Intel×McAfeeの「DeepSAFE」でサイバー犯罪者の1歩先へ：担当者に聞く（2/3 ページ）

特定の企業やインフラを狙った標的型攻撃が現実化する中、高度なマルウェアに対抗する手段として、McAfeeはハードウェア支援型セキュリティを開発した。McAfee Labsのデビット・マーカス氏に話を聞いた。

[後藤治，ITmedia]

インテル以外のプラットフォームにも展開

――　これまでのOS上で動作するセキュリティソフトでもヒューリスティックにマルウェアを検知する機能はありますが、それとは違うのでしょうか。

マーカス　いわゆる静的なヒューリスティックは、特定のマルウェアがとる特有の振る舞い、つまり既知の一定のパターンが出現したときに対処するものだが、DeepSAFEではそれがどんなものかは関係ない。メモリ上の動きそのものが危険かどうかを判断する。

――　ただその場合、どの振る舞いが正常で、どの振る舞いが悪意のあるものなのかを完全に分けることはできますか？

マーカス　たった1度の振る舞いから悪意があるかどうかを判断するのではなく、常に監視して、複数回のビヘイビアとそれまでの蓄積に照らして判断するようになっている。

――　質問を変えると、擬陽性についてです。間違って悪意のあるコードだと判定してしまう可能性は？

マーカス　その確率は非常に低いと言っていい。たった1度の不審な振る舞いから判断するのではなく、ある一定時間内に何度か疑われる振る舞いがあって、そこで初めて判定することで、擬陽性の結果を極力排除している。多くのプログラムはコードが“まずい”ので、悪意がなくても危険な振る舞いをしてしまうからね。また、安全なドライバなどはあらかじめ監視を回避して、誤って検知しないようにする仕組みもある。

――　逆に誤検知を極力抑えようとすると、つまり、たった数回の振る舞いでは断定しないとするならば、攻撃コードを通してしまう可能性はありませんか？ そのときDeepSAFEが攻撃されることはないのでしょうか。

マーカス　確かに場合によっては、悪意のある攻撃を通してしまうことがあるかもしれない。まったく新しい攻撃が出てくる可能性は常にある。しかし、DeepSAFEはマルウェア側からは決して見えない場所にあるので攻撃される可能性はない。

　今回はあくまでステルス攻撃とrootkitに特化したバージョン1に過ぎず、これから新しいバージョンが出てくるということも理解してほしい。

――　バージョン1.5ではどんな機能が？

マーカス　将来のロードマップについてこの場で言うことはできないが（笑）……ただ1つ言えるのは、VTxエクステンションを使って、これまで誰もやったことがないようなユニークな形で活用するような機能を考えている。それ以外のエクステンションについてもどんな使い方ができるかを模索している段階だ。で、おそらく君の次の質問は「ほかのチップではどうなるの」だろう？（笑）。

――　（笑）

マーカス　インテルが素晴らしいのは、McAfeeが完全子会社になった今でも独立経営を許し、我々が持っている強みをどんどん広げてほしいという態度を取っている点だ。つまり我々は、他社のチップについても同様の開発を継続できる。

――　そこには、AMDやNVIDIAも含まれる？

マーカス　可能だろう。我々はセキュリティ専業の企業として、できるだけ多くのベンダー、できるだけ多くのアーキテクチャ、できるだけ多くのプラットフォームで動作することを重視している。インテルチップ以外でのセキュリティに関しても当然やっていきたいと思っている。

Androidを狙ったモバイル端末向けのマルウェアが増加している

　また、モバイル分野でも大きなチャンスがあると考えている。モバイル端末における脅威、特にAndroid向けのマルウェアは今後も増えていくと予想されている。そしてその多くは、GPSで位置情報を発信するスクリーンセーバーや、個人情報を収集するゲームといったように、特定のあやしい振る舞いを行うアプリになるはずだ。このため、ビヘイビアベースで、シグニチャに依存せずにそれらを検出できる仕組みを考えている。

――　現状のAndroid向けセキュリティはroot化するような攻撃に対して効果的な対策を打てていないのが現状です。DeepSAFEのような技術がAndroid端末で利用できるようになるとしたらいいニュースですね。

マーカス　その通りで、まさにその点も検討している。かつて古いプラットフォームで犯した過ちを新しいプラットフォームで繰り返すことは避けたい。その意味でハードウェア支援型のセキュリティをAndroidにも広げていきたいと考えている。とはいえ、AndroidにおけるDeepSAFE的なものは将来の話で、今すぐということにはならない。ただ、Apple（iOS）とは異なり、Androidは非常にオープンで、アプリの開発が容易なため、同じようにマルウェアも簡単に開発できる。このため、まずはAndroidで、ということになるだろう。

――　ただ、ハードウェア支援型のセキュリティは、どうしても端末メーカーやキャリアと協業する必要がありますね。その時間を考えると、実現はだいぶ先になってしまいそうですが……。

マーカス　確かにその通りだが、我々がインテルの傘下にあるということも有利に働くと思っている。インテルはイノベーションにおいても先頭で旗を振っていて、多くの企業の意思決定に大きな影響力を持っている。マカフィーはセキュリティについて、一方のインテルはハードウェアとテクノロジーについて熟知していて、両社が1つになることで長期的に業界全体を正しい方向へ導けるようになればいいと思う。

　Googleは、開発が容易なプラットフォームを提供したという点で素晴らしい仕事をしたが、オープンであるということは“悪いやつら”にとっても同様だった。オープンで使いやすいものと、閉鎖的で活用しづらいものがあった場合、犯罪でどちらを利用するかといえば、答えははっきりしているだろう。

――　脱線しますけど、iOSは閉鎖的ですか？

マーカス　“クローズド”はまずかったかな。コントロールドのほうが、いやマネージドのほうがもっとよかったかもしれない。言葉は難しいね（笑）

　App Storeに自分が開発したコードをポストするためには何段階も承認を得なければならないわけだが、それ自体が悪いかいわれると、そうは思っていない。考え方が違うだけで、App StoreではAndroid Marketよりもきちんと管理されたアプリが手に入る。それをよいと思うユーザーもいれば、もっとオープンなプラットフォームを求めるユーザーもいるだろう。ユーザーが自分にあったものを選択すればいいわけで、善し悪しという問題ではない。

――　DeepSAFEについて、リリース時期はいつごろになる見込みですか？

マーカス　年末までに2つの製品を出す予定だ。年内のカンファレンスで実際にDeepSAFEが動作しているデモを披露することになる。一般への提供方法はこれまでのソフトウェアと同じように、従来の販売チャンネルを通じて行い、システムにインストールできるような形で提供する。ただ、コンシューマー向けは2012年にスイートの一環として提供される予定だ。2011年内のリリースはあくまで企業向けになる（※日本国内のリリース時期については未定）。