OSの階層を超えたセキュリティ――マカフィー「Deep Defender」説明会ステルスマルウェアに対抗

» 2012年06月19日 17時21分 公開
[ITmedia]

OSに頼ったrootkitの検出は限界

マカフィー セールス・エンジニアリング本部の宮本浩二氏

 マカフィーは6月19日、インテルと共同で開発したセキュリティソリューション「Deep Defender」にかんする記者説明会を実施した。同製品は、Core i3/i5/i7に搭載されるVT-xを利用してrootkitのを検出する、ハードウェア支援型の次世代セキュリティ技術として注目されている(関連インタビュー:Intel×McAfeeの「DeepSAFE」でサイバー犯罪者の1歩先へ)。

 現在、特定企業や政府を狙った標的型攻撃(APT:Advanced Persistent Threat)が増加傾向にあるが、こうした攻撃の多くはマルウェアをステルス化するためにrootkitが使われているという。マカフィー セールス・エンジニアリング本部の宮本浩二氏は、rootkitの複雑化やrootkit作成ツールの蔓延による亜種の増加を挙げて、「従来のrootkit検出ツールはOS上で動作するため、より深い層で動くrootkitに対して検知しようとしても限度がある。また、マルウェア作成側が検知ツールの詳細を知っているために、スキャンのタイミングでrootkitをオフにするなど、検知を回避する動きも組み込まれている」と指摘する。

 こうしたrootkitに対して、HDDを外部ドライブとして別のPCからスキャンするなど、OSに依らない手法で可視化する方法も考えられるが、rootkitを検知しても削除できなかったり、亜種が発生するたびに同様の手法でスキャンするのは、企業での運用を考えると現実的ではないと同氏は語る。

より深いレベルでOSを改ざんするカーネルモードrootkitが登場し、これまでの駆除ツールでは機能しなくなってきている(写真=左)。外部ドライブとして認識させてスキャンする、CDブートでスキャンする、データをバックアップしてOSの再インストールを行うなど、有効な方法がないわけではないが、企業内での運用を考えると難しい(写真=右)

ハードウェア支援型セキュリティ

 そこで登場したのがインテルとマカフィーが共同開発した「Deep Defender」だ。Deep Defenderでは、Core i3/i5/i7(Sandy Bridge以降)に搭載される「McAfee Deep SAFE」(VT-x)がリアルタイムでカーネルメモリイベントを監視する。ここで疑わしい振る舞いを検知するとDeep SAFEドライバに通知し、不正なファイルが(アプリケーションとして提供される)Deep Defenderによって削除される仕組みだ。

 「基本的にどんなrootkitでもブロックできる。これは現在、マルウェアに感染しないのとほぼ同義」と宮本氏。また、Deep SAFE自体はハードウェアに組み込まれているため、システムに与える負荷が小さいのもメリットだという。なお、振る舞いによる検知は、亜種のrootkitに対応できる半面、誤検知の問題もあるが、Deep Defenderエージェントが保持するシグニチャや、GTI(マカフィーのクラウドデータベース)を判定に利用することで誤検知を抑えられるとしている。

 Deep Defenderの利用条件は、Core i3/i5/i7を搭載し、Intel VTが有効化されているシステム。現時点での対応OSは32ビット/64ビット版Windows 7だ(Windows 8やほかのサーバOSには次期バージョンで対応予定)。なお、仮想環境内での利用はできず、他社製セキュリティソフトとの共存もサポートされていない。

Deep Defenderの構造。OSよりも下のハードウェア上にセキュリティ機能を置くことでより深いレベルで動作するrootkitに対処する。Core i3/i5/i7に搭載されるDeep SAFE(VT-x)を利用する(写真=左/中央)。要件を満たすシステムにDeep Defenderをインストールし、BIOSでVT-xをオンにすれば利用できる。ただし、Hypervisor(Type1)との共存はできない、他社製セキュリティ製品が使えないといった制限がある(写真=右)

 Deep Defenderの国内提供時期は未定だが、2012年7月に企業向け製品のリリース時期が決定し、個人向けは2013年以降になるようだ。また、個人向け製品では、既存のセキュリティパッケージにDeep Defenderを組み込んだ形で提供されるだろうとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

2024年03月28日 更新
  1. Synology「BeeStation」は、“NASに興味があるけど未導入”な人に勧めたい 買い切り型で自分だけの4TBクラウドストレージを簡単に構築できる (2024年03月27日)
  2. 「ThinkPad」2024年モデルは何が変わった? 見どころをチェック! (2024年03月26日)
  3. ダイソーで330円の「手になじむワイヤレスマウス」を試す 名前通りの持ちやすさは“お値段以上”だが難点も (2024年03月27日)
  4. ミリ波レーダーで高度な検知を実現する「スマート人感センサーFP2」を試す 室内の転倒検出や睡眠モニターも実現 (2024年03月28日)
  5. ダイソーで550円で売っている「充電式ワイヤレスマウス」が意外と優秀 平たいボディーは携帯性抜群! (2024年03月25日)
  6. 次期永続ライセンス版の「Microsoft Office 2024」が2024年後半提供開始/macOS Sonoma 14.4のアップグレードでJavaがクラッシュ (2024年03月24日)
  7. いろいろ使えるFireタブレットが最大7000円オフ! Echo Budsは半額以下で買える! (2024年03月26日)
  8. 2025年までに「AI PC」を1億台普及させる――Intelが普及に向けた開発者支援をアップデート ASUS NUC 14 Proベースの「開発者キット」を用意 (2024年03月27日)
  9. 15.5万円の有機ELディスプレイ「MPG 271QRX QD-OLED」に指名買い続出 (2024年03月25日)
  10. サンワ、Windows Helloに対応したUSB Type-C指紋認証センサー (2024年03月27日)
最新トピックスPR

過去記事カレンダー