#4:Tripwireは必須である
Tripwireは、ファイルやディレクトリの現在の状態を、取得しておいたスナップショットと比較し、改ざんの有無をチェックするというソフトウェアである。ルートキットの主な目的として、悪意のあるソフトウェアを隠蔽するというものがある。このため、ルートキットはしばしば、ファイルやフォルダの名前を変更したり、よく似た名前のファイルやフォルダをインストールする。だが、Tripwireのようなツールを使用することで、こういった振る舞いをいつでも検出できるようになるわけだ。なお、Tripwireのインストールは、OSのインストール直後に行うことが重要である。ルートキットに感染した後でTripwireをインストールしても、期待した効果は上げられないだろう。
#5:メモリダンプの利用を検討する
これは他の方法に比べるとずっと難しいため、一般には公開されていないツールやプログラムを使用できる専門家に任されることがほとんどである。感染しているシステム(あるいは感染の疑いがあるシステム)のカーネルメモリダンプ(あるいは完全メモリダンプ)を取得することで、ルートキットの活動を検出できるようになる。こういったメモリダンプをデバッグツールで解析することになるわけだ。ルートキットは、こういった解析に対して自らの行動を隠蔽することができないため、検出されることになるのである。もちろんこの段階まできている場合、データを待避した後、再インストールを行うことになるはずだ。
予防策
ルートキットはマシンに感染するソフトウェアの中でも「特に厄介」なものである。最善の戦略は、ルートキットのインストールを防ぐソフトウェアを最初からインストールしておくことだろう。ルートキットによってもたらされる最大の問題は、感染時にデータの待避と再インストール作業が必要になることもあるという点にある。このため、取り得る予防策すべてを積極的に実施しておくようにするのがよいだろう。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
