最終更新日:2026年5月20日
sg security_measures malware unauthorized_access sg-security-measures
まず結論
ルートキットとは、管理者権限(root権限)を取得してシステムを支配し、その存在や不正活動を隠蔽するマルウェアであり、SG試験では「管理者権限を使って隠す」という点を見抜くことが重要です。
直感的な説明
ルートキットは「管理者になりすまして証拠を消す仕組み」です。
たとえば
- 攻撃者が管理者権限を取得する
- ログを削除・改ざんする
- 不正プログラムを見えなくする
というように、“管理者だから何でもできる”状態を悪用して隠すのが特徴です。
👉 普通のユーザー権限ではできない操作ができる点が本質です
定義・仕組み
公式: JVN iPedia(脆弱性対策情報):公式: JVN iPedia(脆弱性対策情報) ルートキットは、管理者権限を利用してシステムの深い部分に介入します。
なぜ「ルート」なのか(重要)
- root=管理者権限(最も強い権限)
- OSの内部まで操作できる
- セキュリティ機能すら無効化できる
👉 この権限を取られると、検知が極めて困難になる
主な機能
- プロセスの隠蔽(動いていても見えない)
- ファイルの隠蔽
- ログの改ざん・削除
- セキュリティソフトの無効化
👉 これらはすべて「管理者権限があるから可能」
攻撃の流れでの位置づけ
- 脆弱性などで侵入
- 権限昇格(管理者権限を取得)
- ルートキットで隠蔽
SG試験では、
「権限昇格のあとに使われる」という流れで理解するのが重要です。
どんな場面で使う?
使うべき場面(試験・実務)
- 不正アクセス後の調査
- 権限昇格が疑われるケース
- ログが不自然に消えている場合
間違えやすい場面
- 初期侵入手段と混同
→ ルートキットは「侵入後+権限取得後」に使われる
よくある誤解・混同
① ルートキットの役割の誤解
- ❌ 攻撃を実行するマルウェア
- ⭕ 管理者権限を使って痕跡を隠すマルウェア
② 権限の重要性の見落とし(最重要)
- ❌ 普通の権限でも同じことができる
- ⭕ 管理者権限があるから隠蔽が可能
👉 SG試験ではここが最重要ポイント
③ ボットとの違い
- ❌ どちらも乗っ取り系
- ⭕ ボット=操作、ルートキット=管理者権限で隠蔽
SG試験での典型パターン
- 「管理者権限を取得している」
- 「ログが消されている/改ざんされている」
- 「不正プログラムが検知されない」
選択肢で
「自己増殖」や「情報収集」と書かれていれば
→ ルートキットではない
確認問題(SG試験対策)
次のうち、ルートキットの説明として最も適切なものはどれか。
- ア. 侵入後に存在や不正活動を隠し、管理者権限の維持などに使われるツール群である。
- イ. 利用者にIPアドレスを自動配布する通常のネットワーク機能である。
- ウ. 電子署名の検証に使う公開鍵証明書の失効リストである。
- エ. サービス停止を目的に大量通信を送る攻撃である。
▶ クリックして答えと解説を見る(ここを開く)
正解:ア
解説
- ア:侵入後に隠ぺいし、権限を維持する点が重要です。
- イ:DHCPの説明です。
- ウ:CRLの説明です。
- エ:DoS/DDoS攻撃の説明です。
👉 判断ポイント ルートキットは「侵入前の攻撃」ではなく「侵入後の隠ぺい・権限維持」で切り分ける。
まとめ(試験直前用)
- ルートキット=管理者権限で隠蔽するマルウェア
- root権限を使ってシステムを操作
- ログ改ざん・プロセス隠蔽が可能
- 権限昇格のあとに使われる
- 判断基準は「管理者権限で隠しているか」