編集部からのお知らせ
HCIの記事をまとめた資料ダウンロード
記事集:クラウドのネットワーク監視

マカフィー、インテルとの共同技術を製品化--ルートキット対応策をCPUに

吉澤亨史

2012-06-19 19:12

 マカフィーは6月19日、インテルと共同開発したセキュリティ技術「McAfee DeepSAFE」を搭載した初の製品となる「Deep Defender」と「ePO Deep Command」を発表した。CPUにセキュリティ機能を埋め込むことで、OSよりも深い場所に潜むルートキットの検出や、リモートからのPC管理を容易にしている。

 マカフィーのプロフェッショナルサービス担当部長である兜森清忠氏は標的型サイバー攻撃の日本の現状と傾向を説明。標的型攻撃などの手法について紹介している。

写真1 兜森清忠氏

 実際の攻撃例として「OPERATION AURORA」「Stuxnet」「Flame」を挙げて、システムの脆弱性とソーシャルエンジニアリングを活用して機密情報を盗み出そうとする傾向を示した。日本国内でも同様の攻撃が発生しており、「入り口対策、出口対策を含めた機能面での標的型攻撃対策が必要である」と警鐘を鳴らした。

写真2 松久育紀氏

 同社プロダクトマーケティング部スペシャリストである松久育紀氏はDeep DefenderとePO Deep Commandの概要を説明。その背景には「標的型攻撃の増加と、それに使用されるルートキットの急増と進化がある」とした。ルートキットは四半期ごとに11万個の新種が出現しており、これは1日あたり1200個の計算になる。「リアルタイムでの対応が難しいことから標的型攻撃対策の大きなポイントになる」(松久氏)

写真3 宮本浩二氏

 同社セールス・エンジニアリング本部のCISSPである宮本浩二氏も説明。ルートキットは、アプリケーションからの問い合わせを改ざんすることで、本来は存在しているマルウェアを隠そうとするツールだ。このため「長期間にわたって潜伏していることが多く、標的型攻撃にも多く使われている」(宮本氏)

 ルートキット対策は2006年あたりから数十社が対策製品を提供し、その技術のままルートキットも減少していた。それが「最近になり巧妙化、複雑化が進み、さらに大量発生していることから、OSに頼った検出の限界にきている」(宮本氏)

  • FlameはStuxnetよりも複雑と指摘されている

  • ルートキットはマルウェアをアプリケーションから見えなくする

 Deep Defenderは、DeepSAFEがベース。「Intel VT-x」の機能を活用して、よりOSに近いところで動作するハードウェア支援型セキュリティ技術によってルートキットを確実に可視化し、リアルタイムでカーネルメモリを保護しルートキット感染を防ぐ。振る舞い検知により新種のルートキットにも対応でき、動作の負荷も低く抑えた。

 Deep Defenderは現在のところ、対応CPU「Intel Core i3/i5/i7」のみサポートとなっており、Intel VTがBIOSで有効になっていることが条件。対応OSはWindows 7だが、Windows 8にも対応予定という。仮想環境内での動作は不可、Type1ハイパーバイザとの共存も不可となっている。

  • Deep Defenderは最新のルートキットから保護する

  • Deep Defenderでルートキットを検出するデモも行われた

 マカフィーのセキュリティ対策ソフトとの共存は検証済みだが、他社製ソフトはサポート外としている。ただし、今後の機能強化などにより制約が解消されていく可能性もあるとした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]