マカフィーは6月19日、インテルと共同で開発したセキュリティソリューション「Deep Defender」にかんする記者説明会を実施した。同製品は、Core i3/i5/i7に搭載されるVT-xを利用してrootkitのを検出する、ハードウェア支援型の次世代セキュリティ技術として注目されている(関連インタビュー:Intel×McAfeeの「DeepSAFE」でサイバー犯罪者の1歩先へ)。
現在、特定企業や政府を狙った標的型攻撃(APT:Advanced Persistent Threat)が増加傾向にあるが、こうした攻撃の多くはマルウェアをステルス化するためにrootkitが使われているという。マカフィー セールス・エンジニアリング本部の宮本浩二氏は、rootkitの複雑化やrootkit作成ツールの蔓延による亜種の増加を挙げて、「従来のrootkit検出ツールはOS上で動作するため、より深い層で動くrootkitに対して検知しようとしても限度がある。また、マルウェア作成側が検知ツールの詳細を知っているために、スキャンのタイミングでrootkitをオフにするなど、検知を回避する動きも組み込まれている」と指摘する。
こうしたrootkitに対して、HDDを外部ドライブとして別のPCからスキャンするなど、OSに依らない手法で可視化する方法も考えられるが、rootkitを検知しても削除できなかったり、亜種が発生するたびに同様の手法でスキャンするのは、企業での運用を考えると現実的ではないと同氏は語る。
そこで登場したのがインテルとマカフィーが共同開発した「Deep Defender」だ。Deep Defenderでは、Core i3/i5/i7(Sandy Bridge以降)に搭載される「McAfee Deep SAFE」(VT-x)がリアルタイムでカーネルメモリイベントを監視する。ここで疑わしい振る舞いを検知するとDeep SAFEドライバに通知し、不正なファイルが(アプリケーションとして提供される)Deep Defenderによって削除される仕組みだ。
「基本的にどんなrootkitでもブロックできる。これは現在、マルウェアに感染しないのとほぼ同義」と宮本氏。また、Deep SAFE自体はハードウェアに組み込まれているため、システムに与える負荷が小さいのもメリットだという。なお、振る舞いによる検知は、亜種のrootkitに対応できる半面、誤検知の問題もあるが、Deep Defenderエージェントが保持するシグニチャや、GTI(マカフィーのクラウドデータベース)を判定に利用することで誤検知を抑えられるとしている。
Deep Defenderの利用条件は、Core i3/i5/i7を搭載し、Intel VTが有効化されているシステム。現時点での対応OSは32ビット/64ビット版Windows 7だ(Windows 8やほかのサーバOSには次期バージョンで対応予定)。なお、仮想環境内での利用はできず、他社製セキュリティソフトとの共存もサポートされていない。
Deep Defenderの国内提供時期は未定だが、2012年7月に企業向け製品のリリース時期が決定し、個人向けは2013年以降になるようだ。また、個人向け製品では、既存のセキュリティパッケージにDeep Defenderを組み込んだ形で提供されるだろうとしている。
Copyright © ITmedia, Inc. All Rights Reserved.