マカフィーは2012年6月19日、報道関係者向けの技術説明会を開き、インテルと共同開発した新しいセキュリティ技術「McAfee Deep SAFE Technology」の概要について解説した。
McAfee Deep SAFEテクノロジーは、インテルの一部のCPUが搭載する「Intel VT-x」と呼ぶ技術を使用したものだ。2011年3月にマカフィーを買収したインテルとの初の共同開発となる。今回、発表したのは、不正プログラムの検知技術「McAfee Deep Defender(以下、Deep Defender)」と、セキュリティ管理の効率化技術「McAfee ePO Deep Command(以下、ePO Deep Command)」の2つ。
Deep Defenderは、不正プログラム「ルートキット」を検出するための技術。ルートキットとは、PCへの感染に成功したマルウェアがセキュリティ対策製品の目を逃れるために用いるものだ。セキュリティ対策製品が用いるOSの機能を改ざん。例えば、ファイル情報を取得するAPIを使っても、マルウェアに関わるファイルがリストアップされないようにする。
ルートキットを使って、セキュリティ対策製品を欺くことができれば、マルウェアが活動できる期間は長くなる。その分、目標達成の可能性を高められる。マカフィーの調べによれば、現在、四半期ごとに11万種の新しいルートキットが登場。特に、標的型攻撃に用いるマルウェアは、大多数がルートキットが使用しており、その対応が課題となっているという。
これまでも、マカフィーを含む複数社がルートキットを検知するためのソフトウェアを市場投入していた。例えば、ネイティブAPIと呼ばれる、ルートキットが改ざん対象としない下位のAPIを使ったり、OSに改ざんが加えられていないかチェックすることで、ルートキットを使ったマルウェアが潜伏している可能性を探るものだ。
こうした対策は一時は効果を上げたが、その仕組みを研究した犯罪者が回避策を生み出したことにより、効果は徐々に薄れてきているという。例えば、ネイティブAPIを書き換えるルートキットが登場したり、対策製品の検出アルゴリズムに合わせて動作を変えたりといった具合だ。OS上で動くソフトウェアで、OSの異変を検知するのも限界があった。
こうした背景の下で、マカフィーが開発したのがDeep Defenderだ。インテルの一部のプロセサが持つvProと呼ばれる技術を用いて、OSへの変更を加える際に発生する「カーネルメモリーイベント」をハードウェアレベルでリアルタイムに検知。ルートキットの使用だと判断した場合に、変更を阻止して、改ざんそのものを回避する。シグネチャだけでなく、振る舞いも見てルートキットかどうかを判断するため、新種にも対応できる。また、パフォーマンス支援の機能を使用するため、処理にも影響を与えないという。
現時点では、同技術を利用できるCPUはCore i3、Core i5、Core i7の3種類。対応OSはWindows 7に限られる。今後、Windows 8や、ServerOSへの対応を順次進めていく。設計の都合上、仮想マシン上で同技術を利用することはできない。なお、Deep Defenderはルートキットによる改ざん防止を目的としたもので、マルウェアの駆除にはアンチウィルスなどを用いる必要がある。
一方、ePO Deep Commandは、セキュリティの運用管理を効率化するもの。同社の統合管理ソリューション「McAfee ePO(ePolicy Orchestrator)」の拡張機能として提供する。インテルのVProプロセサのAMTと呼ぶ機能は、独自電源と独自のメモリを持っており、ネットワーク経由でPC本体の電源を投入したり、遠隔制御したりできる。ePO Deep Commandが提供する機能は主に2つある。
1つめは、セキュリティのアップデートやウィルススキャンの自動実施。ePO Deep Commandから指示を出してPCを立ち上げ、アップデートを掛けたり、スキャンを掛けたりする。通常、業務時間中に負荷のかかるセキュリティ対策を実施することは難しい。深夜や早朝に必要な対策を自動実行し、対策を徹底する。
もう1つは、リモート復旧。vProでは、起動OSのパーティンションとして、ネットワーク上に配置したディスクイメージを指定できる。復旧用のディスクを指定すればPCの再インストールを自動実行できる。前述の遠隔操作の機能と組み合わせれば、現地に係員を送らなくても、PCの再インストール作業などを済ませることができるようになる。
現在のところ、同機能を利用可能なプロセサは、Core i5 vPro、Core i7 vProのみ。OSは、Windows XPや、Windows Vista、Windows 7などをカバーする。