マカフィーとインテルは7月30日、ハードウェア支援型セキュリティ製品「McAfee Deep Defender」の最新バージョン「v1.6」を発表した。このバージョンアップによって、Windows 8とWindows Server 2008 R2 SP1に対応。増加しつつあるサーバー攻撃への対策を図った。
発表にあたって、マカフィー マーケティング本部 プロダクトマーケティング部のブルース・スネル氏が、同社の調査に基づく最新の脅威情報を紹介した。
|
マカフィー マーケティング本部 プロダクトマーケティング部 ブルース・スネル氏 |
マカフィーによると、これまでのサイバー犯罪の調査では被害企業からの聞き取りが主な調査手法となっていた。しかし、損害を積極的に申告しない企業や、申告はするものの損害を正確に把握できていない企業が多いなど正確な結果を得にくい状況にあったという。
今回、マカフィーでは米国のシンクタンクである戦略国際問題研究所(CSIS)に調査を依頼し、経済モデルによるサイバー犯罪の分析を初めて実施。経済モデルを作成することで、サイバー犯罪とサイバースパイによる、直接的な損害を測定したという。
CSISの調査によると、サイバー犯罪による世界経済の損失は最大で5000億ドルに達する可能性があるという。厳密に見積もると4000億ドル程度だというが、それでも日本円にして約40兆円という巨額な数字には変わりない。また、米国経済に限定してみても損失額は1000億ドルにのぼり、これによって米国内の雇用機会が毎年約50万人分失われていると試算している。
|
|
サイバー犯罪では、知的財産(IP)などが狙われる |
個人情報取引は高い値段で取引される |
サイバー犯罪に関する詳細な分析では、サイバースパイという情報を盗み取る犯罪が1つのキーポイントになっており、「民間企業を狙ったスパイと軍事技術を持つ政府機関などを狙ったスパイに関連性が見られた」(スネル氏)という。
民間企業に対するスパイによってトレーニングを行いつつも、最終的な標的である政府機関に関する情報を入手することで、軍事技術へのアクセスを狙う手口が確立。民間と政府の双方に攻撃を仕掛けている組織が同一であるケースが多いとマカフィーでは分析している。
これによって行われた代表的な大規模攻撃が「ダークソウル」事件だ。これは、3月20日に起きた韓国の銀行やメディアに対する攻撃で、4年半の長期間に渡って計画されていたものだという。韓国の軍事関係各所を最終標的としており、一連の活動は「オペレーション トロイ」と命名された。
マカフィーでは、米軍などの要請によってこの事件を調査し、2009年のDoS攻撃を起点とした大規模攻撃の全容を把握。2011年の韓国内の米軍に対するDoS攻撃やNH Bank South Koreaと呼ばれる地元銀行のサーバークラッシュ、2012年のISOneによるWebページ改ざんといったこれまで"点"と考えられていた攻撃が、全て同一グループによる攻撃という"線"で繋がっていることが分かった。
これらの攻撃は、高度化したマルウェアによって行われていた。サーバー内部に長期間潜伏していた「ルートキット」によって、サーバー内部のマルウェアがステルス化されており、システム管理者やスキャンツールから見えない状態になっていたのだという。こうしたサーバーに対する攻撃は今後も増加するとみられており、スネル氏は「サーバーインフラの保護は、より重要なものになりつつある」と述べた。
Deep DefenderによってOSより下の層も保護
「ルートキット」には「ユーザーモードルートキット」と「カーネルモードルートキット」の2種類がある。ユーザーモードルートキットはOS上で動作するため、以前より利用されているスキャンツールなどで検知が可能。一方で、カーネルモードルートキットは、OSのカーネルを改ざんして潜伏するため、スキャンツールによってマルウェアとして検出できないケースが増えているという。
それに加えて、OSよも更にハードウェア層に近いマスター・ブート・レコード(MBR)を改変する「MBRルートキット」も登場。ファイルシステム外の領域に潜伏するため、検出がきわめて困難になっているという。
|
|
ルートキットでマルウェアが見えなくなる |
MBRルートキットなどはOSの下に潜り込む |
Deep Defenderでは、以前よりカーネルモードルートキットの検出はできていたものの、今回のアップデートによってBIOS監視機能を搭載。MBRルートキットからの保護や、BIOSに感染するタイプのルートキット検知も可能となった。
また、バージョン1.6で新たにWindows 8(32/64bit)、Windows Server 2008 R2 SP1(64bit)のOSに対応。特にサーバーOSのサポートはDeep Defenderで初となっており、マカフィーでは「サーバーを狙った標的型攻撃が増えていくため、啓蒙活動を行いサーバーへの導入を広げていきたい」としている。また、サーバー向けDeep Defenderに対応しているCPUは、Haswell世代のCore iシリーズとXeon E3、E5、E7となる。
|
サーバープラットフォームにも対応 |
バージョン1.6の提供は7月30日より既に行われており、販売価格は初年度サポート料込みで、1ライセンスあたり4070円(税別、11~25ライセンス契約の場合)。ライセンス数が1万件を超える契約の場合は、1ライセンスあたり1340円となる。
また、同社では「McAfee Complete Endpoint Protection Suite」を提供しており、モバイル端末セキュリティ、管理を含めた総合エンドポイント対策セキュリティ管理ソフトも提供している。こちらにもDeep Defenderは組み込まれており、安価に総合的なセキュリティ管理が行えるとしている。
