ルートキットにはさまざまなものがあり、捕らえどころがないため、その検出や除去は困難となっている。本記事では、高まるルートキットの脅威と戦ううえで役に立つティップスを紹介している。
ルートキットとは、コンピュータのユーザーや管理者に知られることなく、そのコンピュータの管理者権限にいつでもアクセスできるようにするためのソフトウェアのことである。実際のところ、ルートキット自体は危険なものとは限らないものの、ルートキットによって存在を隠蔽されているソフトウェアやプロセスはほぼ間違いなく危険であると言える。また、ルートキットはウイルスとは異なり、コンピュータの管理者権限を獲得することが目的となっている。つまり、ルートキットはウイルスの父とも言える働きをすることにより、大きな損害を引き起こしかねない頭痛の種になっているというわけだ。ルートキットの主な目的は、技巧を凝らしてその姿を隠蔽するというものであるため、いったんシステムに入り込まれると、その検出や除去は困難を極めるのである。
とは言うものの、ルートキットの為すがままにされている必要はない。こういった厄介なソフトウェアに感染したとしても対処できるよう、準備しておくことができるのである。またそれだけではなく、そもそも感染しないようにすることもできるのだ。
#1:マシンを保護する
あらゆるルートキットを確実に阻止するというのは無理な話だ。しかし、だからと言ってマシンの保護をあきらめてもよいということにはならない。筆者が新たなLinuxシステムを手に入れた後で最初に行うことは、rkhunterのインストールである。このツールはルートキットに対する強固な防衛ラインとなる。もしもあなたがLinux以外のOSを使っているのであれば、AVG Anti RootkitやComboFixをはじめとした信頼できるツールを使うとよいだろう。
#2:侵入の兆しに注意しておく
ルートキットは侵入の成功をあからさまに誇示するようなことはしないものの、その侵入の兆しを察知する方法はいくつかある。あなたのマシンから大量のスパムが送信されてきているとの報告が複数の知人から寄せられた場合、ルートキットによってこっそり仕込まれたボットネットがあると疑うべきである。また、ウェブサーバを稼働させている場合、奇妙なリダイレクトが発生しているのであれば、あなたの懸念は「的中」しているのかもしれない。UNIXやUNIXライクなシステムを使用しているのであれば、実行可能ファイルやディレクトリ構造が改ざんされていないかどうか確かめてみてほしい。「ls /usr/bin」コマンドや「ls /usr/sbin」コマンドを実行してみて、通常のアプリケーション名ではないものがあった場合(通常のアプリケーション名に似た名前のファイルに特に注意が必要である)、ルートキットに感染してしまっている可能性は非常に高いと言えるだろう。もちろん、最も簡単な検出方法は、rkhunter(あるいは上記で紹介した類似ツール)を定期的に実行することである。
#3:電源を切る
感染を確認した場合、とりあえずそのマシンの電源を切るようにしてほしい!その後、ハードディスクを取り外し、それを別なシステム(Windows以外のシステムが望ましい)にマウントしたうえで、データを待避させる。OSの再インストールが必要となる場合もあるため、データの待避忘れがないように注意してほしい。とにかく、感染したシステムを稼働させ続けておくと、スパムボットのようなものが稼働している場合には特に、被害が拡大するという点に留意してもらいたい。
