ルートキットとは｜仕組み・対策・事例

概要

ルートキット（rootkit）とは、コンピュータに侵入した攻撃者やマルウェアの存在・活動の痕跡を隠蔽し、発見されないようにするためのツール群です。管理者権限（UNIXの「root」）を奪い、その状態を維持・隠すことから名づけられました。

ルートキット自体は直接破壊するわけではなく、「見つからないようにする」ことが目的です。プロセス・ファイル・通信・ログなどをOSから隠すため、感染に気づきにくく、長期間にわたって不正アクセスやバックドアを維持されてしまいます。

詳細（隠蔽の仕組み）

隠蔽する対象

• 不正プロセスやファイルを一覧に表示させない。
• 外部との不審な通信を隠す。
• 侵入の痕跡（ログ）を改ざん・削除する。
• OSの機能（システムコール等）を書き換えて検知ツールを欺く。

対策

• OS稼働中のスキャンでは隠蔽を見破れないことがあるため、外部の安全な環境（オフラインスキャン）から検査する。
• セキュアブートや改ざん検知（完全性チェック）で起動段階の不正を防ぐ。
• パッチ適用と最小権限で、そもそも管理者権限を奪われないようにする。
• 感染が判明した場合は、OSのクリーンインストールが確実な対応となることが多い。
• EDR・ログの外部保管で、痕跡消去に備える。

インシデント事例

製品に同梱されたルートキット

かつて、ある音楽CDのコピー防止機能がPCにルートキット的な隠蔽ソフトを無断でインストールし、セキュリティ上の脆弱性を生んだとして大きな問題になった事例があります。正規製品でも隠蔽技術が悪影響を及ぼすことを示しました。

標的型攻撃での長期潜伏

APT攻撃では、ルートキットで存在を隠しながら数か月〜数年にわたり潜伏し、機密情報を窃取し続ける事例が報告されています。「侵入に気づけない」こと自体が最大のリスクです。

試験での問われ方

• 「侵入の痕跡やマルウェアの存在を隠蔽するツールはどれか」→ ルートキット。
• 「ルートキットの検知が難しい理由」を問う問題。
• 「感染後の確実な対応」としてクリーンインストールを選ぶ問題。