<今更聞けちゃう!【ルートキット】について>
今回は、セキュリティの世界では良く聞く【ルートキット】について紹介をしていこうと思います。個人的にCISSP試験では、そこまで重要性は高くないかと思いますが、学習すべき範囲には入っておりますので、チェックして損はありません!(^^)!
ご存知の方も多いかと思いますが、ルートキットとは何か?
おさらい化から行きましょう!
ルートキットとは、
・パソコンに侵入後、侵入範囲を広げ、目的を達成をするためのツールがセットになったパッケージ
となります。
尚、セキュリティに明るくない方への説明時には、よりかみ砕いて、
・サイバー攻撃を成功させるための工具が沢山入った工具箱
と僕は説明をしたりします。
さて、この「工具箱」ですが、その中身はどんな具合なんでしょうか?
既に様々な優良な記事等がありますが、CISSP試験的な観点では以下を覚えておけばOKかと思います。
③スニッファ
④ログ消し(Log scruber)
上記からも想像できますが、ルートキットを悪用する攻撃者側は、
①でいつでも侵入した端末に出入りできるようにしておき、
②で検知されないように正規のユーティリティを装って、裏側で③などの悪事を働きます。
最後は④で悪事の痕跡を消し去って何事もなかったかのように情報を奪う(もちろん、暗号化して脅し来ることもあります。)
このようにして見てみると、ルートキットという工具箱には非常に便利なものが詰まっているな~と感心します・・・涙
では、攻撃者にとって非常に便利なルートキットに対して、守る側はどのように立ち向かっていくべきなのでしょうか。
ここでは基本的な考え方をご紹介できればと思います(^^)/
※玄人の方には物足りないと思いますm(__)m
はじめに、最も重要なポイントは
「ルートキットという工具箱を皆さんの環境、より詳細に言えば、パソコンやサーバーに持ち込ませない」
ということです。
つまり、いくら攻撃者にとって便利なルートキットでも、何らかの手段で皆さんの環境に持ち込まないことには使い物にならないので、持ち込ませない対策をしっかりとりましょう!という考え方となります。
そして一般的に、ルートキットは「脆弱性の悪用」により持ち込まれることが多い為、
行うべき対策としては、「OSやアプリケーションのバージョンを最新に保つ」「不要なサービスやツールはパソコンにインストールしない」といった【弱点を可能な限り作らない】という思想で基本的な対策を徹底することが求められます。
(CISSP試験的には【堅牢化】が求められる。と覚えてください!)
次に、必要なの対策は、
「ルートキットが持ち込まれたことに可能な限り早く気づき、可能な限り早く対処する」
ことになります。
これは、あまり説明が必要ないかもしれませんが、セキュリティ界で良く言われる「入られること前提に・・・」ってやつです。
具体策としては、アンチウイルス、EDR、IDS等が挙げられるかと思います。
ただ、個人的にはこれら製品やサービスを利用していても、適切に検知したりすることはなかなか難しいと考えています。(←理由は色々ありますが、主には製品やサービスを入れただけ。という状況が多いことが理由です・・・)
とはいえ、アンチウイルスなどは多くの組織で導入が進んでいるかと思いますので、それらがルートキットへの対策でも有効であるとご認識頂ければ思います。
最後にはなりますが、対策の観点では「持ち込ませない対策」⇒「入られることを前提にした対策」という順番を忘れないで頂ければと思います。
(ここが逆転してしまっているケースが結構あったりしますので・・・)
今回はこのあたりで終わりです(*^-^*)
最後までありがとうございました!
(秋が来たと思ったら、もう完全に冬ですね。風邪をひかないよう2023年最後まで駆け抜けましょう!)
