2007年05月27日

やっかいなrootkit

 先日ちょこっと触れたrootkit なるものについて、覚え書きていどに書いてみます。

 rootkit は、MS社言うところの「悪意あるソフトウェア(マルウェア)」が、自分自身の存在を隠蔽する目的で、こっそりシステム奥深くの根幹部分を一部勝手に改変してしまうクラッキングツールの詰め合わせセットみたいなものです。自分も某S社のCCCDに仕掛けられていた事件が明るみになったとき、はじめてこの耳慣れないjargon を知った口です(S社事件についてはこちら。またMacPeople 今月号にもDRMフリーに関連した記事中に言及があります)。

 いろいろ記事を読みますとrootkit には大別してふたつあるようですが、カーネルに巣食うタイプがもっとも排除困難なものらしい…rootkit に感染したOSは、よほど注意深く挙動を観察しないと感染しているかどうか見分けがつかないし、感染したシステムを稼動させたままの検出はほとんどむりみたいです。しかしながら、たとえばCD起動できるタイプのLinux(Knoppix など)からシステムディスクを検査してみる、という方法が有効…ということも目にはしたが、具体的にどう操作すれば感染しているかどうかわかるのか、まではわからなかったorz。手許にデータ救出用として一枚、CD起動型Linux をもってはいるんですが。

 最近、この手のマルウェアは文字どおり悪意(malice)に満ち満ちています…数年前までコンピュータウィルスは怪しげな添付ファイルつきメールさえ開かなければとりあえずは大丈夫、というレベルでしたが、何年もたたぬうちに「見るだけでバックドアを仕掛けるサイト」だの、「ネット回線につなぐだけで感染するインターネットワーム」だの、それらを複合的に組み合わせ、何百万台ものマシンを「踏み台」にして標的を攻撃するボットウィルスだの、とにかく巧妙化・悪質化の一途をたどっています。この流れ、MSblaster騒動 あたりからはじまったかもしれませんね。日本では個人情報を流出させる「山田Alternative」などの半分愉快犯的な、そのじつひじょうに悪質なワームも流行りましたし。いまのコンピュータウィルス、ワーム、スパイウェアなどはもはや昔の悪趣味ないたずら的なものではもはやない。個人情報もそうだがとくにいま、増えているのがクレジットカード番号など、個人資産を掠め取ることを狙ったマルウェアだということがひじょうに問題です。つまり泥棒ですな。本人のあずかり知らぬところで個人の機密情報、とくにお金にかんする情報が筒抜け、なんてことがあちこちで現実に起きている。

 だれだって「ウィルス対策がしたくてWebに接続しているわけじゃない」けれども、こういう輩がいるかぎり、ユーザー側もなんらかの自衛手段は取らないと。たとえばボットウィルス駆除でしたらこちらの総務省管轄機関のサイトを利用するという手もあります。Windowsユーザーなら、updateサイトで毎月、「悪意あるソフトウェアの駆除ツール」でチェックと駆除はできます。

 問題のrootkit については、あくまで参考ていどとはいえ、リンク先ページにも書いてあるこちらの検出ツールが役に立つかもしれません(自分も試しにやってみました↓)。

rootkitrvler.PNG


 検出結果はいわゆる空文字(null)が云々…というものしか表示されなかったので、とりあえずは大丈夫(?)そう。ただし初期設定でシステムフルスキャンモード、プログラムファイルフォルダからレジストリツリーまでくまなくスキャンするため、検査が終了するまで小一時間くらいかかりました。orz

 セキュリティ関連ついでに、せんだってWMV動画を見ようと思ったら、使っているNAVからこんな警告画面が。

iwprotection.PNG


 どうもこれZoneAlarmの吹き出し画面のような、たんにアクセス許可してもよいかどうかを訊いているだけらしい。とはいえいままであんまりこういうダイアログ窓は見たことはなかったけれども…。

 …おんなじUnix系OSなので、Mac OSX 用rootkit だってひょっとしたら存在するのかもしれないが(Linux系rootkit はすでにある)、すくなくともWindows よりはまだましでしょうね。

 …そういえば今日は「聖霊降臨祭 Whitsunday/Pentecost」でした。今週のChoral Evensong はギルドフォード大聖堂。あとで聴いてみよう。

 ついでにいましがたCCCCleaner も走らせてみました。

ccccleaner.PNG


これってTrendmicro社の検索エンジンを使ってるんですね…。

 そして、サイトの使用説明にはとくに書いてないけれども、念のためログファイルはセーヴしておいたほうがいいかもしれません。不要だと感じたらそのときに削除すれば問題ないでしょうし。ログファイルは、自動生成されるフォルダ内にあります。

posted by Curragh at 16:38| Comment(0) | TrackBack(0) | Web関連
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/4127051
※ブログオーナーが承認したトラックバックのみ表示されます。
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック