マカフィーは7月30日、サーバやクライアントといったエンドポイントに搭載するセキュリティソフトウェアの新版「McAfee Deep Defender v1.6」の販売を開始した。税別価格は11~25ライセンスで1ライセンス4070円となっている。
Deep Defenderは、McAfeeがIntelグループに入ってから開発されたソフトウェア。IntelのCPU内蔵仮想化支援機構であるVT-xを前提にしており、共同で開発した技術「McAfee DeepSAFE」を活用している。
従来のセキュリティソフトは、OSより上のレイヤで動くマルウェアを検知する。だが、近年はOSの中核であるカーネルを改ざんする“ルートキット”も登場している。
マカフィー マーケティング本部プロダクトマーケティング部 松久育紀氏
同日に開かれた説明会の中で、マカフィーの松久育紀氏(マーケティング本部プロダクトマーケティング部)はルートキットについて「ステルス化のツールであり、マルウェアをウイルス対策ソフトから見つからなくするのが目的」と説明した。
ルートキットはユーザーモードとカーネルモードの2つのパターンで作動するが、ユーザーモードのルートキットは従来のウイルス対策ソフトでも検知できる。だが、カーネルモードのルートキットになると、OSのカーネルを改ざんすることでウイルス対策ソフトでスキャンしても検出できないケースが増えているという。
最近では、OSより下の層にあるマスターブートレコード(MBR)で作動するルートキットも確認されている。「“ブートキット”とも言われるMBRルートキットはMBRを改変することで、ファイルシステムの外の領域に潜伏する。検出が極めて困難になる」(松久氏)
VT-xとDeepSAFEをベースにするDeep Defenderはハードウェア支援型のセキュリティ技術であり、従来の方式では検出できなかったMBRルートキットも確実に検出できるという。リアルタイムにカーネルのメモリを保護することで、感染する前にルートキットをブロックできると松久氏は説明した。未知の新種のルートキットに対しては、プログラムの振る舞いから検知するヒューリスティックエンジンで対応する。
※クリックすると拡大画像が見られます
これまでのDeep DefenderはクライアントOSとして「Windows 7」とVT-xが搭載されるIntelのCPU「Core i3/i5/i7」シリーズに対応。新版となるv1.6では、サポートするクライアントOSに「Windows 8」を追加した。また、サーバOSとして「Windows Server 2008 R2 SP1」(64ビット版)にも対応し、サポートするCPUに「Xeon E3/E5/E7」シリーズを追加した。
Deep DefenderはカーネルモードのルートキットやMBRルートキットから保護してきたが、新版ではBIOSへのアクセスも監視する機能も搭載している。マシンを立ち上げるタイミングでBIOSレベルでアクセスを監視したり、定期的に監視したりできるようになっている。対象となるコンポーネントのハッシュ値がポリシーで設定されたホワイトリストにない場合に、そのことを管理サーバに送信することもできる。
Deep Defender v1.6ではWindows Server 2008 R2をサポートしている。今後の予定として松久氏は「Windows Server 2012」に対応することを明らかにしている。現在、企業で活用しているサーバOSとしてはLinuxもあるが、「Linuxを対象にしたルートキットは見つかっていない」(松久氏)ことから、まずはWindows Serverのサポートを優先するとしている。
日立製作所 情報・通信システム社 ITプラットフォーム事業本部 開発統括本部 芳野泰成氏
論理分割機構「Virtage」の可能性
ルートキットを検知、削除するためのDeep Defenderだが、現在のシステム環境に活用しきれない課題もある。ハイパーバイザをベースにした仮想環境に対応できないからだ。「次のバージョン以降でハイパーバイザに対応を予定している」(松久氏)が、最新版であるv1.6では対応していない。
これは「ハイパーバイザとDeepSAFEがVT-xを取り合うになってしまう」からだ。日立製作所の芳野泰成氏(情報・通信システム社ITプラットフォーム事業本部開発統括本部)が説明会の中でそう言明した。芳野氏はDeep Defenderについて「業界で唯一、カーネルモードで動作するルートキットに対処可能なセキュリティソフト」と説明した上で明言している。つまり、「Deep Defenderを使う場合は、仮想化によるコンソリデーションができない」(芳野氏)。