MicrosoftはIntelと協力し、「Microsoft Defender for Endpoint」(旧称「Microsoft Defender Advanced Threat Protection」)に、Intelの「Threat Detection Technology」(TDT)を利用したクリプトジャッキングマルウェアをブロックする機能を追加した。
クリプトジャッキングとは、最近「Microsoft Exchange Server」に発見された脆弱性のような問題を悪用して、サイバー犯罪者が他人のコンピューティング資源で勝手に仮想通貨(暗号資産)のマイニングを行う行為だ。BitcoinやMonero、Ethereum、Dogecoinなどの仮想通貨の価格が高騰していることも、クリプトジャッキングを行うサイバー犯罪者が、企業の強力なサーバーを攻撃する大きな動機になっている。
このMicrosoftとIntelの技術を組み合わせた新しいセキュリティ機能は、従来のウイルス対策ソフトウェアが動作しているOSレベルよりも下の、CPUレベルで動作するマルウェアを標的としたものだ。この新機能は、メモリー常駐型マルウェアの増加に対応するための両社のパートナーシップによって開発された。
Microsoftはブログ記事で、「Intel TDTは、CPUのパフォーマンスモニタリングユニット(PMU)から直接得られる低レベルのハードウェアテレメトリーに機械学習を適用することで、実行時に最小限のオーバーヘッドでマルウェアコードが実行されていることを示す『フィンガープリント』を検出するものだ。TDTはIntelのSoC(システムオンチップ)が提供する豊富なパフォーマンスプロファイリングイベントを利用して、最終的な実行ポイント(CPU)でマルウェアを監視し、検出する」と述べている。
この機能は、Intelの第6世代Coreプロセッサーを搭載しているマシンで利用できる。この仕組みの特徴は、仮想化されたゲストOSに隠れたマルウェアであっても監視できることだ。
Microsoftは、この機能を利用することで、サイドチャネル攻撃やランサムウェアを検出する能力も向上すると述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
