割込み型迎撃方式でPCを守る! ディフェンスプラットフォーム

本誌でも何度もお伝えしてきたが、この数年のPCを取り巻く脅威は急激に増大している。セキュリティベンダーでは、さまざまな対策を提案しているが、既報の通り、企業向け情報漏えい対策などを手掛けるハミングヘッズから新たなセキュリティソフトが発表されている。今回紹介するハミングヘッズのディフェンスプラットフォーム(Defense Platform)は、新たな仕組みを用いたエンドポイントセキュリティ製品といえる。

DeP HEの紹介の前に、簡単にハミングヘッズの紹介をしておこう。1999年10月に設立、情報漏洩対策ソフトのセキュリティプラットフォーム(SeP)を開発・リリースする。サイバー攻撃から、エンドポイントセキュリティまで、幅広く対応する。100%国内開発という点も注目したい。そのような企業向けのノウハウを活かしたディフェンスプラットフォーム ホームエディション(Defense Platform Home Edition以下、DeP HEと略記)は、個人ユーザー向けの製品となる(今回、取り上げるのもHome Editionである)。

現在DeP HEは、ECカレント内の特設サイトで60日間の無料版を公開、11月中旬から課金販売予定。順次販売サイトの拡大も予定している。

割込み型迎撃方式とは?

DeP HEの防御の仕組みは、割込み型迎撃方式(インターセプト)という従来のシグネチャ方式とはまったく異なる。正常なプログラムもウイルスも活動を行うには、必ずOS(Windowsなど)のAPIを介する。そこで、DeP HEではすべてのAPIに割込み、被害が発生する前に迎撃を行う。冒頭にふれたように、この数年、ウイルスは急増している。そこで発生している問題が、パターンファイルの肥大化である。多くのセキュリティ対策ソフトで、手配書であるパターンファイル(定義ファイルやシグネチャなどとも呼ばれる)と照合し、ウイルスを判定している。この方法では、以下のような問題点が指摘されている。

・未知のウイルスに対応できない
・誤検知などを避けられない
・更新、スキャンのいずれもPCに多大な負荷を与える

最近では、パターンファイルをクラウド上に配置することで、更新の迅速化や負荷の軽減が図られてはいる。DeP HEでは、パターンファイルを使わないので、このようなデメリットがまったく存在しないのである。

割込み型迎撃方式では、PCの入口・出口、ファイル、レジストリ、外部メディア、通信、メモリといった防御箇所をすべてチェックする。その数は約30万に上るが、基本的には変わることはない。つまり、抜け道は存在しないので、どんなウイルスも検知可能となる。例えば、以下のような項目も、DeP HEが監視する動作の範囲になる。

・ファイルの書き込み(削除)
・通信全般
・ディスクの書き込み
・メモリの書き込み
・レジストリ書き込み(新規、変更、削除)
・データ転送(ポータブルデバイス、Bluetooth)
・プロセスの起動
・他プロセスの停止
・キーボード、マウス

さらに、DeP HEでは、H4E(HummingHeads 4 Elements)機能で分析を行う。IPアドレス、プログラムの詳細・親子関係、ハッシュ値など情報をベースに、ウイルスか正常なプログラムかを判断する。そして、PCに被害を及ぼさないと判定された場合のみ、動作を許可する。また、H4E機能では、プログラムが「どこから」「何が」「どこへ」「どうする」が履歴として保存される。この履歴によって、ホワイトブラックリストを作成したり、感染の追跡を行うことも可能になる。パターンファイルを使わない、スキャンを行わないといった従来のセキュリティ製品とはまったく異なる点に注目したい。

