ユーザガイド - Kaspersky Lab
ユーザガイド - Kaspersky Lab
ユーザガイド - Kaspersky Lab
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
隠しオブジェクト/隠されたプロセス<br />
65<br />
プ ロ ア ク テ ィ ブ デ ィ フ ェ ン ス<br />
隠されたプロセスとは、Microsoft Windows タスクマネージャー、Process Explorer などの通常の方法では検知できないプ<br />
ロセスのことです。ルートキット (つまり、「ルート権限の取得を目的に設計されたキット」) とは、ハッキングされたシステムを<br />
ひそかに制御するためのプログラムまたは一連のプログラムのことです。この語は Unix から来ています。<br />
Microsoft Windows ではルートキットは、システムに入り込むマスクプログラムを指すのが普通で、システムで実行されてい<br />
るプロセスおよびハードディスク上のフォルダの内容についての情報を含むシステムメッセージをインターセプトして改ざんし<br />
ます。言い換えれば、ルートキットはプロクシサーバと同様に動作して、特定のデータフローはそのまま残しながらそれ以外<br />
のデータを遮断したり、改ざんしたりします。一般にルートキットは、その設定に記述されている範囲で、任意のプロセス、<br />
ハードディスクに保存されたフォルダやファイル、レジストリキーの存在を隠すこともできます。多くのマスクプログラムは独自<br />
のドライバとサービスをシステムにインストールし、タスクマネージャー、Process Explorer などのシステム管理ツールとアン<br />
チウイルスアプリケーションの両方からそれらを「見えなく」します。<br />
隠されたプロセス特有の状況は、真の目的が負の PID 値を持つ隠されたプロセスの作成にあるアクティビティに見られます。<br />
PID とは、実行中のプロセスごとにオペレーティングシステムが割り当てる暗証番号です。PID は実行中のプロセスごとに<br />
一意で、オペレーティングシステムの現在のセッションにある各プロセス用に完全に固定されます。プロセスの PID が負の<br />
値の場合、そのプロセスは隠され、通常の方法では検知できなくなります。<br />
ライセンスの制限を回避したり詐欺行為を行ったりするように設計されたハッキングユーティリティツールからプロセスを保護<br />
するアプリケーションにプロアクティブディフェンスが反応して、誤検知を返す場合があります。<br />
HOSTS ファイルの変更<br />
Hosts ファイルは Microsoft Windows で最も重要なシステムファイルの 1 つです。このファイルは、DNS サーバではなく<br />
厳密にローカルコンピュータ上で URL アドレスを IP アドレスに変換することで、Web リソースにアクセスをリダイレクトす<br />
るように記述されています。Hosts ファイルはプレーンテキストファイルで、各行でサーバのシンボル名 (URL) とその IP ア<br />
ドレスの対応が定義されます。<br />
マルウェアは通常、アンチウイルスアプリケーションのアップデートサーバのアドレスを定義し直し、更新を妨害してシグネ<br />
チャ手法によるマルウェアの検知をできなくすること、その他の目的でこのファイルを利用します。<br />
入力/出力のリダイレクト<br />
多くの場合ネットワークに入力/出力をリダイレクトするコマンドラインの実行には本質的な弱点があり、一般にコンピュータへ<br />
のリモートアクセス権を取得する目的で利用可能です。<br />
悪意あるオブジェクトは、コマンドの実行に悪用するために、ます標的となるコンピュータのコマンドラインへのアクセスを取得<br />
しようとします。アクセスが取得されるのは、通常、リモート攻撃およびこの脆弱性を利用するスクリプトの起動の後です。この<br />
スクリプトは、TCP 経由で接続されたコンピュータからコマンドラインインタプリタを実行します。その結果、侵入者はシステム<br />
をリモートで管理できるようになります。<br />
1 プロセスへの侵入/すべてのプロセスへの侵入<br />
実行ファイル、ライブラリ、既知のプログラムの拡張モジュールとしてマスクされ、標準プロセスに侵入するマルウェアには多く<br />
の種類があります。侵入者はそのようにしてユーザのコンピュータでデータ消失を引き起こします。悪性コードが作り出すネッ<br />
トワークトラフィックは、インターネットアクセスを許可されたプログラムが作り出すトラフィックとして識別されるため、ファイア<br />
ウォールのフィルタリングで除外されません。<br />
トロイの木馬は一般に、他のプロセスに侵入します。ところが、その種のアクティビティは、特定の無害なプログラム、更新<br />
パッケージ、インストールウィザードの特徴でもあります。たとえば、翻訳プログラムはホットキーの押下を追跡するために他<br />
のプロセスに侵入します。<br />
レジストリへの疑わしいアクセス<br />
マルウェアは、オペレーティングシステムの起動時に自動実行されるように自分自身を登録し、Microsoft Internet Explorer<br />
のホームページを変更し、他の多くの有害な処理を実行するために、レジストリを変更します。ただし、通常のプログラムもシ<br />
ステムレジストリにアクセスする場合があるので注意が必要です。たとえば、ライセンス情報など固有の機密情報をユーザか<br />
ら隠すために、通常のプログラムでも隠しレジストリキーを作成および利用する可能性があります。<br />
マルウェアは、regedit のような通常のプログラムでは表示されない隠しレジストリキーを作成します。無効な名前のキーが<br />
作成されます。これは、レジストリエディタにそれらの値が表示されないようにするためで、システム内にマルウェアが存在す<br />
るかどうかの診断を複雑化する要因となります。<br />
信頼するアプリケーションを利用したデータ送信<br />
実行ファイル、ライブラリ、既知のプログラムの拡張モジュールとしてマスクされ、標準プロセスに侵入するマルウェアには多く<br />
の種類があります。侵入者はそのようにしてユーザのコンピュータでデータ消失を引き起こします。悪性コードが作り出すネッ