2022/11/30

手遅れになる前にルートキット攻撃を防ぐ

rootkit, hacker, code

2022 年 11 月 30 日 Kirk Jensen 著

ルートキットとは悪意のあるソフトウェアプログラムの名称で、サイバー犯罪者がシステムに侵入・制御するために使用されます。ルートキットを使用すると、痕跡を残さずにスパイ活動やデータの窃盗を行い、ランサムウェアなどのマルウェアを展開することができます。ひとたびデバイスにルートキットがインストールされると、システムコールを傍受したり、あるいはソフトウェアやプロセスを置き換えたりすることが可能になり、キーロガーやデータ窃盗マルウェア、さらには暗号通貨マイニングマルウェアなどのモジュールといった、より大きなエクスプロイトキットの一部となる恐れがあります。

しかし、このようなタイプのプログラムは作成に時間と費用がかかるため、開発は困難です。そこでルートキットを利用した攻撃の多くは、APT(持続的標的型攻撃)グループが携わるものです。その結果、金銭的な動機に基づく攻撃でも、スパイ活動を目的とした攻撃でも、価値の高い標的が選択される傾向にあります。

ルートキットの進化と利用を分析した調査によると、56% のケースで、サイバー犯罪者はこのソフトウェアを使用して、最高位の政府高官、外交官、またハッカーにとって利益が高い組織の職員など、一定の地位のある人物を攻撃していることが判明しています。これらの脅威から最も狙われている分野としては、1 位が政府機関(44%)、2 位が研究機関(38%)、3 位が通信事業者(25%)、4 位が工業会社(19%)、5 位が金融機関(19%)です。

また同調査で判明しているところでは、ルートキットは、ソーシャルエンジニアリングの手法で拡散されることも多く、特にフィッシング(69%)や脆弱性の悪用(62%)で拡散されています。

ルートキットの種類

ルートキットには、取得された権限のレベルにより以下の 3 種類があります。

  1. カーネルモード・ルートキット:
    このタイプのルートキットは、カーネルレベルで動作するため、オペレーティングシステムと同じ特権を持ちます。デバイスドライバやローダブルモジュールとして設計されています。しかしソースコードに誤りがあると、システムの安定性に影響を与え、マルウェアが存在することが明らかになってしまうため、開発が難しいタイプです。
  2. ユーザモード・ルートキット:
    こちらはカーネルモードタイプに比べ、設計に必要な精度や知識が少なく開発が相対的に容易なため、通常は大規模な攻撃に使用されます。より少ない権限で動作するにもかかわらず、システムコールを傍受し、API やアプリケーションが返す値を代用してマシンを制御することができます。
  3. 複合型ルートキット:
    このルートキットは、上記 2 つのオペレーションモードを組み合わせて、両方のレベルで動作するように設計されています。

2021 年秋、北朝鮮の Lazarus グループは、オランダの航空宇宙企業の社員とベルギーの政治ジャーナリストを標的としてルートキットを展開しました。標的となった両者には、一流企業の採用情報が連絡され、求人と思われる文書が添付されて送られてきました。1 人は LinkedIn 経由で、もう 1 人は電子メールで受信しました。しかし、そのファイルを開いたことで、一連の攻撃が引き起こされます。今年 9 月に調査結果を公表したこの事件の調査官によると、最も目立ったインシデントは、Dell のデバイスドライバの脆弱性を悪用してカーネルメモリを読み書きする能力を獲得するルートキットモジュールでした。

このような攻撃からビジネスを守るには

ルートキットを使用した脅威は、検知を避けるように設計されていますが、検知だけでなく、封じ込め、ブロックまでできるソリューションがあります。WatchGuard Firebox デバイスは、マルウェアを特定し阻止を可能にする、3 つの高度な機能を備えています。

  • APT Blocker:
    このサンドボックステクノロジは、ルートキットがシステムにアクセスする前の段階で検出が可能です。挙動を分析し、疑わしいファイルを特定してクラウドベースのサンドボックスに送り、実行をエミュレートしてファイルのコードを分析することで、ファイルに悪意があるどうかを判断します。悪意がある場合、APT が対策を講じ、ブロックすることでネットワークの安全性を確保します。
  • 人工知能を活用したマルウェア防御:
    何百万ものファイルを基本的な構成要素に分解し、それぞれの特徴を組み合わせて分析することで、悪意を示す指標を特定し、脅威を識別するように設計されています。マルウェアが検出された場合、そのファイルは実行前にブロックされます。
  • クラウドでの可視性:
    ルートキット攻撃対策として、ネットワークを完全に可視化し、異常を分析することは重要です。これにより、プラットフォームが生成するレポートの詳細情報に従って綿密な調査を行うことができます。

専門的に脅威を実行するサイバー犯罪者は、非常に考え抜かれた攻撃を仕掛けてきますが、阻止することは可能です。重要なのは、手遅れになる前に、ルートキット攻撃を阻止できる適切なソリューションで企業ネットワークを保護しておくことです。