マルウェア
ルートキット
別称: ステルスキット, ルート権限マルウェア
定義
OS や機器上で高い権限を取得・維持しつつ、その存在を一般的な検知ツールから隠蔽するステルス型マルウェア。
ルートキットは、攻撃者に永続的かつ高権限なアクセスを与え、同時にファイル・プロセス・レジストリキー・ネットワーク接続などの存在を防御側から隠すために設計されたツール群あるいはカーネル/ファームウェアコンポーネントである。ユーザーモード(API フック)、カーネルモード(カーネル改ざん)、ブートキット(ブートローダー)、ファームウェア(UEFI/BIOS)など、複数の層で動作し得る。初期侵入後に長期潜伏とフォレンジック妨害を目的として投入されることが多い。検知にはメモリフォレンジック、整合性検証、セキュアブート、カーネル可視性のある EDR、オフラインスキャンなどが必要で、UEFI セキュアブート、署名済みドライバ、TPM ベースのアテステーション、カーネルモードソフトウェアの削減などが緩和策となる。
例
- Windows を狙う長期活動型のカーネルモードルートキット TDL/TDSS。
- クリック詐欺やビットコインマイニングを隠蔽するために使われた ZeroAccess。
関連用語
ブートキット
MBR、VBR、UEFI などの起動プロセスを感染させ、OS より前に動作して持続的かつ高権限の制御を獲得するマルウェア。
UEFI ルートキット
UEFI ファームウェアに植え込まれ、OS より前に読み込まれ、ディスク消去後も残り、多くのエンドポイント保護を回避するルートキット。
BIOS ルートキット
レガシー BIOS ファームウェアに感染し、OS より前に実行されることで OS 下層に深く持続化するルートキット。
ステルス型マルウェア
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
ファームウェアマルウェア
BIOS/UEFI、NIC、ストレージ、周辺機器などの機器ファームウェアに潜伏する悪意ある実装で、OS の再インストールや多くのエンドポイント対策を生き延びる。
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。