rootkit

読み:ルートキット
外語:rootkit 英語
品詞:名詞

不正アクセスを行なった者が、その痕跡を消したり隠蔽したりするためのツール群のこと。

トップへ

概要

例えば、クラッカーが一度侵入に成功したシステムを今後も利用できるよう、容易ログイン出来るような仕組み(バックドア)を作ることがある。

しかし、UNIXであればpsコマンドやlsコマンドなどで調べると、怪しげなプロセスなりファイルなりがあることが、(正当な)管理者にわかってしまう。

そのため、クラッカーはこういったファイルを表示しないように細工したpsやlsコマンドを本来のそれらのコマンドの変わりに置くことがある。これらのコマンド群のセットをrootkitと呼ぶ。

ログの改竄以外に改造されたシステムコマンド(netstat、ls、ps、find、locate、syslogdなど)が含まれ、またバックドア、IRCd、他のホストやネットワークを攻撃するためのネットワーク盗聴用スニファーやDoSツールなどが含まれることもある。

トップへ

代表的なrootkit

代表的なものに、次のようなものがある。

  • LinuxRootkit
  • t0rnkit

一方、これらがインストールされているかどうかチェックするためのツールとして、次のようなものが知られる。

  • chkrootkit

最近ではカーネルを細工するタイプのrootkitも出現している。普通のrootkitであればlsやps、netstatなどのコマンドをリムーバブルディスクから起動すれば正しい表示が得られるが、カーネルが細工されているとその方法でもrootkitを検知できない。

SONY BMGのrootkit問題

アメリカではSONY BMG MUSIC ENTERTAINMENTが音楽CDに意図的にXCPと呼ばれるrootkitを仕込んで販売したため、世界的な問題となった。

SONY BMGは被害者から損害賠償請求の訴訟を起こされているほか、テキサス州では州法「スパイウェア規制法」違反で州からも提訴されていて、州(原告)より法律違反1件につき10万ドルの罰金などを求められている。