rootkit

不正侵入を行った後、攻撃者は不正侵入の証拠や再侵入を行うための各種のプログラムを隠蔽したり、改ざんしたりする必要があります。rootkitとは、そうした証拠隠蔽や各種の改ざんを行うためのツールがパッケージされたものを指します。rootkitは、特定名称のファイルやプロセスなどを隠蔽するために、OSの重要なコマンドを置き換えたり、カーネルモジュールとしてOSのコマンドの機能を妨害するため、とても厄介なものとなります。

仮に、不正侵入された可能性が高いサーバの調査を行うために、ファイルのリストやプロセスのリストを表示されるコマンドを実行したとしましょう。ところが、それらのコマンドがrootkitによって不正に改ざんされたもので、不正なファイルやプロセスを表示させないようになっていたらどうでしょう。管理者は、サーバの状態を正しく把握できません。その結果、管理者はサーバが不正侵入されたことに気づかないことになります。言い換えれば、rootkitは管理者の監視の目を欺くための不正侵入必携のツールと言えます。

このrootkitもexploitと同様にインターネット上で公開されており、実際に利用して不正侵入されたケースも多々あります。

rootkitの検出はかなり難しいのですが、最近になってrootkitを検出するためのツールが登場してきました。chkrootkitやTCT (The Coroner's Toolkit)と呼ばれているものです。特に、TCTと呼ばれるツールは、Forensic (フォレンジック) というコンピュータを詳しく調査し、さまざまな要素から過去に起きた事象を推測する手法を利用して、サーバの異常な動作を検知します。