ルートキット

情報じょうほうセキュリティと サイバーセキュリティ
対象たいしょう別べつカテゴリ
ネットワーク・セキュリティ インターネット・セキュリティ (英語えいご版ばん) コンピュータセキュリティ モバイル・セキュリティ（英語えいご版ばん） 車載しゃさいセキュリティ（英語えいご版ばん）
隣接りんせつ領域りょういき
安全あんぜん保障ほしょう
脅威きょうい
ウェブシェル（英語えいご版ばん） エクスプロイト 権限けんげん昇格しょうかく攻撃こうげき（英語えいご版ばん） DoS攻撃こうげき サイバー犯罪はんざい・サイバー戦争せんそう セキュリティホール スクリプトキディ スパム 盗聴とうちょう フィッシング スミッシング マルウェア キーロガー コンピュータウイルス スパイウェア トロイの木馬もくば バックドア ボット ランサムウェア ロジックボム ワーム ワイパー ルートキット
防御ぼうぎょ
アクセス制御せいぎょ アプリケーション・セキュリティ（英語えいご版ばん） アンチウイルスソフトウェア セキュアOS セキュア・コーディング（英語えいご版ばん） セキュリティ・バイ・デザイン（英語えいご版ばん） セキュリティ・バイ・デフォルト（英語えいご版ばん） 暗号あんごう 侵入しんにゅう検知けんち・防止ぼうしシステム データ中心ちゅうしん型がたセキュリティ（英語えいご版ばん） 認可にんか 認証にんしょう 多た要素ようそ認証にんしょう ファイアウォール ウェブアプリケーションファイアウォール モバイルセキュアゲートウェイ（英語えいご版ばん） ランタイムアプリケーション自己じこ保護ほご（英語えいご版ばん）
表ひょう 話はなし 編へん 歴れき

ルートキット（rootkitあるいはroot kit）は、コンピュータシステムへのアクセスを確保かくほした後のちに、第三者だいさんしゃ（通常つうじょうは侵入しんにゅう者しゃ）によって使用しようされるソフトウェアツールのセットである。これらのツールには、作動さどう中ちゅうのプロセスやファイル、システムデータを隠蔽いんぺいする機能きのうがあり、ユーザに気付きづかれないように侵入しんにゅう者しゃがシステムへのアクセスを維持いじすることを支援しえんする。

ルートキットは、2005年ねんのSony BMG CD XCP問題もんだいで争点そうてんとなり、この事件じけんを契機けいきに、技術ぎじゅつコミュニティのみならず一般いっぱん大衆たいしゅうにもルートキットの概念がいねんが広ひろく知しられるようになった。

ルートキットという言葉ことばは元々もともと、侵入しんにゅう者しゃがシステムアドミニストレータにシステムを確認かくにんされても"root"権限けんげんを保持ほじし続つづけるために、通常つうじょうなら表示ひょうじされる侵入しんにゅうの痕跡こんせきを隠かくすようにリコンパイルされたUnixのソフトウェア群ぐん、例たとえば"ps"、"netstat"、"w"、"passwd"といったツールを指さしていた。

現在げんざいでは、この言葉ことばはUnix系けいOSに限かぎらず、Microsoft Windowsなどの非ひUnix系けいOS（"root"というアカウントは存在そんざいしないが）で、同様どうようのタスクを実行じっこうするツールにも広ひろく用もちいられている。

典型てんけい的てきなルートキットは、ログオンやプロセス、ファイル、ログを隠蔽いんぺいする。また、端末たんまつやネットワーク、キーボードからのデータ入力にゅうりょくを傍受ぼうじゅすることもある。多おおくの場合ばあい、ルートキットはトロイの木馬もくばでもある。

ルートキットは、しばしば侵入しんにゅうしたシステムを悪用あくようするためのユーティリティを隠かくす目的もくてきで使用しようされ、システムへの再さい侵入しんにゅうを容易よういにする「バックドア」と呼よばれるユーティリティが含ふくまれることがある。例たとえば、ルートキットは特定とくていのネットワークポートに接続せつぞくした際さいにシェルを起動きどうするアプリケーションを隠蔽いんぺいすることがある。また、カーネルルートキットも同様どうようの機能きのうを持もつ場合ばあいがあり、バックドアが非ひ特権とっけんユーザによって起動きどうされたプロセスを、通常つうじょうは特権とっけんユーザにしか許ゆるされない権限けんげんで動作どうささせることを可能かのうにすることがある。さらに、システムを侵害しんがいするための他ほかのあらゆる種類しゅるいのツールもルートキットによって隠蔽いんぺいされる可能かのう性せいがあり、これには侵入しんにゅうしたコンピュータから他たのシステムへのさらなる攻撃こうげきを支援しえんするスニファやキーロガーなどのツールが含ふくまれる。

