カーネルモードrootkit対策として、Microsoftは大幅にポリシーを変更し、カーネルモードソフトに電子署名を義務付けることにした。
カーネルモードrootkitの脅威の高まりを受けて、MicrosoftはWindows Vista x64版に認定されていないドライバがロードされないよう、大幅なポリシー変更を実施する計画だ。
Windows Vistaおよびサーバ版Longhornから、カーネルモードソフトは電子署名がなければx64ベースシステムにロードされなくなる。
署名のないドライバを遮断するという決定は、カーネルモードでネイティブAPIを遮って、直接Windowsデータ構造を操作する強力なrootkitの広がりを抑えるための直接的な試みだ。
Microsoftの広報担当者は、今回の広範なポリシー変更は同社のSDL(Security Development Lifecycle)の一環だとしている。SDLは、すべてのインターネット対応製品にセキュリティを組み込むために同社のエンジニアが利用している強制的なソフト開発プロセス。
「x64ベースシステムでWindows Vistaを走らせるすべてのカーネルモードソフトに電子署名を義務付けることで、Windows対応ソフトをインストールする管理者やエンドユーザーはそのソフトが正規のパブリッシャーから提供されているのかどうかを知ることができ、またカーネルマルウェアが顧客のシステムに及ぼす影響を抑える役に立つ」とこの担当者は語る。
rootkitは、身を隠して(セキュリティソフトによる)検出を免れ、コンピュータ上に居座り続けるコンポーネント。この技術は悪質なスパイウェアや個人情報の窃盗に多く使われてきた。
あるケースでは、ファイル、ディレクトリ、レジストリキー、プロセスを隠す非常に高度なカーネルモードrootkitが「Apropos」というスパイウェアで使われていることを研究者が発見した(12月9日の記事参照)。
Aproposのrootkitは、ブートプロセスの初期段階で自動的に起動するカーネルモードドライバにより実装されている。
このファイルとレジストリキーが隠されているときは、ユーザーモードプロセスでこれらにアクセスすることはできない。
Vistaのポリシー変更におけるMicrosoftの使命は、正規のソフトパブリッシャーがMicrosoftからPIC(Publisher Identity Certificate)を取得しない限り、信頼できないドライバのロードを防ぐことだ。
同社はPICを無料で提供するが、ソフトパブリッシャーはVeriSign Class 3 Commercial Software Publisher Certificateを購入しなくてはならない。
今回の変更は実質的に以下のことを意味する。
Microsoftはまた、今回のポリシー変更はシステムクラッシュの診断を向上させる役に立つとも述べている。
ユーザーがエラー発生後にWindows Error ReportingデータをMicrosoftに送信する方を選んだ場合、同社はそのデータを分析して、エラー発生時にどのパブリッシャーのソフトがシステム上で動作していたかを把握できる。
ソフトパブリッシャーはMicrosoftから提供された情報を使って、自社ソフトの問題を修正できるとMicrosoftは今回の変更を発表するホワイトペーパーで説明している。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.