米McAfeeは9月8日(現地時間)、ウイルスなどの"マルウェア(Malware)"からクライアントPCを保護する新技術「McAfee Artemis Technology」を開発したと発表した。同社Avert Labsによれば、2008年において現時点で報告されているマルウェアの数は、2006年と2007年に報告された数を合計したものをすでに上回っているという。こうしたなか、いわゆる"デイゼロ(Day-Zero)攻撃"の脅威が高まっており、マルウェア検出に使われる"シグネチャ"の配布が行われる数時間から数日の間、クライアントPCは無防備な状態にさらされることになる。今回発表されたArtemisは、こうしたギャップを補うソリューションになりそうだ。
マルウェアの検出において、従来のスタイルでは"シグネチャ"と呼ばれるマルウェアの特徴を列挙したパターンファイルをアンチウイルス・ソフトウェアが内部に保持しておき、メール送受信やファイルコピーなど、データの移動が確認された段階でそれらファイル情報をチェック、危険性を検出していた。だがこの方式ではマルウェア検出のために最新のシグネチャが必須となり、シグネチャが更新されるまでの間、そのクライアントPCは最新のマルウェアを検出する術を持たないことになる。McAfeeでは、この"タイムラグ"は最大で24時間から72時間ほどと見積もっている。特に最近ではOSやアプリケーションの脆弱性が明らかになってから、それを利用したマルウェアの登場までに1日を要しないような、いわゆる"デイゼロ攻撃"のようなものが多数登場してきている。今回のArtemisは、こうした対応シグネチャが存在しない状態でのマルウェア検出を可能にする技術だ。
Artemisの下で、クライアントPC上で動作するセキュリティ・エージェントは次のステップでマルウェアの検出と検疫を行う。例えば、クライアントPCが暗号化または圧縮されたファイルを受け取ると、エージェントは精査が必要なファイルとして手持ちの"シグネチャ"のデータベースと照合を開始する。もしデータベースに該当するデータが見つからなかった場合、そのファイルの特徴を記した"フィンガープリント(指紋)"をMcAfee Avert Labsに送信し、McAfee内のサーバとのデータ照合を開始する。フィンガープリントを基にしたデータ検出は1秒以下で完了し、もしその挙動がマルウェアと判断された場合、ファイルをブロック、あるいは検疫が必要なものとして隔離すべきか、適切な判断が下されることになる。 このように、シグネチャなしでも多段階の工程でマルウェア検出が可能になるのがArtemisの特徴だ。McAfeeは「これまで存在した数日から数時間のギャップをミリ秒単位にまで落とし込める」と自信を見せる。
なおArtemisの技術は、VirusScan Enterprise、Total Protection Service、VirusScan PlusといったこれまでのMcAfee製品に含まれており、利用にあたって新規追加投資は必要ない。McAfee ePolicy Orchestrator(ePO)による集中管理や既存環境との統合も可能だ。