侵入しんにゅうされたコンピュータの一般いっぱん的てきな悪用あくよう方法ほうほうとして、さらなる攻撃こうげきの踏ふみ台だいとして利用りようされることがある。これは、攻撃こうげきが攻撃こうげき者しゃからではなく、侵入しんにゅうを受うけたシステムやネットワークから発はっせられているかのように見みせかけるために行おこなわれる。このようなツールには、DoS攻撃こうげきツールや、チャットセッションの中継ちゅうけい、電子でんしメールでのスパム攻撃こうげきを行おこなうツールがある。

商用しょうようCDでデジタル著作ちょさく権けん管理かんり（DRM）の一環いっかんとしてルートキットが用もちいられた例れいとして、Sony BMG CD XCP問題もんだいが挙あげられる。

ルートキットは大別たいべつして二に種類しゅるいがある。カーネルレベルのものとアプリケーションレベルのものである。カーネルレベルのルートキットはカーネルコードに追加ついかコードを加くわえるか、もしくは一部いちぶのカーネルコードを改造かいぞうされたコードで置換ちかんするかもしくはその両方りょうほうを行おこなうことによってコンピュータシステムに設置せっちされたバックドアを隠蔽いんぺいするのを助たすける。これはしばしばデバイスドライバもしくはローダブルモジュール、例たとえばLinuxならLinux Loadable Kernel Module、Windowsならデバイスドライバという形かたちでカーネルに新あたらしいコードを追加ついかすることによって行おこなわれる。カーネルルートキットはよくシステムコールにパッチをあてたりフックしたり置換ちかんしたりして攻撃こうげき者しゃの情報じょうほうを隠蔽いんぺいする。アプリケーションレベルルートキットは普通ふつうのアプリケーションをトロイが仕込しこまれた偽物にせものに置換ちかんしたり、既存きそんのアプリケーションの振舞ふるまいをフックやパッチや挿入そうにゅうコードやその他たの手段しゅだんで改造かいぞうしたりする。カーネルルートキットは検出けんしゅつ困難こんなんなので特とくに危険きけんである（特とくにメモリ管理かんりコアのページテーブルを操作そうさして隠蔽いんぺいするもの）。

• FU Rootkit
• SuckIT
• T0rn
• Ambient's Rootkit (ARK)
• Hacker Defender
• SonyのFirst 4 Internet XCP DRM [1]
• nProtect GameGuard
• Alureon

あらゆるルートキット検出けんしゅつプログラムには、それが疑うたがわしいシステム上じょうで動作どうさする限かぎり、それにつきものの制約せいやくがある。それは、ルートキットはシステム上じょうの全すべてのプログラムが頼たよっているライブラリやツールの多おおくを修正しゅうせいしてしまうプログラムだということである。あるルートキットは動うごいているカーネルを（Linuxや多おおくのUNIXライクなOSではローダブルモジュールを、MS Windowsなどではおそらくは仮想かそうデバイスドライバなどを通つうじて）修正しゅうせいする。ルートキット検出けんしゅつの根本こんぽん的てき問題もんだいは今いま動うごいているオペレーティングシステムが信用しんようできないということにある。い替いかえれば、全すべての作動さどう中ちゅうのプロセスの表示ひょうじやディレクトリの中なかの全すべてのファイルのリストの表示ひょうじの要求ようきゅうといった行為こういの結果けっかが、元々もともとの設計せっけい者しゃが意図いとしたような振舞ふるまいであると信用しんようできないということである。

