Enterprise Watch
最新ニュース

見えないルートキットをいかに検出するか、シマンテックが独自技術を説明


シマンテックセキュリティレスポンス 主任研究員の林薫氏

ルートキットの問題点
 株式会社シマンテックは6月19日、ルートキットの手法を用いたセキュリティリスクに関する記者説明会を開催した。

 ルートキットとは、Windows上でファイルやレジストリ、プロセス、または動作を隠すためにシステムのフックといった改変を行うコンポーネント。もともとはUNIX上で管理者権限を得るためのツールを指していたのだが、Windowsにプラットフォームを変えた際にニュアンスも変わった。「その主眼は“隠す”ことで、ウイルスなどと組み合わせて悪用される」(シマンテックセキュリティレスポンス 主任研究員の林薫氏)。

 このルートキットが最近は一般化しており、2007年下半期に見つかった新種のマルウェアでも、ルートキットにより隠ぺい工作されているものが多かったという。林氏は「こうした状況から、最近のアンチウイルス製品ではパターンファイルの更新速度のみではなく、ルートキットにより隠ぺいされたマルウェアをいかに発見し削除できるかが、重要な要素になっている」と語る。

 ルートキットには2種類ある。1つが「ユーザーモード」のルートキット。これは、Windowsファイルシステムより上のアプリケーションレベルでフックし、悪意のあるデータの隠ぺいを行うのが特徴。技術的にはそこまで複雑なものではなく、従来のアンチウイルス製品でもある程度検出することができたという。これに対して、最近主流となっているのが、「カーネルモード」のルートキットだ。こちらはシステムのより深いカーネルの領域で、完全な特権レベルで動作するため、何ら制限を受けることなくデータを隠ぺいすることができてしまう。

 例えば、ウイルスがカーネルモード・ルートキットで隠ぺいされ、その存在自体が“何者の目”をもってしても見えないのであれば、単純にアンチウイルス製品を使っても検出することは不可能だ。見つからないので、削除することもできない。さらに「カーネルの領域で動作するため、セーフモードでOSを立ち上げてもやはり発見できない上に、最近は、たとえ見つかっても削除しづらくするような工夫も施されており、検出・駆除が困難になっている」と林氏は語る。検出できずに手間取っているうちに、ウイルスは水面下で拡大感染してしまう。


プロダクトマーケティング部 リージョナルプロダクトマーケティングマネージャの広瀬努氏

アプリケーションとHDDとのやり取りの間に虚偽を伝えるルートキットが存在するため、ファイルが“見えなくなる”

SEP 11.0のルートキット対策
 このように対処が困難なカーネルモード・ルートキットだが、シマンテックでは企業向けの「Symantec Endpoint Protection 11.0(以下、SEP 11.0)」でその検出を実現している。そこではなんと、ウイルスなどとは関係ないように思える旧Veritasのディスクボリューム管理技術が応用されているのだという。

 「VxMS(ベリタスマッピングサービス)」と呼ばれていたその技術は、本来、データストレージ管理機能を開発する際に提供されるシェアードライブラリ群である。効率的なストレージ管理を実現するため、ファイルシステムとストレージ上のオブジェクト間のアドレスマッピングなどを行う技術であるが、ポイントは、アドレスマッピングなどを行うために、「Windowsファイルシステムより深いレイヤでデータ情報を扱える」(プロダクトマーケティング部 リージョナルプロダクトマーケティングマネージャの広瀬努氏)という点だ。

 これが、カーネルモード・ルートキットによる隠ぺいを見破るのに効果を発揮する。

 そもそも隠ぺいするといっても、システムにウイルスファイルが存在するのは確かだ。活動を行うためにはウイルスはHDDの中に感染しなければならない。では、なぜ確かに存在するファイルが見えなくなるのか。それは、アプリケーションからのデータアクセスの要求に対し、I/Oマネージャなどに潜んだルートキットが、「そんなファイルは存在しない」と虚偽の応答を返すためだ。これは複数の人間で特定の話を伝達していくうちに内容が徐々に変わっていってしまう「伝言ゲーム」に似ている。もちろんコンピュータは人間と違って正確な情報を伝達していくことができる。ところが、アプリケーションからのデータアクセス要求がAPIやファイルシステムマネージャ、デバイスドライバといくつものコンポーネントを経由する中で、I/Oマネージャなどで呼び出されるルートキットが、わざと伝言内容を変えて伝達してしまうのだ。結果、存在するはずのファイルが「存在しない」などという“へんてこ”な状況が生まれる。

 では、こうしたコンポーネントを経由することなく、直接、HDD上のデータ構造へアクセスすることができたらどうだろうか。伝言内容は途中で改ざんされることがなくなる。それを可能にするのが、VxMSなのだ。これにより「ルートキットが自らの存在を隠ぺいしたり、ほかのファイル形式に偽装していても、その存在を検出することが可能になる」(同氏)という。

 SEP 11.0では、同技術により、他社製品よりも優れたルートキット検出力をもつという。また「検出できるだけでなく、削除できることが重要」(同氏)なのだが、削除能力についてもはるかに優れていることが、第三者機関により実証されているとして、SEP 11.0の優位性をアピールした。



URL
  株式会社シマンテック
  http://www.symantec.com/japan/


( 川島 弘之 )
2008/06/19 18:09

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.