DeP HEを使ってみる

では、DeP HEを使ってみよう。インストール後、再起動するとDeP HEが有効となる。図1がグランドメニューである。

アップデートなどをここから行うことができる。左側のサイドメニュー開閉バーをクリックすると、サイドメニューが表示される(図2)。

［設定］メニューを選ぶと、DeP HEの運用モードを選択できる(図3)。デフォルトでは［ディフェンスモードを有効にする］にチェックが入っている。ディフェンスモードは、DeP HEのすべての機能が有効となる。このモードでは、不正なプログラムを検知すると、自動的にその動作を停止する。また、改ざんされたと思われる正規のアプリケーションが起動した場合には、自動的に隔離を行う。監視中に行われる不正が疑われる動作に対しては、警告パネルを表示し、その動作の実行をユーザーに確認する。

一方、検知モードでは、監視以外の機能を無効にし、警告パネルを表示しないで固有の履歴のみを出力する。出力される固有の履歴には、すべての機能を有効にした場合にどのような動作になるかという情報が含まれる。この活用であるが、ディフェンスモードを使う前に、アプリケーションに対し、すべてを許可する・起動を止めるといった設定を行うことができる。あとは履歴の保存場所やサイズを設定できるが、基本的にはデフォルトで問題ないであろう。普段、セキュリティ対策ソフトからの警告などは出ないほうが望ましい。しかし、あえてここでは、被害の可能性のあるプログラムを実行させてみた。図4は、不正な通信を警告している。

どのような状態で、どんな危険があるかが、明示されている。図5は、レジストリへ不正な書き込みを行おうとしているところを警告している。

この警告に対する手続きには、［止める］や［繰り返し止める］の4種類があるが、右下の［詳細選択］をクリックすると、［起動を止める］や［隔離する］などが現れる(図6)。

基本的には、図4～6の警告が表示されたら、［止める］を選択すべきであろう。もし、続けるのであれば、実行ファイル名などをきちんと確認して安全なプログラムかを確認してからにする。図6で［隔離する］を選択すると、該当するファイルを圧縮して、隔離専用のフォルダに保存される。その際、図7の確認がでる。

隔離されたファイルは、図2のサイドメニューの［隔離一覧］で確認できる(図8)。

ここで復元や駆除を行うこともできる。ただし、駆除を行うと復元不可能になる。サイドメニューの［すべての履歴と設定一覧］を選ぶと、ホワイトブラックリスト作成ツールが起動する(図9)。

ここでも「どこから」「何が」「どこへ」「何をした」かがわかりやすく表示される。これが、DeP HEが監視するすべてである。このホワイトブラックリスト作成ツールを使うと、警告パネルから個別に登録することなく、一括して動作を設定することができる。 しかし、少し不便なこともある。ソフトをインストールしようとすると、図10のように警告が表示されるのである。

システム領域やレジストリへの書き込みを行うので、当然の動作である。会社名、署名の有無などを確認する。そして、自分で起動したインストーラであることを確認し、安全とわかったものだけインストールするようにすればよいだろう。

従来のセキュリティ対策ソフトと併用が可能

DeP HEは、もっとも特徴的な機能ともいえるのが、他のセキュリティ対策ソフトと併用が可能なことだ。ハミングヘッズでは、国内で主に使われている14製品との併用が可能なことを確認している。併用する方法であるが、もし、他社のセキュリティ対策ソフトがインストール済みの場合、一時的に機能を停止させる。その間にDeP HEのインストールを行うのである。マニュアルに、各セキュリティ対策ソフトの一時停止の方法や共存のための設定方法などがあるので、参考にしてほしい。実際に、併用しているのが、図12である。

セキュリティソフトの多くは、パターンファイルを使ってウイルスの挙動を検知する仕組みを持つ。このため、複数のセキュリティソフトのインストールができない。見てきたように、ハミングヘッズのDeP HEでは、パターンファイルを用いることなく膨大なAPIの監視によってウイルスの挙動を監視するため、他社のセキュリティソフトとも共存できるのだ。情報漏えいや金銭を狙う攻撃が頻繁に起こりはじめる昨今において、より強い安心を確保するために、より強固なセキュリティ対策を打てることは大きいだろう。

ハミングヘッズでは、60日間の体験版も提供しているので、まずは試してみてもよいだろう。