もっとも信頼しんらいできる最良さいりょうのルートキット検出けんしゅつの手段しゅだんは、感染かんせんの疑うたがいのあるコンピュータをシャットダウンして、他たのメディアから（例たとえばレスキューCD-ROMやUSBから）起動きどうしてストレージを検査けんさすることである。動うごいていないルートキットはその存在そんざいを隠かくすことができず、ほとんどの確立かくりつしたアンチウイルスプログラムは（おそらくルートキットによって修正しゅうせいされているはずの）標準ひょうじゅん的てきなOSコールと低ていレベルのクエリーに頼たよるルートキットを検出けんしゅつ可能かのうである。なぜならそれらは信頼しんらい性せいを保たもっているはずだからである。もし何なにか違ちがいがあればルートキット感染かんせんが想定そうていされる。ルートキットは検査けんさが終了しゅうりょうするまで動うごいているプロセスを監視かんしして自みずからの隠蔽いんぺい行動こうどうを停止ていしすることで、ルートキットスキャナーに引ひっかからない、ステルス機能きのうのないマルウェアを装よそおうことで自みずからを守まもろうとすることもある。

セキュリティベンダはルートキット検出けんしゅつを既存きそんのアンチウイルス製品せいひんに統合とうごうするソリューションを構想こうそうしている。ルートキットがスキャン中ちゅうに自分じぶんを隠かくそうとすれば、ステルス検出けんしゅつによって見分みわけられる。もし一時いちじ的てきにシステムからアンロードしようとするならば、今いままでのアンチウイルスソフトがパターンファイルによって発見はっけんするだろう。この統合とうごうされた防御ぼうぎょによって、ルートキットにメモリからセキュリティソフトウェアを強制きょうせい的てきに削除さくじょし、実質じっしつ的てきにアンチウイルスソフトを殺ころしてしまう反撃はんげき機構きこう(retro routine)を攻撃こうげき者しゃが実装じっそうすることを余儀よぎなくされる。

ルートキットを検出けんしゅつできるプログラムはいくつかある。Unix系けいのシステムでもっとも有名ゆうめいなものを二ふたつ挙あげるならchkrootkitとrkhunterだろう。Windowsプラットフォームで個人こじん用ようでなら無償むしょうで使用しようできるステルススキャナーとしてはBlacklightというソフトがベータ版ばんとしてF-Secure社しゃのWebsiteからダウンロードできる。他たのWindows用よう検出けんしゅつソフトとしてはRootkitRevealerというソフトがSysinternalsから入手にゅうしゅできる。これはいまある全すべてのルートキットをOSの返かえす一覧いちらんと実際じっさいにディスクそれ自身じしんから読よみ出だした一覧いちらんとを比較ひかくすることで検出けんしゅつすることができる。ただし、いくつかのルートキットはこのプログラムを隠蔽いんぺい先さきから外はずし始はじめ、実質じっしつ上じょう、二ふたつの一覧いちらんの違ちがいを無なくすことで検出けんしゅつソフトによって表示ひょうじされないようにしてきている。しかしrootkitrevealer.exeというファイル名めいをランダムな名前なまえに変更へんこうすることでこれは対処たいしょできる。この機能きのうは最新さいしんのRkdetectorのリリースにも含ふくまれている。

ルートキットの除去じょきょが事実じじつ上じょう禁止きんしされているくらい非ひ実用じつよう的てきなものだとする一定いっていの意見いけんが存在そんざいする。たとえルートキットの正体しょうたいと特性とくせいがわかっていても、必要ひつような技術ぎじゅつや経験けいけんをもつシステム管理かんり者しゃの時間じかんと労力ろうりょくはゼロからオペレーティングシステムをインストールすることに費ついやしたほうがましだというものである。「現存げんそんするルートキットは発見はっけんされたとしてももっと除去じょきょしづらいように作つくることはできたはずだと思おもうが、そうするだけの充分じゅうぶんな動機どうきづけはないように思おもう。なぜなら経験けいけんあるシスアドがルートキットで汚染おせんされたシステムを見みつけた時ときの典型てんけい的てきな反応はんのうは、データをセーブして再さいフォーマットをかけることだからだ。これはルートキットが良よく知しられていて100%削除さくじょ可能かのうである場合ばあいですらそうだ」Rootkit Question

システムがオンラインの時ときに他たのファイルシステムドライバを用もちいてルートキットを削除さくじょする方法ほうほうが存在そんざいする。Rkdetector v2.0はシステムが作動さどう中ちゅうの時ときに自分じぶん自身じしんのNTFSもしくはFAT32ファイルシステムドライバを用もちいて隠かくしファイルを削除さくじょする方法ほうほうを実装じっそうしている。一度いちど消去しょうきょされシステムが再さい起動きどうされると、データが壊こわれてしまうためルートキットは動作どうさしなくなる。

