Windowsのマスターブートレコードを狙ったルートキットに注意
翻訳校正:ラテックス・インターナショナル
セキュリティの専門家は米国時間1月9日、Windowsオペレーティングシステムのユーザーを狙った新種のルートキットに注意するように警告した。
このルートキットはMBR(マスターブートレコード)、つまりパーティションテーブルのプライマリパーティションエントリを格納しているハードディスクドライブの先頭セクタに隠れる。VerisignのiDefenseリサーチ部門によると、このルートキットは既存のMBRを上書きするために発見が非常に困難であるという。ルートキットとは、ユーザーに知られることなくコンピュータの「root」(管理者)権限を取得することを目的としたプログラムまたはプログラムの一群を指す。
Trend MicroおよびSunbeltは、特にエンドユーザーが利用可能なすべての「Windows Update」をシステムに適用している場合は感染率が低いようだと指摘する。
iDefenseによると、このMBRルートキットの実例は2007年12月中ごろに最初に報告され、12月17日の第1波には1800台のコンピュータが感染し、19日の第2波には3000台のコンピュータが感染した。22日にはコードが急激に広まり、iDefenseは2008年1月7日までに世界中で合計5000件の感染例を報告している。
現在のルートキットのコードは、理論的なステルスルートキットに関する2件の発表を参考にしているように思われる。1つは、eEyeセキュリティ研究員のDerek Soeder氏とRyan Permeh氏(PDFファイル)によるBlack Hat USA 2005における「Windows NT」マシンに関する発表であり、もう1つは独立系のセキュリティ研究者のNitin Kumar氏とVipin Kumar氏(PDFファイル)によるBlack Hat USA 2007における「Windows Vista」マシンに関する発表である。この発表で使用されている実演用コードと実際のMBRルートキットコードの比較については、GMERのサイトに掲載されている。GMERは、ルートキットを検出して削除するアプリケーションを開発している研究者のニックネームである。
感染は、ユーザーが感染したウェブサイトを閲覧したときに発生する。感染したサイトには複数のエクスプロイトをホスティングしているサーバにリンクするIFRAME(インラインフレーム)が含まれている。ユーザーのマシンが以下のエクスプロイトのいずれかに対して脆弱性を抱えている場合に感染する。
- Microsoft JVM ByteVerifyの脆弱性(MS03-011)
- Microsoft Data Access Components(MDAC)の脆弱性(MS06-014)
- Microsoft Internet ExplorerのVector Markup Languageの脆弱性(MS06-055)
- Microsoft XMLコアサービスの脆弱性(MS06-071)
GMERによると、このルートキットを検出するには、現在のMBRと保存済みのイメージを比較する必要があるという。比較した結果が同一でない場合は、そのマシンは感染している可能性が高い。ルートキットを削除するには感染しているシステムのMBRを感染していないバージョンのMBRに復帰させる必要がある。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
キーワード
関連ホワイトペーパー
-
インターネット経由でサーバの脆弱性を毎日診断!
『次世代型脆弱性検査サービス SiteScan2.0』 【インフォリスクマネージ株式会社】
-
WEBアプリケーションのセキュリティ:自動スキャンと手動による侵入テストの比較 【ウォッチファイア・ジャパン株式会社】
-
【技術資料】SmartDefenseテクニカルノート 【株式会社アズジェント】
-
プロアクティブなセキュリティによるワームの阻止 【株式会社アズジェント】
-
Juniper Networks SSGシリーズ ご説明資料 【株式会社日立システムアンドサービス】
関連製品
- ViaScope IPScan
私物、持込PCの社内ネットワークへの接続を制限する管理ツール
【アズジェント】 - HitachiSoft NetInsightll Firewall Suite
ログファイルをビジュアル化することにより、禁止ポートにアクセスを試みたユーザ等不正アクセスを効率的に発見
【アズジェント】 - PC認証ソフト MovaLock
携帯電話が「鍵」となるPC認証ソフト
【テラ】
セキュリティ トピックス
Operaが7件の脆弱性にパッチ:うち1件は非公開
Operaに7件の脆弱性を修正した新しいバージョンが公開された。修正された脆弱性の中には、任意のコードを実行される可能性のある、深刻度の高い脆弱性が含まれている。 2008/08/21 19:17 【Zero Day】
Androidのセキュリティチームがハッカーに協力要請
Googleが推進するモバイルプラットフォーム「Android」のセキュリティチームが、セキュリティコミュニティに対して協力を求め、責任ある態度で脆弱性の報告をするよう要請した。 2008/08/20 18:00 【Zero Day】
ホワイトペーパー
進行基準適用に向けてのプロジェクト管理のあり方
ConSentry Networks LANShieldシリーズのご紹介
『仕事に役立つ技術英語』
〜第3回 わかりやすい英語!〜第4回 簡潔な英語!
