対象試験と出題頻度
「セキュリティソフトでスキャンしても何も検出されないのに、PCの動作がどこかおかしい」。
こうした”気づけない侵害”の正体としてよく登場するのがルートキットです。
情報セキュリティマネジメント・基本情報技術者・応用情報技術者で、マルウェアの種類を識別する問題の選択肢として繰り返し顔を出します。
出題の中心は「ほかのマルウェアとの違い」です。トロイの木馬やワーム、スパイウェアといった用語と並べられ、「侵入後に存在を隠す」という特徴を選べるかが問われます。
マルウェア全体の見取り図はマルウェアの種類と違いで整理しているので、合わせて押さえると選択肢の切り分けが速くなります。
対象試験と頻度の詳細を開く
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
ルートキット(rootkit)とは、一言で言うと
「不正侵入の痕跡や、仕込んだ不正ツールの存在を隠すための機能をまとめたソフトウェア群」
のことです。
イメージとしては、「空き巣が仕掛ける”消臭スプレーと足跡消し”のセット」です。
空き巣そのものが盗みを働く道具なのに対し、ルートキットは「侵入したことに家主が気づかないようにする」ための道具箱です。
足跡を消し、防犯カメラの記録をすり替え、何度でも出入りできる裏口を確保する。被害そのものより”見つからなくする”ことに特化している点が、ほかのマルウェアと決定的に違います。
📊 ルートキットの基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | rootkit(root + kit) |
| 語源 | UNIXの最高権限「root」を奪う「道具一式(kit)」 |
| 分類 | マルウェアの一種(隠蔽特化型) |
| 主な目的 | 侵入痕跡の隠蔽・バックドアの維持・検知の回避 |
解説
攻撃者にとって、システムに一度侵入できたとしても、それがすぐ管理者にバレては意味がありません。
ログに残った不審なアクセス、見慣れないプロセス、増えた怪しいファイル。
これらが管理者の目に触れれば、即座に駆除され、侵入経路もふさがれてしまいます。
そこで攻撃者は、侵入後に「自分の存在そのものを見えなくする」道具を仕込みます。これがルートキットが生まれた背景です。
名前の由来は、UNIX系OSの最高権限ユーザー「root」を奪取し、それを維持するための「kit(道具一式)」というところにあります。
なぜ検知が難しいのか:OSの”目”そのものを書き換える
ルートキットが厄介なのは、OSがファイルやプロセスを一覧表示する仕組みそのものに割り込み、自分に都合の悪い情報を「最初から無かったこと」にしてしまう点です。
管理者がコマンドで確認しても、改ざんされた応答が返ってくるため、画面上には何も異常が映りません。
通常時 と ルートキット感染時 の比較
✅ 通常時
管理者「プロセス一覧を見せて」
↓
OSが すべて正直に 返す
↓
不審なプロセスを発見できる 👀
⚠️ 感染時
管理者「プロセス一覧を見せて」
↓
ルートキットが 横取りして改ざん
↓
不審なプロセスだけ消えて見える 🚫
潜む”深さ”による種類
ルートキットは、システムのどの階層に潜むかで隠蔽力と駆除の難しさが変わります。
深く潜るほど見つけにくく、駆除も困難になります。
| 潜む階層 | 特徴 | 駆除難易度 |
|---|---|---|
| ユーザーモード型 | アプリ層で動作。比較的浅く、検出しやすい | 低〜中 |
| カーネルモード型 | OSの中核に潜り込み、検知機構そのものを欺く | 高 |
| ファームウェア型 | BIOS/UEFIなどに潜む。OS再インストールでも生き残る | 極めて高 |
NIST(米国国立標準技術研究所)のガイドラインでも、ルートキットは「侵害された後の正規ツールの応答を信用できなくする」点が指摘されており、感染が疑われる場合は外部の信頼できる媒体から起動して調べる、あるいはシステムを丸ごと再構築する対応が推奨されます。
深く潜るタイプは、表面的なスキャンでは歯が立ちません。
💡 ここだけ押さえる3行
・侵入の「痕跡」と仕込んだ「ツールの存在」を隠すソフトウェア群
・OSの一覧表示機能に割り込み、不審な情報を見えなくするから検知が難しい
・深く潜るほど(カーネル→ファームウェア)駆除は困難になる
では、この用語が選択肢のなかでどう問われるか、実際の出題を見ていきます。
試験ではこう出る!
