マカフィーは6月19日、インテルと共同開発したセキュリティ技術「McAfee DeepSAFE」を搭載した初の製品となる「Deep Defender」と「ePO Deep Command」を発表した。CPUにセキュリティ機能を埋め込むことで、OSよりも深い場所に潜むルートキットの検出や、リモートからのPC管理を容易にしている。
マカフィーのプロフェッショナルサービス担当部長である兜森清忠氏は標的型サイバー攻撃の日本の現状と傾向を説明。標的型攻撃などの手法について紹介している。
兜森清忠氏
実際の攻撃例として「OPERATION AURORA」「Stuxnet」「Flame」を挙げて、システムの脆弱性とソーシャルエンジニアリングを活用して機密情報を盗み出そうとする傾向を示した。日本国内でも同様の攻撃が発生しており、「入り口対策、出口対策を含めた機能面での標的型攻撃対策が必要である」と警鐘を鳴らした。
松久育紀氏
同社プロダクトマーケティング部スペシャリストである松久育紀氏はDeep DefenderとePO Deep Commandの概要を説明。その背景には「標的型攻撃の増加と、それに使用されるルートキットの急増と進化がある」とした。ルートキットは四半期ごとに11万個の新種が出現しており、これは1日あたり1200個の計算になる。「リアルタイムでの対応が難しいことから標的型攻撃対策の大きなポイントになる」(松久氏)
宮本浩二氏
同社セールス・エンジニアリング本部のCISSPである宮本浩二氏も説明。ルートキットは、アプリケーションからの問い合わせを改ざんすることで、本来は存在しているマルウェアを隠そうとするツールだ。このため「長期間にわたって潜伏していることが多く、標的型攻撃にも多く使われている」(宮本氏)
ルートキット対策は2006年あたりから数十社が対策製品を提供し、その技術のままルートキットも減少していた。それが「最近になり巧妙化、複雑化が進み、さらに大量発生していることから、OSに頼った検出の限界にきている」(宮本氏)
-
FlameはStuxnetよりも複雑と指摘されている
-
ルートキットはマルウェアをアプリケーションから見えなくする
Deep Defenderは、DeepSAFEがベース。「Intel VT-x」の機能を活用して、よりOSに近いところで動作するハードウェア支援型セキュリティ技術によってルートキットを確実に可視化し、リアルタイムでカーネルメモリを保護しルートキット感染を防ぐ。振る舞い検知により新種のルートキットにも対応でき、動作の負荷も低く抑えた。
Deep Defenderは現在のところ、対応CPU「Intel Core i3/i5/i7」のみサポートとなっており、Intel VTがBIOSで有効になっていることが条件。対応OSはWindows 7だが、Windows 8にも対応予定という。仮想環境内での動作は不可、Type1ハイパーバイザとの共存も不可となっている。
-
Deep Defenderは最新のルートキットから保護する
-
Deep Defenderでルートキットを検出するデモも行われた
マカフィーのセキュリティ対策ソフトとの共存は検証済みだが、他社製ソフトはサポート外としている。ただし、今後の機能強化などにより制約が解消されていく可能性もあるとした。