データセンタとサーバルームの動的な電力変動
データセンタ(サーバルームおよび電算室)の総冷却容量の検討イベント
- 株式会社KSK : ウェブアプリケーションテスト支援サービス無償セミナー・2008年08月22日
- 株式会社JMCリスクソリューションズ : プライバシーマーク基礎コース・2008年08月22日
- ミラポイントジャパン株式会社 : 経営革新、企業を支えるメールシステムのあるべき姿とは?・2008年08月22日
- 株式会社アイ・ピー・ビー : 国際訴訟対策支援セミナー:Eディスカバリの最新トレンドとチャレンジへの警戒・2008年08月22日
- 株式会社ジャストシステム : xfy 製造業向けソリューションセミナー・2008年08月22日
- 株式会社ブレインワークス : プライバシーマーク取得からのステップアップセミナー・2008年08月26日
- クオリティ株式会社 : 〜正しいIT資産管理は、PCセキュリティ統制の第1歩〜 QAW/QND Plus 管理者体験セミナー(ハンズオン/東京会場)・2008年08月26日
- クオリティ株式会社 : 【名古屋開催】ポリシ違反PCから企業を守る! ソフトウェアだけで簡易検疫 体験セミナー ・2008年08月27日
- クオリティ株式会社 : ポリシ違反PCから企業を守る! ソフトウェアだけで簡易検疫 体験セミナー・2008年08月27日
- 株式会社シーピーアイ・リバティー・算法 : 管理者必見!問題解決セミナー 〜STOP!情報漏洩:その対策、間違っていませんか?〜・2008年08月27日
プレスリリース
- 時空 : 名刺の管理、共有から活用まで!!『BusicaFE(ビジカ・エフイー)システム』製品案内サイト(http://www.busica.jicoo.com/)リニューアル!・2008年08月21日
- インテリジェント ウェイブ : インテリジェント ウェイブ、情報漏洩対策ソフトウェア「CWAT(シーワット)」の最新バージョン CWAT V4.0を発売・2008年08月21日
- アシスト : ゲーム・アミューズメントのパイオニア企業タイトーがアシスト提供の「NOREN」を採用・2008年08月21日
- 株式会社アイシーズ : 最大1,500円分のQuoカードがもれなく当たる! 資料請求キャンペーンを実施・2008年08月21日
- NECソフト : セキュアなメール環境を実現するメールセキュリティセミナー 〜メールのシンクライアント化と誤送信防止によりセキュリティレベルを向上!〜・2008年08月21日
- マイクロストラテジー・ジャパン : ビジネスインテリジェンス(BI)を使った業界別ソリューション(ケーブル・メディア・電気通信・公共)の概要 - 通信業界・2008年08月21日
- エイジア : エイジア、女性向けファッションアイテムのオンラインセレクトショップ「footone」運営の北陸ゴムにメール共有管理システムを提供・2008年08月21日
- キーテル : パスワードの受け渡しに特化したWEBサイト「パスワードメッセンジャー」をリニューアル。・2008年08月21日
- ドリーム・アーツ : ドリーム・アーツ、国内エンタープライズポータル市場において、 2年連続で市場シェア第2位を獲得・2008年08月21日
- NECソフト : 出来るところから始める統合ID管理セミナー 〜事例でわかる、統合ID管理への道のり〜・2008年08月21日
最新記事
- インテル、倍速新技術の冷却ファンを公開
- 「Internet Explorer 8」の最終リリースはどうやら11月
- Operaが7件の脆弱性にパッチ:うち1件は非公開
- エリアターゲティングって、ウェブ的に問題ある?(ZDNet Japanブログより)
- 【21日市況:後場】下落幅は99円の3日続落
- インテル、「Atom」の9月発売を計画--「Nehalem」の新機能も明らかに
- このアクセサリはiPhoneでは動作しません
- MS、写真から3D画像を作成する「Photosynth」を一般ユーザー向けに提供
- マイクロソフト、「Internet Explorer 8」にプライベート閲覧モードを追加へ
- 【21日市況:前場】下げ幅を縮め前場を終了
企画特集
ZDNet Japan ホスティング特集- 2008年夏のホスティングサービスのトレンドは何?
