パーツ交換でも取り除けないマルウェア「ルートキット」とは

「ルートキット」という言葉をご存じでしょうか。ルートキットはマルウェアの1種で、実は20年ほど前から存在しています。ルートキットはいわゆる不正アクセスの温床になるため、早めの対処が必要です。

特に最近は、ゲーミングPCを狙ったマルウェアが増えています。貴重なゲームデータを人質にとられないためにも、ルートキットの特徴を知っておきましょう。

ルートキットとは何か?

まず、ルートキットの定義について理解しておきましょう。ルートキットは、簡単に言うと「不正アクセスの土台を作るマルウェア」です。PCがルートキットに感染すると、ルートキットは外部からリモートアクセスするためのツールをPCにインストールします。

そして外部の攻撃者がルートキットに感染したPCを支配し、キーロガー(キー入力を記録するツール)や決済情報を盗むツール、DDos攻撃の土台になるbotなどを操ります。

ルートキットに感染すると、クレジットカード情報を盗まれたり、ゲームアカウントのパスワードを解読されたりするわけです。

また、ルートキットはOSやアプリケーションの脆弱性(セキュリティホール)を通じて感染します。Windowsやjavaのアップデートを必ず行いましょう!という言葉の背後には、ルートキット対策の意味も込められているわけですね。

通常、ルートキットはセキュリティソフトで駆除したり、OSを再インストールしたり、パーツを交換することで廃除できます。しかし、OSの再インストールやパーツ交換後も生き残るルートキットが存在しているのです。

パーツ交換後も生き残るルートキット「LoJax」

セキュリティソフト大手の「ESET」によると、最新のルートキット「LoJax」は、OS再インストールやストレージ交換後もPC内部で活動するとのこと。OSだけではなく、物理的なパーツを交換しても廃除できないため、感染していることにすら気が付かない可能性があります。

LoJaxはSPIフラッシュメモリと呼ばれるマザーボード上のデータ格納庫に対し、悪意のあるUEFIモジュール(BIOSの一種)をインストールします。

次にOSが起動するタイミングでストレージにマルウェアを書き込み、外部からの攻撃に適した環境を創り上げます。

これによって、OSの再インストールはおろか、ストレージを交換しても同じ動作(UEFI⇒ストレージへの書き込み)が繰り返され、マルウェアが排除されないというわけです。

マザーボード交換とセキュアブートで対応

一見打つ手なしに見えるLoJaxですが、2008年以降のマザーボードを使用したり、UEFIを最新バージョンに更新したりすることでその脅威をシャットアウトできます。また、BIOSから「セキュアブート」を有効にしておくことでも対応可能なようです。

様々な悪意あるソフトウェアからゲーミングPCを守るため、マザーボードやBIOSは出来るだけ新しいものを使用すべきなのかもしれません。