キーロガーの盗聴を防ぐハードウェアによる「ソフトウェアキーボード」機能も紹介
登場から2000日で利用現場も拡大!インテルがvProセミナー
2012年03月01日 07時00分更新
マカフィーはインテルと共同開発の新セキュリティ
今回のインテル vPro テクノロジー サミット 2012では、マカフィーによるvPro利用のセキュリティ製品「McAfee ePO Deep Command」と「McAfee Deep Defender」の紹介も行なわれた。
McAfee ePO Deep Commandは、「McAfee ePO(ePolicy Orchestrator:イーポリシー オーケストレーター)」のアドオン製品で、先ほど触れたvPro対応の大規模向けのシステム管理ソフトウェアの1つだ。問題が生じたシステムのリモートからの復旧、システムを自動的起動してのメンテナンスなどが行なえる。マルウェアに感染した可能性のあるPCを、クリーンなシステムが入ったISOイメージを使ったネットワークブートを行ない、システムディスクの修復を行なう事も可能だという。
一方のMcAfee Deep Defenderは、PC起動時にOSより先にロードされるモジュールを使って、OSの状態を監視する「McAfee DeepSAFE Technology」を使ったセキュリティ製品で、マカフィーがインテルの子会社になって初の共同開発だという。
急増している標的型攻撃では、セキュリティ製品による検出駆除を回避するため、アプリケーションからの認識を困難にするルートキットを使ってマルウェアをステルス化する。特に、OSを改ざんしOSと同じレベルで動作する「カーネルモードルートキット」を使われた場合、OS上のアプリケーションである既存のウイルス対策製品ではカーネルレベルの挙動を監視できないため、検出が難しい。リアルタイムでの感染阻止が難しく、感染を未然に防げないのだ。さらに感染後も、既知のルートキットであれば感染の痕跡を見つけることで検出できるが、新種は検知できないという。
これに対しMcAfee DeepSAFE Technologyは、OSから独立して動作しており、OSのカーネルレベルの挙動をリアルタイムに監視できる。メモリの状況を定義された「不正なメモリアクセス」と照合することで、不審なビヘイビア(ふるまい)を検出。関連するカーネルドライバを特定して停止させることが可能となる。こうした仕組みにより、カーネルモードルートキットであってもリアルタイムに検出できるのだ。
McAfee DeepSAFE Technologyは、インテルVTの機能を利用しており、仕組みとしてはサーバー仮想化に使われるハイパーバイザーに似ている。ただし、両者の同時利用は可能で、ハイパーバイザーが搭載予定とされるWindows 8にも対応する予定だという。なお、McAfee Deep Defenderの国内販売は2012年後半となる。