ルートキットは、午前(科目A)で「マルウェアの特徴を表す説明文を選ぶ」形式で繰り返し登場します。
同じ問題がFE・APの両方で使い回される代表例でもあり、一度パターンを覚えれば複数の試験区分で得点に直結します。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| FE H28秋 午前 問41 |
バックドアを作り、侵入の痕跡を隠蔽する機能がパッケージ化された不正プログラムを選ぶ。 | ・正解は「rootkit」 ・RFID/TKIP/Webビーコンがひっかけ |
| AP H27春 午前 問43 |
上記FE H28秋問41と同一構成の問題(流用)。 | ・FEとAPで同じ問題が出回る典型例 ・選択肢もほぼ同一 |
| SG サンプル問題 |
ルートキットの特徴として正しいものを選ぶ。 | ・正解は「不正に組み込んだツールの存在を隠す」 ・「脆弱性を分析する」等がひっかけ |
| ITパスポート (複数回) |
マルウェアの分類問題の選択肢として登場。 | ・「隠蔽」というキーワードで識別 ・直近7年で複数回出題 |
📝 出題パターンとひっかけ
パターン1:「説明文からルートキットを選べ」
4つのマルウェア説明文が並び、「侵入の痕跡を隠蔽」「存在を隠す」という表現が含まれる選択肢を選ぶ形式。逆向きに「rootkitの説明はどれか」と問う出題もある。決め手は「隠蔽」「痕跡」「存在を隠す」のキーワード。
パターン2:略語に紛れさせるひっかけ
FE H28秋のように、RFID(ICタグ技術)・TKIP(無線の暗号方式)・Webビーコン(アクセス解析用の画像)といった「rが付く/3〜4文字の略語」を並べて惑わせる。これらは攻撃ツールではない点で即除外できる。
典型的なひっかけ選択肢
「脆弱性を分析するツール」「マルウェアに感染していないか確認するツール」——これらは正規のセキュリティツールの説明であり、攻撃側の道具であるルートキットとは正反対。SGサンプル問題で実際に使われた誤答パターン。
午前対策はここが得点ラインです。種類(カーネル型など)の細部まで問われることはほぼないので、深追いは不要です。
【確認テスト】理解度チェック
Q. マルウェアの一種である「ルートキット(rootkit)」の説明として、最も適切なものはどれでしょうか?
- A. ネットワークを自己増殖しながら次々と他のコンピュータへ感染を広げ、システムに過負荷を与える。
- B. 利用者のキー入力やWeb閲覧履歴を密かに収集し、外部の攻撃者へ送信する。
- C. システムに不正侵入した後、その痕跡や仕込んだツールの存在を隠蔽し、バックドアを維持する機能をまとめている。
正解と解説を見る
正解:C
解説:
ルートキットは、不正侵入の痕跡や仕込んだ不正ツールの存在を隠し、再侵入用の裏口(バックドア)を維持するための機能を一括りにしたソフトウェア群です。「隠蔽」がキーワードである選択肢Cが正解になります。
選択肢Aはワームの説明です。ワームは自己増殖と感染拡大が特徴であり、存在を隠すことに特化したルートキットとは目的が異なります。選択肢Bはスパイウェア(キーロガーを含む)の説明です。情報を盗んで送信するのが目的で、痕跡の隠蔽を主目的とするルートキットとは役割が違います。なお、ルートキットがスパイウェアやキーロガーを”内包する”ことはありますが、ルートキット自体の定義は「隠す機能のまとまり」である点を区別してください。
よくある質問(FAQ)
Q. ルートキットとバックドアは同じものですか?
別物ですが密接に関係します。バックドアは「再侵入用の裏口」という単一の仕掛けを指し、ルートキットはその裏口を含む複数の隠蔽・維持機能を”パッケージ化”したものです。つまりバックドアはルートキットの構成部品の一つになり得ます。FE H28秋問41でも「バックドアを作り、痕跡を隠蔽する機能がパッケージ化された」という表現でルートキットが問われており、両者の包含関係を意識すると選択肢を読み解きやすくなります。
Q. ルートキットに感染したら、どうやって駆除すればいいですか?
感染したOS上から普通のセキュリティソフトでスキャンしても、OSの応答自体が改ざんされているため発見できないことがあります。実務では、感染していない外部の起動媒体からPCを立ち上げて調べる「オフラインスキャン」や、最終手段としてストレージを初期化してシステムを再構築する方法が取られます。ファームウェア型のように再インストールでも残るタイプは、機器の交換が必要になる場合もあります。
Q. トロイの木馬とルートキットはどう違いますか?
トロイの木馬は「正規のソフトを装ってユーザー自身に実行させる”侵入の手口”」に重きがあります。一方ルートキットは「侵入した後に居座り続けるための”隠れる手口”」が中心です。攻撃の時間軸でいえば、トロイの木馬が入口、ルートキットがその後の潜伏フェーズに対応します。両者がセットで使われることも多く、各マルウェアの役割分担はマルウェアの種類と違いの記事で時系列とともに整理しています。
Q. 「root」という名前なのに、Windowsにも感染しますか?
します。「root」はUNIX系OSの最高権限を指す言葉が語源ですが、現在ではOSを問わず「最高権限を奪って存在を隠すツール群」を広くルートキットと呼びます。Windowsでも管理者権限(Administrator)を掌握して同様の隠蔽を行うものが存在します。名前の由来は歴史的なものであり、対象OSを限定するわけではない、と理解しておけば十分です。
→ マルウェア全体の分類・見分け方は「マルウェアの種類と違い|12種の分類・見分け方をわかりやすく解説」で整理しています。