コンピュータウイルスとルートキットの鍵かぎとなる違ちがいは増殖ぞうしょくの仕方しかたにある。ルートキットと同様どうように、コンピュータウイルスはシステムの中核ちゅうかくソフトウェアコンポーネントを修正しゅうせいし、「感染かんせん」の隠蔽いんぺいを試こころみたり攻撃こうげき者しゃにある種しゅの機能きのうやサービスを提供ていきょうしたりするコード（ウイルスの「ペイロード」）を追加ついかする。

ルートキットの場合ばあい、ペイロードはルートキット（システムへと侵入しんにゅうしたソフトウェア）の一貫いっかん性せいを維持いじしようとすることがある --- 例たとえばルートキットのpsコマンドは実行じっこうされるたびにシステムのinitやinetdのコピーをチェックして、それらがのっとられたままであることを確認かくにんし、必要ひつようなら「再さい感染かんせん」を行おこなうかもしれない。ペイロードの残のこりの部分ぶぶんの目的もくてきは、侵入しんにゅう者しゃがシステムを制御せいぎょ下かに置おき続つづけられるようにすることである。システムの制御せいぎょは一般いっぱんに、ハードコードされたユーザ名めい／パスワードの組くみ、隠かくされたコマンドラインスイッチ、もしくは秘密ひみつの環境かんきょう変数へんすう設定せっていといったバックドアを介かいして行おこなわれる。バックドアにより、のっとられていないプログラムが提供ていきょうするはずの正常せいじょうなアクセス制御せいぎょポリシーを覆くつがえすのである。いくつかのルートキットはポートノッキングチェックをinetdやsshdといった既存きそんのネットワークデーモン（サービス）に加くわえたりする。

コンピュータウイルスはどのような種類しゅるいのペイロードでも運はこべるが、それに加くわえてコンピュータウイルスは他たのシステムへの伝播でんぱをも試こころみる。一般いっぱんにルートキットのすることはひとつのシステムの制御せいぎょの維持いじに限かぎられている。

自動的じどうてきにネットワークをスキャンして脆弱ぜいじゃく性せいのあるシステムを探さがし、脆弱ぜいじゃく性せいをついてシステムをのっとるプログラムもしくは一いち揃ぞろいのプログラムはコンピュータワームと呼よばれる。またもっと受動じゅどう的てきに動作どうさする形かたちのコンピュータワームもあり、ユーザ名めいとパスワードを盗聴とうちょうしてそれを使つかってアカウントをのっとり、そうして得えたアカウントのそれぞれに自分じぶん自身じしんのコピーをインストールする（そして普通ふつうはのっとったアカウント情報じょうほうをある種しゅの隠かくれチャネルを通つうじて侵入しんにゅう者しゃへ送おくる）。

勿論もちろん混こん成型せいけいも存在そんざいする。ワームはルートキットをインストールできるし、ルートキットはひとつないしそれ以上いじょうのワームやスニファやポートスキャナのコピーを含ふくんでいるかもしれない。ウイルスであると同時どうじにワームであるようなマルウェアも存在そんざいする。こうした言葉ことばは全すべて使つかわれ方かたがある程度ていど重かさなっているものであり容易よういに合成ごうせいされるものでもある。

システム攻撃こうげき者しゃによって利用りようされるほとんどのソフトウェアと同様どうように、多おおくの実装じっそうが共有きょうゆうされてインターネットで容易よういに入手にゅうしゅ可能かのうになっている。侵入しんにゅうされたシステムで、一般いっぱんに入手にゅうしゅできる洗練せんれんされたルートキットが経験けいけんの乏とぼしいプログラマによって書かかれたとおぼしい粗雑そざつなワームもしくは攻撃こうげきツールを隠かくしているのを見みるのは珍めずらしいことではない。