仮想化環境で求められるストレージの要件- それに応えるNetAppの実力とは?
Techno Exchange- 仮想化技術がグリーンITにもたらすもの
ZDNet Japan Green IT- サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ!
セキュリティ対策レベルテスト公開!- 自社のセキュリティのウイークポイントはドコ?
DELLが掲げる「新・仮想化アセスメントサービス」- 〜企業システムの仮想化環境の構築を支援〜
Webセキュリティ特集- Web2.0時代の脅威へ対抗するためのソリューションとは?
APC SOLUTIONS FORUM 2008をレポート- 電源、冷却の効率化によるエネルギー削減とは?
ブログ
ブログ RSS Feed
残暑お見舞い申し上げます。- 裏方の裏方日記〜日々是広報 2008/08/21 23:17
- その41:ジェスチャー4 〜ジェスチャー再生方法〜 Second Life 新世界的ものづくりのススメ
- LC2008: 発表者2次募集のお知らせ 日本Linux協会blog
- その後の僕とMac IT-Walker on ZDNet
- エリアターゲティングって、WEB戦略上 本当に大丈夫? 「ズームイン!IPアドレス」ちょっとドメインも
- builder by ZDNet Japanに移行します あとで読むRailsのススメ
- Mac OS X 10.5.2 update 猫科の手も借りたい
- バーチャルとリアルの境界線 大競争時代のBI活用術
- 私が「iPhone」をほしいと思わない理由 アジアIT通信
- builder blog log4day〜1人月からの脱却
- 脱線いたしま〜す 「モヤモヤがあっちへ飛んでいく」 真水不足のミッドウェイ
- 精一杯努力した結果の失敗なら仕方ない 現場からの「協働革新」
- キャストの真実 「Second Love Story」〜あの頃の僕たちに〜
- アプライアンス・サーバーは皆を幸せにする DIY的ITシステムのススメ
- MacPortsに乗り換えた Macでたしなむスクリプト言語
- tool editor: emacs(5) - ~/.emacs Admin.Mac
- オープンソースで起業の準備をしよう インサイドオープンソース
- 9X Problem 「エンタープライズ2.0」への道しるべ
- GoogleとAT&T、iPhoneからの検索リクエストにうれしい悲鳴 J. O'Gradyのアップルコア
- Google検索サイトにビデオ広告が登場 グーグリングGoogle
- 通信革命−NGNを使ったバーチャル取引 シリコンバレーの現場から
- 「スーパーマーケット・バンキング」の逆襲と「青物」の定義 エンタープライズニュースの読み方
- 真の「オープンソース候補」はだれか? ZDNet.com オープンソースブログ
- SOAスイートの誘惑に打ち勝つ! ZDNet.com SOAブログ
- 事業継続マネジメントシステム認証制度の賢い作り方(2) ITセキュリティー下学上達
- iPhone 3Gでビジネス通話とプライベート通話を使い分ける IP Telephony最前線
- CSKに聞く! ITIL成否を分ける要因「なぜPDCAが回らない!?」 (2) ITIL:インサイドストーリー
注目トピックス From CNET Japan
PRADA Phone開封の儀--iPhoneと比べてみました - NTTドコモから発売されている「PRADA Phone by LG」を編集部が入手した。同じタッチパネルケータイであるiPhoneとはどう違うのか、比べながら箱を開けてみた。
iPhoneとPRADA Phone、入力インターフェースはどう違うか - この夏に発売された、注目のタッチパネルケータイ「iPhone 3G」と「PRADA Phone by LG」。いずれもタッチパネルの入力方法にさまざまな工夫を凝らしている。
毎日新聞社内で何が起きているのか(上) - 電凸が引き起こしたすさまじい破壊力 毎日新聞の英語版サイト「毎日デイリーニューズ」が女性蔑視の低...