sg security_measures malware unauthorized_access sg-security-measures
まず結論
ルートキットとは、管理者権限(root権限)を取得してシステムを支配し、その存在や不正活動を隠蔽するマルウェアであり、SG試験では「管理者権限を使って隠す」という点を見抜くことが重要です。
直感的な説明
ルートキットは「管理者になりすまして証拠を消す仕組み」です。
たとえば
- 攻撃者が管理者権限を取得する
- ログを削除・改ざんする
- 不正プログラムを見えなくする
というように、“管理者だから何でもできる”状態を悪用して隠すのが特徴です。
👉 普通のユーザー権限ではできない操作ができる点が本質です
定義・仕組み
ルートキットは、管理者権限を利用してシステムの深い部分に介入します。
なぜ「ルート」なのか(重要)
- root=管理者権限(最も強い権限)
- OSの内部まで操作できる
- セキュリティ機能すら無効化できる
👉 この権限を取られると、検知が極めて困難になる
主な機能
- プロセスの隠蔽(動いていても見えない)
- ファイルの隠蔽
- ログの改ざん・削除
- セキュリティソフトの無効化
👉 これらはすべて「管理者権限があるから可能」
攻撃の流れでの位置づけ
- 脆弱性などで侵入
- 権限昇格(管理者権限を取得)
- ルートキットで隠蔽
SG試験では、
「権限昇格のあとに使われる」という流れで理解するのが重要です。
どんな場面で使う?
使うべき場面(試験・実務)
- 不正アクセス後の調査
- 権限昇格が疑われるケース
- ログが不自然に消えている場合
間違えやすい場面
- 初期侵入手段と混同
→ ルートキットは「侵入後+権限取得後」に使われる
よくある誤解・混同
① ルートキットの役割の誤解
- ❌ 攻撃を実行するマルウェア
- ⭕ 管理者権限を使って痕跡を隠すマルウェア
② 権限の重要性の見落とし(最重要)
- ❌ 普通の権限でも同じことができる
- ⭕ 管理者権限があるから隠蔽が可能
👉 SG試験ではここが最重要ポイント
③ ボットとの違い
- ❌ どちらも乗っ取り系
- ⭕ ボット=操作、ルートキット=管理者権限で隠蔽
SG試験での典型パターン
- 「管理者権限を取得している」
- 「ログが消されている/改ざんされている」
- 「不正プログラムが検知されない」
選択肢で
「自己増殖」や「情報収集」と書かれていれば
→ ルートキットではない
確認問題(SG試験対策)
次のうち、ルートキットの説明として最も適切なものはどれか。
A. 侵入後に存在や不正活動を隠し、管理者権限の維持などに使われるツール群である。 B. 利用者にIPアドレスを自動配布する通常のネットワーク機能である。 C. 電子署名の検証に使う公開鍵証明書の失効リストである。 D. サービス停止を目的に大量通信を送る攻撃である。
▶ クリックして答えと解説を見る(ここを開く)
正解:A
解説
- A:侵入後に隠ぺいし、権限を維持する点が重要です。
- B:DHCPの説明です。
- C:CRLの説明です。
- D:DoS/DDoS攻撃の説明です。
👉 判断ポイント ルートキットは「侵入前の攻撃」ではなく「侵入後の隠ぺい・権限維持」で切り分ける。
まとめ(試験直前用)
- ルートキット=管理者権限で隠蔽するマルウェア
- root権限を使ってシステムを操作
- ログ改ざん・プロセス隠蔽が可能
- 権限昇格のあとに使われる
- 判断基準は「管理者権限で隠しているか」
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】
- アクセス制御(認可)とは?認証との違いを整理【SG試験】