インターネットで入手にゅうしゅ可能かのうなほとんどのルートキットは概念がいねん実証じっしょう(proof of concept)のために作つくられたものである。それらはコンピュータシステムの中なかに何なにかを隠かくす新あたらしく実験じっけん的てきな手法しゅほうの実用じつよう性せいを証明しょうめいするために作つくられた。しかし実験じっけん的てきであるために、しばしばステルス性せいのために最適さいてき化かされていない。そうしたルートキットで攻撃こうげきを行おこなうと、大変たいへんに効果こうか的てきであったりする。しかし発見はっけんされた時とき、例たとえばCDのような信頼しんらいできるメディアからオペレーティングシステムが起動きどうされたような場合ばあいには、しばしば非常ひじょうに明瞭めいりょうな存在そんざいの痕跡こんせきを残のこす。例たとえば、「rootkit」といった名前なまえのファイルをコンピュータシステム上じょうのありがちな場所ばしょに残のこすなどである。

• マルウェア
• コンピュータウイルス
• トロイの木馬もくば (ソフトウェア)
• キーロガー

この節ふしの外部がいぶリンクはウィキペディアの方針ほうしんやガイドラインに違反いはんしているおそれがあります。 過度かどまたは不適切ふてきせつな外部がいぶリンクを整理せいりし、有用ゆうようなリンクを脚注きゃくちゅうで参照さんしょうするよう記事きじの改善かいぜんにご協力きょうりょくください。

• www.antirootkit.com (Rootkit Removal Software)
• Linux Kernel Rootkits
• analysis of the T0rn rootkit
• WindowsとLinuxのルートキットとルートキット検出けんしゅつソフトウェア
• ウイルスによって投下とうかされたルートキットの例れい
• Anti-trojan.org (トロイ系けいルートキットと除去じょきょの情報じょうほう)
• Strider GhostBuster Rootkit Detection
• Please stop flaming us
• Sony, Rootkits and Digital Rights Management Gone Too Far (Sony DRMルートキットについてのMark Russinovichの最初さいしょのブログエントリ)
• Steve Gibson's Security Now! Episode #9 (ルートキット)
• Steve Gibson's Security Now! Episode #12 (ルートキット)
• wikiHow - How to Protect Yourself from Sony DRM Rootkit Malware

• BOClean Privacy Software Corporation (Windowsのセキュリティとプライバシー保護ほご)

• Blacklight F-Secure (Windows/Linuxセキュリティ)
• Security Task Manager Neuber Software (Windowsユーティリティ)
• TaskInfo Igor Arsenin (Windowsユーティリティ)
• UnHackMe Greatis Software (Windowsセキュリティ、ユーティリティおよび開発かいはつ)
• TrojanHunter Mischel Internet Security AB (Windowsセキュリティ)
• ProcessGuard Diamond Computer Systems Pty. Ltd. (Windowsセキュリティとプライバシー保護ほご)
• 様々さまざまなWindows/Linuxのセキュリティ/アンチセキュリティダウンロード (ドイツのハッカーグループ本拠地ほんきょちである) www.egocrew.de より

• chkrootkit Nelson MuriloとKlaus Steding-Jessen (UNIX/Linuxセキュリティ)
• Rootkit Hunter Rootkit.nl (UNIX/Linux管理かんり)
• RootkitRevealer Sysinternals (Windows管理かんり)
• FLISTER joanna@invisiblethings.org (Windows 2000/XP/2003; ユーザモードおよびカーネルモードのWindowsルートキットによって隠かくされたファイルを検出けんしゅつするproof-of-conceptコード)
• klister "joanna" (probably joanna@invisiblethings.org) (Windows 2000/XP/2003)
• IceSword "pjf_" (こちら がpjf_とのインタビュー)
• RootKit Hook Analyzer Resplendence Software Projects (Windows管理かんりとセキュリティ)

注ちゅう "MoreBandwidthPls"[2][3] はhttp://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html、 http://www.technutopia.com/forum/showthread.php?t=1321 と http://en.wikinews.org/wiki/Sony's_DRM_protected_CDs_install_Windows_rootkits で Sony XCP DRMのルートキットの検出けんしゅつソフトを書かき http://downloads.technutopia.com/antivirus/SonyDRMxcpRootkitRevealer.exe で公開こうかいすると言いっていたが、彼かれは手てを引ひいたようである。

• Butler, Jamie and Hoglund, Greg: Rootkits: Subverting the Windows Kernel. Addison Wesley, 2005. ISBN 0321294319
• 渡辺わたなべ勝弘かつひろ 伊原いはら秀明ひであき 不正ふせいアクセス調査ちょうさガイド—rootkitの検出けんしゅつとTCTの使つかい方かた オライリー・ジャパン 2002 ISBN 4873110793