Vistaの「PatchGuard」機能を回避する製品が登場（1/3 ページ）

Authentiumの「Authentium ESP Enterprise Platform」は、Vistaに搭載される「PatchGuard」カーネル保護技術を無効化することができるという。カーネルへのアクセス解禁を求めているSymantecやMcAfeeなどのセキュリティ企業とは異なり、単に同機能を回避する技術を開発しただけだと、同社の関係者は説明している。

[Matt Hines，eWEEK]

　セキュリティソフトウェアメーカーAuthentiumが、同社の主力製品の新版を開発したと発表した。Microsoftの次世代オペレーティングシステム「Windows Vista」に搭載される「PatchGuard」カーネル保護技術を無効化することができるという。

　フロリダ州パームビーチガーデンズに拠点を置くAuthentiumは、同社の新しい「Authentium ESP Enterprise Platform」で、Vistaカーネルが不正使用された際にデスクトップに警告を表示するPatchGuardの機能を動作させずに、同セキュリティシステムを回避することが可能だと述べている。

　電気通信事業者や、いわゆるマネージドサービスプロバイダーを対象にAuthentiumが販売しているESP Enterpriseは、ウイルスおよびスパイウェア対策、データリカバリ、ファイアウォール、トランザクション安全化などの機能を提供するソフトウェア開発キット（SDK）だ。

　一方PatchGuardは、64ビット版Vistaに実装されることになった「Kernel Patch Protection（KPP）」システムの一要素で、rootkitやその他のマルウェアからOSを守る機能である。PatchGuard機能の存在は、Microsoftと大手セキュリティソフトウェアメーカーの間で大きな議論となっていた。

　セキュリティ市場をリードするSymantecやMcAfeeをはじめ複数のセキュリティ企業が、PatchGuard機能が採用されたことで、Vistaと連係できる先進的な技術の開発が不可能になったと不満の声を上げたのである。

　PatchGuardは、アプリケーションがVistaのカーネルコマンドにアクセスしたり、改変したりすることを根本から防ぐための機能だ。カーネルの改変は、高性能な改ざん防止ツールや行動監視ツールで必要になるプロセスで、rootkitを悪用してコンピュータシステムを攻撃するハッカーも、そうした行為を試みる。

　Microsoftがセキュリティソフトウェア分野における自社の利益を図るためにカーネルへのアクセスを禁止していると糾弾してアクセス解禁を求めているSymantecやMcAfeeなどのセキュリティ企業とは異なり、Authentiumは単に同機能を回避する技術を開発しただけだと、同社の関係者は説明した。

　Microsoftは先日、同社のセキュリティパートナー各社に対し、PatchGuardとの連係を可能にする新たなAPIを提供することを決めている。なお、11月のボリュームライセンス向けVistaのリリースに際しては、64ビット版にのみこの機能が搭載される。

　Authentiumは、セキュリティ業界との論争に油を注ぐことになったMicrosoftのAPI提供によって、どの程度までカーネルにアクセスできるようになるかを静観すると同時に、みずからも手を打つことにしたと話している。

　Windows XPの64ビット版ですでに利用されているPatchGuard機能は、動作しているシステム上のカーネルをプログラムが改変しようとしている兆候を検知した場合に、ブルースクリーンを表示させて、稼働中のほかのWindowsアプリケーションをすべて終了する。

　Authentiumによると、同社の回避技術を利用すれば、こうしたシャットダウンを起こさせずにカーネルにアクセスできるのだという。

　具体的には、古いハードウェアがPatchGuard機能を回避するのをOSにサポートさせるために用意されている、Vistaカーネルの要素を活用していると、同社は明らかにした。Authentiumのツールはこうした「抜け穴」を使って、OSに気づかれることなくVistaカーネルを改変するドライバにアクセスできる。