進化するrootkit、「オープンソース環境」を整えるハッカー--マカフィー調べ

　セキュリティベンダーMcAfeeが、ハッカーが悪質なソフトウェアを隠すために利用するrootkitが増加し、ますます複雑化していると指摘している。

　第1四半期にMcAfeeのAvert Labsが確認したところ、rootkitの数は前年同期比700％増だったと、同社は米国時間4月17日に語っている。同社の「ステルステクニック」調査は、ソニーBMGの著作権侵害対策ツールのような商用プログラムや、不要なアドウェアにバンドルされた偽装技術にも言及している。

　McAfeeが17日にリリースしたレポート（PDFファイル）によると、このようなテクニックを使ってコンピュータ上での活動を隠す方法は1986年ごろから存在していたが、その数が急増し、一気に複雑化してきたのはここ3年のことだという。Avert Labsでは、第1四半期だけで827種類以上のステルステクニックを発見している。これに対し、2005年同期に発見された数は約70種類、その年通年でも約769種類だった。

　McAfeeのグローバル脅威対策担当シニアバイスプレジデントStuart McClure氏は声明のなかで、「マルウェアがこのように進化していくことで、企業や消費者などに相変わらず脅威を与え続けるマルウェアの不安がますます大きくのしかかってくるだろう」と述べた。

　ハッカーの間にはステルスコード開発の「オープンソース環境」があり、それがこのような急成長につながっていると、McAfeeは語っている。コラボレーションウェブサイトやブログには、rootkitの実行用バイナリコードに加え、同技術を再コンパイルして強化するための数百行におよぶrootkitコードもあるという。

　その結果、攻撃者らは対象OSに関する深い知識がなくても自分たちの悪質なファイル、プロセス、そしてレジストリキーを隠す手段を容易に作成できるようになっている。

　このレポートの作成者は、「コラボレーションはステルス技術を広げているだけではない。これにより、新しく、より巧妙なステルステクニックの開発が進む」と語っている。プログラムの複雑性を判断する際には、ソフトウェア内部のコンポーネントファイル数を計算するなどの方法が用いられた。

　同レポートによると、第1四半期中には612種類のステルスコンポーネントがAvert Labsに報告されてきたが、前年同期は60件だったという。また、第1四半期の数字は2005年通年とほぼ同じだった。 (2006.4.18/CNet)