ルートキット(rootkit）とは？予防対策について徹底解説

この記事では、ルートキット（root kit）とは何か、仕組みや目的、ルートキットの種類、ルートキットを駆除する方法や対策方法について取り上げます。

ルートキット(rootkit）の仕組みとは？

ルートキットとは、コンピュータに不正にアクセスし遠隔操作するために必要なソフトウェアをまとめたパッケージツールのことです。ルートキット（root kit）の「root」は管理者権限を指しており、管理者権限を狙う攻撃のため、一度ハッカーによる侵入を許してしまうと、問題を解決するのがとても困難になります。ルートキットは基本的に、ソーシャルエンジニアリングを用いた手口や、不正プログラムの実行、悪意のあるWebサイトへのアクセスなどによりコンピュータにインストールされます。

ルートキットは、他のサイバー攻撃とは異なり、直接的な被害をもたらすのではなく、他のマルウェアの活動を助けるためのバックドアとして機能します。とても厄介な特徴として、ルートキットは検出を避けるために高度な技術を使用しているため、検出が非常に困難なことが挙げられます。OSの最下層で実行するものや、他のソフトウェアになりすますもの、検出アプリを騙すものもあります。また、ルートキットがOSと一緒に起動することで、通信が傍受されてしまう可能性もあります。

ノートパソコンやデスクトップ端末以外にも、IoT（モノのインターネット）端末を狙うルートキットもあります。パソコンを狙うルートキット同様、脅威度が高く、検知や駆除が困難です。

ルートキット(rootkit）の目的

ハッカーがルートキットを使って攻撃する目的は、以下の通りです。

• マルウェアに感染させる。ルートキットは、悪意のあるソフトウェアを検出しにくくし、システムにマルウェアを注入することができます。
• あなたのシステムを乗っ取る。ルートキットは、ハッカーがあなたのアカウントやデータなどを乗っ取るためのゲートウェイとして機能することも考えられます。ルートキットがOSを制御した場合、デバイスも制御することができるようになります。また、ルートキットが注入するマルウェアやトロイの木馬を経由して、システムを乗っ取ることも可能です。
• コンピュータにデータを流し込んで、サービス拒否（DDoS）攻撃を行う。
• マルウェア対策アプリを妨害し、悪意のあるソフトウェアを拡散させる。

上記のようにルートキットはハッカーに悪用される一方で、ハッカー攻撃の検出、セキュリティソフトウェアの保護、ノートパソコンの盗難防止など、良い目的のために使用されることもあります。

ルートキット(rootkit）の種類

ルートキットには種類があり、大きく分けると5種類あります。以下にルートキットの種類をそれぞれ紹介します。

カーネルモードのルートキット

これは、検出が最も難しいルートキットのひとつです。ハッカーは、このコードをオペレーティングシステムのコアに挿入します。カーネルは、デバイスのコントロールセンターのようなもので、このルートキットはシステム全体を乗っ取れることを意味します。

ユーザーモードのルートキット

これは、コンピュータのアプリケーションレベルで動作し、プロセスをハイジャックしてソフトウェアを操作することで、データを危険にさらすルートキットです。ソフトウェアレベルで動作するため、検出が容易です。

ブートキット

ブートキットは、ハードディスクのブートセクションに感染します。ブートキットは、オペレーティングシステムやアンチウイルスソフトウェアが動作する前に読み込まれるという特徴があります。

ファームウェアルートキット

これは、ルーターやPC周辺機器など、特定の機器を制御するファームウェアソフトウェアにアクセスするルートキットです。ファームウェアはハードウェアと結びついており、一部の機器のOSとして機能することがあります。そのため、ハッカーは特定の機器を完全にコントロールすることが可能になります。

ハイパーバイザールートキット

これは、仮想マシンの中でOSを実行することができるルートキットです。この種の攻撃を仕掛けられてしまうと、既存のオペレーティングシステムが傍受され、デバイスが乗っ取られてしまいます。

ルートキット(rootkit）をスキャンして検出する方法

前述の通り、一度ルートキットがインストールされると、通常のセキュリティソフトではルートキット検査を実行するのは困難になる可能性があります。ルートキットをスキャンして検出するには、以下のようなツールを利用するといいでしょう。

• ルートキットバスターやアンチルートキットモニターなど、大手セキュリティソフト会社が提供しているルートキットの検出に特化したソフトウェア
• バックドアをスキャンして検出するソフトやツール

ルートキット(rootkit）を駆除する方法

幸いなことに、さまざまなカーネル保護システムが普及している現在、ルートキットによる攻撃はあまり一般的ではありません。しかし、万が一感染してしまった場合、ルートキットの駆除作業はかなり複雑なものになる可能性があります。以下の方法で駆除することができます。

• アンチウイルスやアンチルートキットアプリなどのツールを使用する。1つのツールだけではルートキットを駆除できない場合があるので、いくつかの異なるツールを使用してみてください。利用するツールは、高レビューが多く信頼されているものを選びましょう。
• オペレーティングシステムを再インストールする。OSを再インストールすれば、ルートキットの種類によっては、感染したデバイスをクリーンアップできる可能性があります。
• ファームウェア、ブート、カーネルのルートキットの場合、サードパーティ製のソフトウェアは効果がない場合があります。データをバックアップし、システムを完全に消去し、すべてを新たにインストールし直す必要があるかもしれません。

ルートキット(rootkit）の感染予防対策

あらゆる種類のマルウェアに対する最良の対策方法は、予防です。ルートキットに感染する可能性を最小限にするために、次の対策を行ってください。

• 少なくとも月に一度は、ルートキットスキャンを実行する。ルートキットスキャンとは、ルートキットの検出に特化したソフトウェアを使ってスキャンを行いルートキットを検出することです。月に一回は信頼できるサードパーティ製のツールを使用してスキャンを実行しましょう。使用する前に、安全でプライバシーに配慮されたツールであるかどうかを確認してください。
• 信頼性の低いWebサイトからのソフトウェアのダウンロードは避ける。公式開発者のサイトや信頼できる公式ストアを利用するようにしましょう。
• 見覚えのない添付ファイルをダウンロードしたり、不審なリンクを開いたりしないようにする。
• 信頼できないUSBデバイスを使用しない。
• フィッシングメールに返信したり、悪意のある第三者（または完全に信頼できない人）に自分の情報を教えたりしない。
• OSやセキュリティソフトを常にアップデートし、最新の脅威に対応できるようにする。
• NordVPNの脅威対策機能を有効にして、広告、トラッカー、マルウェアをブロックする。