脅威に対応するには、その脅威の技術について知ることです
脅威への対策

情報データベース
  ホーム
  DNSブラックリスト
  URL ブラックリスト
  アプリケーション
  スパイウェア

対策ソフトウェア
  ITセキュリティ製品マップ
  スパム/迷惑メール対策
  スパイウェア対策
  ウィルス対策
  トロイの木馬対策
  Rootkit対策
  脆弱性監査
  データ保護
  バックアップ
  認証システム

脅威について
  ペスト
  アドウェア
  スパイウェア
  キーロガー
  ウィルス
  ワーム
  ハイジャッカ
  フィッシング/ファーミング
  スパム
  BHO
  トロイの木馬
  BOT
  Rootkit

サポート
  お問い合わせ

関連サイト

 
Rootkit対策
Rootkitは、トロイの木馬と同様に標的を狙ったマルウェアの一種と考えられます。しかし、ウィルス対策ソフトウェアでRootkitからの攻撃に十分対応できるわけではありません。

Rootkitとは、ハッカーがその侵入を隠して、コンピュータやネットワークに対する管理者レベルのアクセス権限を得るために使用する一連のプログラムです。ハッカーがコンピュータにRootkitをインストールする手段として以下の方法が挙げられます。
  • ユーザの操作を利用する(バンドル、ドライブバイインストール)
  • 既知の脆弱性を悪用する
  • パスワードを解読する(リモートアクセスのためのサービスに侵入)
Rootkitが一度インストールされると、バックドア技術によってハッカーがコンピュータを完全に支配できるようになってしまいます。Rootkitは、ユーザによって発見されないように、自身のファイル、レジストリ キー、プロセス名、ネットワーク接続などを隠しています。

これらのプログラムは、従来のウィルス対策ソフトウェアなどで代表されるパターンマッチングによる検出では検知されないように、自身のファイルを圧縮および暗号化しています。代表的なルートキットとしては、Hacker Defender Rootkitがあります。
なぜ、ウィルス対策やスパイウェア対策ソフトウェアでは十分でないのか?
  • パターンマッチングを主体としたウィルス検出では、検体を入手して初めて対応が可能になるため、Rootkitやトロイの木馬のように自己増殖しないものは、検体の入手に時間がかかる、または入手しても新たな亜種からの攻撃に対応できない為です。
  • ほとんどのRootkitは、ステルス機能を装備し、ファイル システムからアクセスすることができないため、ウィルス対策ソフトウェアでスキャンしても見つけることはできません。
  • 個別に暗号化されているためパターンマッチングでは、検出できない。
  • レジストリ情報をWindows APIを利用してスキャンしても、見つからない方法で登録しているため、通常のレジストリスキャン方法では検出できない。

対策について

パターンマッチングで十分対応できないRootkitへの対策は、コンピュータ上に専用のIDS(侵入検知システム)を装備することです。

Rootkit対策には、優れた侵入検知システムだけではなく、検出時に適切な対応までも自動的に処理する機能を持った対策ソフトウェアが必要です。検出時の対応には、以下のことが要求されます。
  • ネットワーク遮断

疑いのあるアクセス/システムへの変化を検出した時点で、管理者に通報し、ネットワークシステムをシャットダウンすることで、これ以上の感染/侵入を防ぎます。

  • システム遮断

    疑いのあるアクセス/システムへの変化を検出した時点で、管理者に通報し、システムをシャットダウンすることで、これ以上の感染/侵入を防ぎます。

  • 特定のサービスの停止/特定のプログラムの実行

    疑いのあるアクセス/システムへの変化を検出した時点で、管理者に通報し、機密情報を含んだデータベースサービスを停止することで、大切な情報へのアクセスを保護します。

Rootkitが検出される場合、通常複数のステルス プログラムがすでに侵入していて、そのためすべての感染を除去することが不可能な状態と考えられます。これらRootkitが埋め込まれたコンピュータは、'踏み台'として次のレベルの侵入のために利用されます。

 
Greats Software社 UnHackMe との技術提携
株式会社ネクステッジテクノロジーは、2005年6月 ロシアのセキュリティ ソフトウェア ベンダであるGreats Software社とのパートナーシップ契約を締結しました。

彼らのすでに持っていた、Rootkit対策ソフトウェアUnHackMeの拡張版である、UnHackMe Corporative版を2006年4月に発表しました。

Rootkit対策には、UnHackMeをお試しください。

 
企業サーバ向けRootkit対策 UnHackMe Corporative
UnHackMe Corporative Edition を利用して、ネットワーク上のサーバをRootkitから保護することができます。
管理者コンソールで、サーバ上のUnHackMeがRootkitを検出した場合のアクションを定義し、定義ファイルをサーバに展開することで、複数のサーバを簡単に設定することができます。

対処機能:
  • 検出時にイベントログへの書き込み
  • 検出時にネットワークのシャットダウン
  • 指定したプログラムを実行
  • ルートキットを自動停止
 
Rootkitについて学ぼう
ルートキット(rootkit)技術を使ったウィルスの例:
 
2006, 2008 Copyright nextEDGE Technology, Inc. All Right Reserved.