OSの階層を超えたセキュリティ――マカフィー「Deep Defender」説明会：ステルスマルウェアに対抗

[ITmedia]

OSに頼ったrootkitの検出は限界

マカフィー セールス・エンジニアリング本部の宮本浩二氏

　マカフィーは6月19日、インテルと共同で開発したセキュリティソリューション「Deep Defender」にかんする記者説明会を実施した。同製品は、Core i3／i5／i7に搭載されるVT-xを利用してrootkitのを検出する、ハードウェア支援型の次世代セキュリティ技術として注目されている（関連インタビュー：Intel×McAfeeの「DeepSAFE」でサイバー犯罪者の1歩先へ）。

　現在、特定企業や政府を狙った標的型攻撃（APT：Advanced Persistent Threat）が増加傾向にあるが、こうした攻撃の多くはマルウェアをステルス化するためにrootkitが使われているという。マカフィー セールス・エンジニアリング本部の宮本浩二氏は、rootkitの複雑化やrootkit作成ツールの蔓延による亜種の増加を挙げて、「従来のrootkit検出ツールはOS上で動作するため、より深い層で動くrootkitに対して検知しようとしても限度がある。また、マルウェア作成側が検知ツールの詳細を知っているために、スキャンのタイミングでrootkitをオフにするなど、検知を回避する動きも組み込まれている」と指摘する。

　こうしたrootkitに対して、HDDを外部ドライブとして別のPCからスキャンするなど、OSに依らない手法で可視化する方法も考えられるが、rootkitを検知しても削除できなかったり、亜種が発生するたびに同様の手法でスキャンするのは、企業での運用を考えると現実的ではないと同氏は語る。

より深いレベルでOSを改ざんするカーネルモードrootkitが登場し、これまでの駆除ツールでは機能しなくなってきている（写真＝左）。外部ドライブとして認識させてスキャンする、CDブートでスキャンする、データをバックアップしてOSの再インストールを行うなど、有効な方法がないわけではないが、企業内での運用を考えると難しい（写真＝右）

ハードウェア支援型セキュリティ

　そこで登場したのがインテルとマカフィーが共同開発した「Deep Defender」だ。Deep Defenderでは、Core i3／i5／i7（Sandy Bridge以降）に搭載される「McAfee Deep SAFE」（VT-x）がリアルタイムでカーネルメモリイベントを監視する。ここで疑わしい振る舞いを検知するとDeep SAFEドライバに通知し、不正なファイルが（アプリケーションとして提供される）Deep Defenderによって削除される仕組みだ。

　「基本的にどんなrootkitでもブロックできる。これは現在、マルウェアに感染しないのとほぼ同義」と宮本氏。また、Deep SAFE自体はハードウェアに組み込まれているため、システムに与える負荷が小さいのもメリットだという。なお、振る舞いによる検知は、亜種のrootkitに対応できる半面、誤検知の問題もあるが、Deep Defenderエージェントが保持するシグニチャや、GTI（マカフィーのクラウドデータベース）を判定に利用することで誤検知を抑えられるとしている。

　Deep Defenderの利用条件は、Core i3／i5／i7を搭載し、Intel VTが有効化されているシステム。現時点での対応OSは32ビット／64ビット版Windows 7だ（Windows 8やほかのサーバOSには次期バージョンで対応予定）。なお、仮想環境内での利用はできず、他社製セキュリティソフトとの共存もサポートされていない。

Deep Defenderの構造。OSよりも下のハードウェア上にセキュリティ機能を置くことでより深いレベルで動作するrootkitに対処する。Core i3／i5／i7に搭載されるDeep SAFE（VT-x）を利用する（写真＝左／中央）。要件を満たすシステムにDeep Defenderをインストールし、BIOSでVT-xをオンにすれば利用できる。ただし、Hypervisor（Type1）との共存はできない、他社製セキュリティ製品が使えないといった制限がある（写真＝右）

　Deep Defenderの国内提供時期は未定だが、2012年7月に企業向け製品のリリース時期が決定し、個人向けは2013年以降になるようだ。また、個人向け製品では、既存のセキュリティパッケージにDeep Defenderを組み込んだ形で提供されるだろうとしている。