ルートキット（Rootkit）とは？仕組み・対策・事例をわかりやすく解説

📖

Overview

ルートキット（Rootkit）とは、コンピュータシステムのOS深部に潜伏し、自身や他のマルウェアの存在を隠蔽しながら、攻撃者に対して特権アクセス（root/管理者権限）を持続的に提供するためのツール群です。名前の由来は、Unix/Linuxの最高権限である「root」と、ツールの集合を意味する「kit」の組み合わせです。

ルートキットの最大の特徴は、その検知回避能力にあります。OSのシステムコールやAPIをフック（横取り）することで、ファイルの存在、ネットワーク接続、実行中のプロセスなどをセキュリティソフトやシステム管理者から隠蔽します。これにより、感染後の発見が極めて困難となり、長期間にわたって不正アクセスが継続されるリスクがあります。

近年では、OSの起動プロセスよりも先に読み込まれるブートキットや、ハードウェアのファームウェアに感染するUEFIルートキットなど、より低レイヤーに潜伏する高度な亜種が確認されています。これらはOSの再インストールやハードディスクの交換でも除去できない場合があり、国家レベルのAPT攻撃で使用されることが多い脅威です。

🔬

Details

ルートキットの種類

ユーザーモード・ルートキット：ユーザー空間で動作し、APIの呼び出しをインターセプトしてファイルやプロセスの情報を改ざんする。カーネルモードより検知しやすいが、実装が容易なため広く使用されている
カーネルモード・ルートキット：OSのカーネルレベルで動作し、システムコールテーブルやカーネルオブジェクトを直接改ざんする。最高権限で動作するため、ユーザーモードのセキュリティソフトでは検知が極めて困難
ブートキット：MBR（Master Boot Record）やVBR（Volume Boot Record）に感染し、OSが起動する前に読み込まれる。OSの起動プロセス全体を制御でき、セキュアブートが無効な環境では検知がほぼ不可能
ファームウェア・ルートキット：BIOS/UEFIやハードディスクのファームウェアに感染する。OSの再インストールやハードディスクの初期化でも除去できず、ハードウェアの交換が必要になる場合がある
ハイパーバイザー型ルートキット：仮想化技術を悪用し、感染したOSの「下」にハイパーバイザーとして自身を挿入する。正規のOSは仮想マシン上で動作しているように見えるため、OS内部からの検知は原理的に不可能に近い

検知困難な理由

ルートキットが検知を回避できる主なメカニズムは以下の通りです。

APIフッキング：ファイル一覧やプロセス一覧を取得するAPIの戻り値を改ざんし、自身に関連する情報を除外する
DKOM（Direct Kernel Object Manipulation）：カーネルが管理するプロセスリストやドライバリストを直接操作し、ルートキット関連のエントリを削除する
フィルタドライバ：ディスクI/Oやネットワーク通信をフィルタリングし、ルートキット関連のデータを隠蔽する
コード署名の偽装：正規のドライバに偽装した署名を使用し、ドライバ検証をバイパスする

対策手法

ルートキットの検知と防御には、通常のアンチウイルスとは異なるアプローチが必要です。

Secure Boot / UEFI Secure Boot：起動プロセスで署名されたコードのみを実行することで、ブートキットやファームウェアルートキットの読み込みを防止する
TPM（Trusted Platform Module）：ハードウェアレベルでの整合性検証により、起動プロセスの改ざんを検知する
クロスビュー検知：OSのAPIを通じて取得した情報と、ディスクの生データを直接読み取って得た情報を比較し、不一致があればルートキットの存在を疑う
メモリフォレンジクス：VolatilityやRekallなどのツールを使用してメモリダンプを解析し、隠蔽されたプロセスやドライバを発見する

🛡️

Security Measures

01
Secure Bootを有効にする：UEFI Secure Bootを必ず有効にし、署名されていないブートローダーやドライバの読み込みを防止してください。これによりブートキットやファームウェアルートキットの感染リスクを大幅に低減できます。
02
OSとファームウェアを最新の状態に保つ：カーネルの脆弱性はルートキットの侵入経路となります。OSのセキュリティパッチを迅速に適用し、BIOS/UEFIファームウェアも定期的に更新してください。
03
カーネルモードのコード署名を強制する：Windows環境ではDriver Signature Enforcement（DSE）を有効にし、署名されていないカーネルドライバのロードを禁止してください。テストモードの無効化も重要です。
04
EDRソリューションの導入：従来のアンチウイルスに加えて、EDR（Endpoint Detection and Response）を導入してください。EDRはカーネルレベルの異常な挙動を検知でき、ルートキットのフッキング活動やDKOM操作を発見する能力があります。
05
定期的な整合性チェックの実施：重要なシステムファイルやカーネルモジュールのハッシュ値を定期的に検証してください。AIDE（Advanced Intrusion Detection Environment）やOSSECなどのファイル整合性監視ツールの導入が有効です。
06
感染時はクリーンインストールを実施する：ルートキットの感染が確認された場合、OSの上書きインストールではなく、ディスクの完全フォーマットとクリーンインストールを実施してください。UEFIルートキットの場合は、ファームウェアの再フラッシュやハードウェアの交換も検討する必要があります。

⚠️

Incidents

📋 Sony BMG ルートキット事件（2005年）

2005年、ソニーBMG（現ソニー・ミュージックエンタテインメント）が音楽CDのコピー防止のために、CDをPCに挿入すると自動的にルートキットがインストールされる仕組みを導入していたことが発覚しました。このルートキットはXCP（Extended Copy Protection）と呼ばれ、Windowsのシステムコールをフックして自身のファイルやプロセスを隠蔽していました。

セキュリティ研究者マーク・ルシノビッチ氏がこのルートキットを発見し公表したことで大きな騒動となりました。このルートキットは自身の隠蔽機能を悪用するマルウェアの温床にもなり得るものでした。ソニーBMGは最終的にCDのリコールと集団訴訟の和解に追い込まれ、正規企業によるルートキット技術の使用が大きな社会問題となりました。

📋 TDL-4 ブートキット（2011年）

TDL-4は、2011年時点で「破壊不能」と評されたボットネットの基盤となるブートキットです。MBR（Master Boot Record）に感染してOSより先に起動し、カーネルモードで動作するルートキット機能を備えていました。世界中で450万台以上のPCに感染しました。

TDL-4は暗号化された独自のファイルシステムを持ち、P2Pネットワーク経由でC&C通信を行うため、従来のテイクダウン手法が通用しませんでした。また、自身以外のマルウェアを感染PCから除去する機能まで備えており、感染リソースの独占を図っていました。このルートキットの存在は、起動プロセスの保護（Secure Boot）の重要性を業界に再認識させました。

📋 LoJax UEFIルートキット（2018年）

2018年、ESETの研究者が、ロシア系APTグループ「Fancy Bear（APT28/Sednit）」によって使用された世界初の実環境でのUEFIルートキット「LoJax」を発見しました。LoJaxはコンピュータのUEFIファームウェアに感染し、OSの起動時にマルウェアを自動的にインストールする機能を持っていました。

UEFIファームウェアはハードディスクとは独立したフラッシュメモリに格納されるため、OSの再インストールやハードディスクの交換では除去できません。LoJaxは東欧の政府機関を標的としたサイバースパイ活動に使用されており、国家主導のAPT攻撃がハードウェアレベルにまで及んでいることを示す画期的な発見でした。

🔗