編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」

ルートキット対策ソフト「McAfee Deep Defender」新版--Windows 8にも対応

2013-07-31 16:49

 マカフィーは7月30日、サーバやクライアントといったエンドポイントに搭載するセキュリティソフトウェアの新版「McAfee Deep Defender v1.6」の販売を開始した。税別価格は11~25ライセンスで1ライセンス4070円となっている。

 Deep Defenderは、McAfeeがIntelグループに入ってから開発されたソフトウェア。IntelのCPU内蔵仮想化支援機構であるVT-xを前提にしており、共同で開発した技術「McAfee DeepSAFE」を活用している。

 従来のセキュリティソフトは、OSより上のレイヤで動くマルウェアを検知する。だが、近年はOSの中核であるカーネルを改ざんする“ルートキット”も登場している。


マカフィー マーケティング本部プロダクトマーケティング部 松久育紀氏

 同日に開かれた説明会の中で、マカフィーの松久育紀氏(マーケティング本部プロダクトマーケティング部)はルートキットについて「ステルス化のツールであり、マルウェアをウイルス対策ソフトから見つからなくするのが目的」と説明した。

 ルートキットはユーザーモードとカーネルモードの2つのパターンで作動するが、ユーザーモードのルートキットは従来のウイルス対策ソフトでも検知できる。だが、カーネルモードのルートキットになると、OSのカーネルを改ざんすることでウイルス対策ソフトでスキャンしても検出できないケースが増えているという。

 最近では、OSより下の層にあるマスターブートレコード(MBR)で作動するルートキットも確認されている。「“ブートキット”とも言われるMBRルートキットはMBRを改変することで、ファイルシステムの外の領域に潜伏する。検出が極めて困難になる」(松久氏)

 VT-xとDeepSAFEをベースにするDeep Defenderはハードウェア支援型のセキュリティ技術であり、従来の方式では検出できなかったMBRルートキットも確実に検出できるという。リアルタイムにカーネルのメモリを保護することで、感染する前にルートキットをブロックできると松久氏は説明した。未知の新種のルートキットに対しては、プログラムの振る舞いから検知するヒューリスティックエンジンで対応する。

 これまでのDeep DefenderはクライアントOSとして「Windows 7」とVT-xが搭載されるIntelのCPU「Core i3/i5/i7」シリーズに対応。新版となるv1.6では、サポートするクライアントOSに「Windows 8」を追加した。また、サーバOSとして「Windows Server 2008 R2 SP1」(64ビット版)にも対応し、サポートするCPUに「Xeon E3/E5/E7」シリーズを追加した。

 Deep DefenderはカーネルモードのルートキットやMBRルートキットから保護してきたが、新版ではBIOSへのアクセスも監視する機能も搭載している。マシンを立ち上げるタイミングでBIOSレベルでアクセスを監視したり、定期的に監視したりできるようになっている。対象となるコンポーネントのハッシュ値がポリシーで設定されたホワイトリストにない場合に、そのことを管理サーバに送信することもできる。

 Deep Defender v1.6ではWindows Server 2008 R2をサポートしている。今後の予定として松久氏は「Windows Server 2012」に対応することを明らかにしている。現在、企業で活用しているサーバOSとしてはLinuxもあるが、「Linuxを対象にしたルートキットは見つかっていない」(松久氏)ことから、まずはWindows Serverのサポートを優先するとしている。


日立製作所 情報・通信システム社 ITプラットフォーム事業本部 開発統括本部 芳野泰成氏

論理分割機構「Virtage」の可能性

 ルートキットを検知、削除するためのDeep Defenderだが、現在のシステム環境に活用しきれない課題もある。ハイパーバイザをベースにした仮想環境に対応できないからだ。「次のバージョン以降でハイパーバイザに対応を予定している」(松久氏)が、最新版であるv1.6では対応していない。

 これは「ハイパーバイザとDeepSAFEがVT-xを取り合うになってしまう」からだ。日立製作所の芳野泰成氏(情報・通信システム社ITプラットフォーム事業本部開発統括本部)が説明会の中でそう言明した。芳野氏はDeep Defenderについて「業界で唯一、カーネルモードで動作するルートキットに対処可能なセキュリティソフト」と説明した上で明言している。つまり、「Deep Defenderを使う場合は、仮想化によるコンソリデーションができない」(芳野氏)。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    マンガで解説、移行済みの担当者にも役立つ! Windows10移行&運用ガイド

  2. クラウドコンピューティング

    カギは物理世界とクラウドの接続あり!成果が出やすいIoT活用のアプローチを知る

  3. クラウドコンピューティング

    IoTにはこれだけのサイバー攻撃リスクが!まずはベストプラクティスの習得を

  4. セキュリティ

    エンドポイントの脅威対策をワンストップで提供 現場の負荷を軽減する運用サービス活用のススメ

  5. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]