバ、常時稼働しているクライアントPCなどでは、定期的にこのツールを実行して、システムに不審な兆候がないかどうかをチェックするとよいだろう。ただしRootkitRevealerによる検出も完全ではない。米国のコミュニティなどでは、検出から漏れるrootkitが具体的に指摘されている。あくまでシステム防衛の1つの手段として捉えるべきである。
|