「rootkit」が利用されていたことが明らかになった。 とある日本最大手のグループウェア企業のサイトに不正アクセスがあったことがニュースになっていましたが、この「rootkit」とはいったい何なのでしょうか? そんな事も知らないのか!と言われるかもしれませんが、この手の事に興味がないのはもちろん、その危険にさらされる立場でも仕事で携わることもなく、「rootkit」を知らないのです。。。でもネットで探せばこの手の情報の多い事!
「rootkit」に関する情報を探してみると、多くのサイトに書かれている内容は「「rootkitというツール」が存在していて、そのツールは「セットするプラットホームに応じたバージョンが多数存在」しているそうですが、これはあくまでもサーバーにセットするためのツールなんです。 その多くのプラットフォーム向けの「rootkitはインストーラー形式になっいる」ため、侵入に成功さえすれば、その「rootkit」を、「簡単かつ短時間で改ざん作業を完了できるようになっている。」もののようです。 このような多種多様なツール「rootkit」を使えば、最初に「侵入を隠蔽するためにログを改ざん」して、侵入の形跡を消し去り、次に映画マトリックス3でも登場した「裏口(バックドア)をシステムに仕掛け」、次に侵入する時にはクラック(窓を破るようなもの)して無理やり侵入すりのではなく、裏口の鍵を持っているので正々堂々とシステムにログインすることができるのです。しかもこの裏口からの侵入を形跡を、管理者に気づかれないために「システムコマンドの改ざん」して、まさかその裏口が開いているとは管理者に判らないようにするのです。 このような作業をクラッキングしてから行うことは、多様な知識と経験が無いとできないことでしょうが、今回話題の「rootkit」は、そんな面倒な作業を簡単にしてくれるクラッカーには夢のようなプルグラム群なのでしょう。 さて、ここまでは理解できましたが、これ以上の情報を独自で解説して理解することは、実践と検証する以外には知識の蓄積ができません。そんな時間も知識もありませんので、他サイトで最も詳しく、そして有意義な情報を掲載している「ITmediaエンタープライズ」サイトをリンクさせていただきました。 第1回 rootkitの概要と検知 参照先:http://www.itmedia.co.jp/enterprise/0301/15/epn06.html [2003.1.15 UP] システムをクラックする手段として「rootkit」というツールが存在する。ほとんどのrootkitはインストーラー形式になっており、簡単かつ短時間で改ざん作業を完了できるようになっている。攻撃者が利用するrootkitについて、その概要を知るとともに、防御方法について考えていこう。 第2回 ログファイルの改ざん 参照先:http://www.itmedia.co.jp/enterprise/0302/12/epn18.html [2003.2.12 UP] 第1回では、Linuxのrootkitの中からtuxkitを取り上げ、その概要として改ざんされたシステムコマンド一部を紹介した。今回はその続きとして改ざんされたsyslogdと、ログファイルの改ざんなどについて見ていこう。 第3回 rootkit検出ツールによる検査 参照先:http://www.itmedia.co.jp/enterprise/0303/11/epn11.html [2003.3.11 UP] これまではrootkitの概要について実例を出して説明してきたが、今回はrootkitの検出ツールを利用して、rootkitのインストールされたシステムから、rootkitを洗い出す作業を行ってみよう。 第4回 rootkitを利用した侵入 参照先:http://www.itmedia.co.jp/enterprise/0303/28/epn06.html [2003.3.28 UP] kernel rootkitの解説に移る前に、今回はクラッカーがシステムに侵入し、rootkitをインストールするまでの流れを見ながら、一般的なクラッカーがどのようにしてシステムに侵入し、なぜrootkitを用いるのかについて考えてみよう。 第5回 kernel rootkitの概要 参照先:http://www.itmedia.co.jp/enterprise/0306/10/epn12.html [2003.6.10 UP] 今回から解説する「kernel rootkit」は、ps、ls、netstatなどのコマンド類は改変せずに、Application rootkitと同じように、クラッカー側にとって必要な機能(バックドア、ファイル・プロセスの隠蔽など)を提供するものだ。このためApplication rootkitに比べて管理者からの発見を逃れられる可能性が高い。その概要について解説しよう。 参照先:「ITmediaエンタープライズ」 「rootkit」という言葉が気になったのは、このニュースの前に「SONY BMGのコピー防止CDがrootkitを組み込む」とのニュースを目にしたからなのです。 その内容とは、SONY BMGが、音楽CDのコピー防止を目的として、CDを購入したユーザーに告知も認識もしないで、CDにセットされた「rootkit」がPCでCDを再生しようとすると組み込まれるというもので、しかもインターネット経由で、誰のPCにCDがセットされたのかSONY BMGのサーバーと裏で通信を行う仕組みまであるそうです。 このような裏機能をPCに組み込みしかもPC管理者(個人)には知らせず、組み込んだことを判らないように隠匿(ステルス)機能まで備えているそうです。このよう機能をパッケージしたものが「rootkit」に似たコピー防止技術と呼ばれていますが、これは「rootkit」そのものですね しかし!SONY BMGは、こんなことまでしてCDを売る必要があるんですか?音楽を作るのはプロかもしれませんが、この手のコンピュータプログラムは素人の会社なんですから止めてほしいです。 CDのコピーで被害を受けて売上げが落ちているんでしょうが、そんなこと以前に、こんなことをする会社のCDなんて絶対に買いません。もっと売上げが落ちる事になるでしょう。 ■ ITmedia「rootkit」騒動渦中のSONY BMG、XCP技術採用CDの製造を中止
