ルートキット対策ソフト「McAfee Deep Defender」新版--Windows 8にも対応

2013年07月31日 16時49分

  • このエントリーをはてなブックマークに追加

 マカフィーは7月30日、サーバやクライアントといったエンドポイントに搭載するセキュリティソフトウェアの新版「McAfee Deep Defender v1.6」の販売を開始した。税別価格は11~25ライセンスで1ライセンス4070円となっている。

 Deep Defenderは、McAfeeがIntelグループに入ってから開発されたソフトウェア。IntelのCPU内蔵仮想化支援機構であるVT-xを前提にしており、共同で開発した技術「McAfee DeepSAFE」を活用している。

 従来のセキュリティソフトは、OSより上のレイヤで動くマルウェアを検知する。だが、近年はOSの中核であるカーネルを改ざんする“ルートキット”も登場している。


マカフィー マーケティング本部プロダクトマーケティング部 松久育紀氏

 同日に開かれた説明会の中で、マカフィーの松久育紀氏(マーケティング本部プロダクトマーケティング部)はルートキットについて「ステルス化のツールであり、マルウェアをウイルス対策ソフトから見つからなくするのが目的」と説明した。

 ルートキットはユーザーモードとカーネルモードの2つのパターンで作動するが、ユーザーモードのルートキットは従来のウイルス対策ソフトでも検知できる。だが、カーネルモードのルートキットになると、OSのカーネルを改ざんすることでウイルス対策ソフトでスキャンしても検出できないケースが増えているという。

 最近では、OSより下の層にあるマスターブートレコード(MBR)で作動するルートキットも確認されている。「“ブートキット”とも言われるMBRルートキットはMBRを改変することで、ファイルシステムの外の領域に潜伏する。検出が極めて困難になる」(松久氏)

 VT-xとDeepSAFEをベースにするDeep Defenderはハードウェア支援型のセキュリティ技術であり、従来の方式では検出できなかったMBRルートキットも確実に検出できるという。リアルタイムにカーネルのメモリを保護することで、感染する前にルートキットをブロックできると松久氏は説明した。未知の新種のルートキットに対しては、プログラムの振る舞いから検知するヒューリスティックエンジンで対応する。

 これまでのDeep DefenderはクライアントOSとして「Windows 7」とVT-xが搭載されるIntelのCPU「Core i3/i5/i7」シリーズに対応。新版となるv1.6では、サポートするクライアントOSに「Windows 8」を追加した。また、サーバOSとして「Windows Server 2008 R2 SP1」(64ビット版)にも対応し、サポートするCPUに「Xeon E3/E5/E7」シリーズを追加した。

 Deep DefenderはカーネルモードのルートキットやMBRルートキットから保護してきたが、新版ではBIOSへのアクセスも監視する機能も搭載している。マシンを立ち上げるタイミングでBIOSレベルでアクセスを監視したり、定期的に監視したりできるようになっている。対象となるコンポーネントのハッシュ値がポリシーで設定されたホワイトリストにない場合に、そのことを管理サーバに送信することもできる。

 Deep Defender v1.6ではWindows Server 2008 R2をサポートしている。今後の予定として松久氏は「Windows Server 2012」に対応することを明らかにしている。現在、企業で活用しているサーバOSとしてはLinuxもあるが、「Linuxを対象にしたルートキットは見つかっていない」(松久氏)ことから、まずはWindows Serverのサポートを優先するとしている。


日立製作所 情報・通信システム社 ITプラットフォーム事業本部 開発統括本部 芳野泰成氏

論理分割機構「Virtage」の可能性

 ルートキットを検知、削除するためのDeep Defenderだが、現在のシステム環境に活用しきれない課題もある。ハイパーバイザをベースにした仮想環境に対応できないからだ。「次のバージョン以降でハイパーバイザに対応を予定している」(松久氏)が、最新版であるv1.6では対応していない。

 これは「ハイパーバイザとDeepSAFEがVT-xを取り合うになってしまう」からだ。日立製作所の芳野泰成氏(情報・通信システム社ITプラットフォーム事業本部開発統括本部)が説明会の中でそう言明した。芳野氏はDeep Defenderについて「業界で唯一、カーネルモードで動作するルートキットに対処可能なセキュリティソフト」と説明した上で明言している。つまり、「Deep Defenderを使う場合は、仮想化によるコンソリデーションができない」(芳野氏)。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]