「rootkit」を使った新型トロイの木馬、既存技術では検知困難--セキュリティ企業が警告

　巧妙に姿を隠す新種の「トロイの木馬」が出現したことで、一部のセキュリティ研究者は、ウイルスとの戦いにおける新たな1章が始まったと述べている。

　SymantecとF-Secureがそれぞれ「Rustock」、「Mailbot.AZ」と名付けたこの新種の悪質なプログラムは、セキュリティソフトウェアが使用するウイルス検知技術を回避する手法「rootkit」を使っていることを、SymantecとF-Secureが最近の分析の中で明らかにした。

　Symantecのセキュリティ対応担当エンジニアElia Florio氏は6月末、あるブログの中で「これは次世代rootkitの誕生と考えられる」と書いた。「Rustock Aは古い手法に新しい発想を組み合わせて出来ている。その結果、一般的に使われているrootkit検知技術の多くでは検知できない悪質なソフトウェアが作り出されている」（Florio氏）

　rootkitは新たな脅威と考えられている。ソフトウェアを隠すためにシステムに変更を加えるのに使われるが、そのソフトウェアは必ずしも良いソフトウェアとは限らない。RustockやMailbot.AZの場合は、トロイの木馬を隠すためにrootkit技術が使われる。不正侵入したトロイの木馬は、システム上にバックドアを作り、システムを攻撃者の意のままに操れるようにしてしまう、とSymantecは説明する。

　セキュリティソフトウェアメーカーと競争を続ける中で、この最新のrootkitを開発した人物は、検知技術の仕組みを十分に研究して開発を始めたようだと、McAfeeのウイルス研究マネージャーCraig Schmugar氏は語る。MacAfeeはこの悪質なソフトウェアを「PWS-JM」と呼んでいる。

　「セキュリティ企業は悪者より一歩先に居続けようと努力しているが、悪者はセキュリティ企業から入手できる技術を既に手にしている」と同氏は言う。「この悪質なソフトウェアを本当に強固なものとするために、多数の技術が組み込まれている。すべてのドアを非常に上手く閉ざしている」（Schmugar氏）

　侵入を隠す技術を組み合わせた結果、Rustockは「インストールされると不正侵入したコンピュータ上で完全に見えなく」なり、それはテスト版のWindows Vistaを使っているPCでも同じだとSymantecのFlorio氏は書く。「悪質なソフトウェアの隠ぺい技術の進化例だと考えている」（Florio氏）

　検知を回避する際に、Rustockはシステム処理を行わず、ドライバとカーネルスレッドの内部でコードを走らせると、Florio氏。また、隠しファイルの代わりに代替データストリームを使い、APIを使用しないようにする。Florio氏の記述によると、今日の検知ツールは、システム処理や隠しファイル、そしてAPIへの働きかけをチェックしている。

　その上、Rustockは、rootkit検知システムによるカーネル構造の一部に対するインテグリティーのチェックと、隠しドライバの検知にもひっかからないとFlorio氏は書いている。さらに、今回のrootkitが使用するSYSドライバは複数の形を持ち、コードを次々と変化させると、同氏ブログにはある。

　しかし、このrootkitと悪質なトロイの木馬の攻撃に遭う確率は少ないと、専門家は言う。「この話がブログで取り上げられているのは、このソフトウェアが大きく広まっているからではなく、既存のrootkit検知ツールに挑戦を突きつけるものだからだ」とSchmugar氏。SymantecもF-Secureも、この悪質なソフトウェアは広まっていないと伝えた。