rootkit とは?
「rootkit」(ルートキット)を一言で言うと、クラッカーがコンピュータに侵入後に仕掛けるツールの詰め合わせパッケージです。
クラッカーはまずセキュリティホールなどを利用して、コンピュータに侵入します。
でも、侵入するにはそれなりの苦労(?)が伴いますので、次回また楽に進入するために、バックドアを仕掛ける必要があります。
でも、このバックドアが仕掛けられたことがばれてしまっては困るので、これを隠蔽するためのツールが必要です。
こういったバックドアツールや、隠蔽ツールをひとまとめにしてお手軽に利用できるようにしたものがrootkitなんですね。
rootkitの隠蔽ツールは、ユーザが利用するシステムコマンドなどをそっくりそのまま別のコマンドに置き換えたりします。
例えば、そのコンピュータの管理者が、何か不正なプログラムが動作していないかどうかを確かめるために、あるコマンドを使って調べようとします。
通常ならそのコマンドを使えば不正プログラムが見つかるのですが、コマンド自体がrootkitが提供するコマンドに置き換わってしまっているので、本来の値を返さず、ウソの情報を管理者に与えます。
ですので、多少詳しい人でも、実はバックドアが仕掛けられているのに気づかないといったことが起こり得ます。
こういった場合の対処としては、rootkitを検出するためのツールも存在しますので、そういうツールをつかって対応します。
まあ、その前に、セキュリティホールをなくす等、そもそも侵入されないように予防をすることが一番なんですけど。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。