ルートキット

ルートキットは、攻撃者がコンピュータの管理者権限（UNIX系で言う「root」権限）を奪取したうえで、自身の存在を隠蔽しながら継続的にシステムを支配するために使われるマルウェアの総称です。「ルート（root）」と「キット（kit、道具一式）」を組み合わせた造語で、検出や除去が極めて困難な点が特徴です。

ルートキットは動作する階層によって複数のタイプに分類されます。①ユーザーモード型は、ファイル一覧やプロセス一覧を返すAPIを書き換えて自身を一覧から消します。②カーネルモード型は、OSのカーネルに直接組み込まれて動作するため、セキュリティソフトからも検出が困難です。③ブートキットは、OSが起動する前のブートセクターやUEFIファームウェアに常駐し、再インストールしても残存することがあります。④仮想化型ルートキットは、OS自体を仮想マシンとして「上位」から監視・操作する高度な手法です。

感染経路としては、フィッシングメールの添付ファイル、改ざんされたWebサイトのドライブバイダウンロード、正規ソフトに紛れ込むサプライチェーン攻撃などがあります。検出にはオフライン環境からのスキャン、ファームウェアレベルの検証、専用のアンチルートキットツールが用いられますが、感染が確認された場合はOSの完全な再インストールが推奨されることも多いです。対策として、最新のセキュリティパッチ適用、信頼できるソースからのみソフトをダウンロードする運用、エンドポイント検出・対応（EDR）製品の導入が重要です。