高機能な情報漏洩対策ソフト「セキュリティプラットフォーム(SeP)」の提供元として知られるハミングヘッズ。そのハミングヘッズが今度は、外部からの攻撃を防ぐソフトウェア「ディフェンスプラットフォーム(DeP)」を開発した※1

既存のマルウェア対策ソフトとは異なる視点で開発された同製品は、「論理的にはマルウェアを100%捕まえられる」(ハミングヘッズ 代表取締役社長 大江尚之氏)という。では、DePはどういったアーキテクチャが採用され、どのような特徴を備えているのか。以下、大江氏の話を基に、簡単にご紹介しよう。

※1 主に既存の顧客を対象に昨年より提供が開始されている。

Windowsをハックする! ハミングヘッズの技術力を活かした製品

SePに代表されるハミングヘッズ主力製品の特徴は、Windows APIを使ってカーネルをハックし、Windowsの深部を監視。必要に応じて自動的に記録したり、処理を追加したりする点にある。

例えば、SePでは、USBポートを見張り、ファイルがUSBメモリにコピーされると自動的に暗号化処理が施す機能などが提供されている※2。また、SePのテストにも使われている"オペレーション自動化ツール"「インテリジェンスプラットフォーム(InP)」は、Windowsの操作をカーネルレベルで記録し、それを自動的に再現する。メモ帳の文字列をコピーしてExcelに張り付けるといったアプリケーション跨りの操作も、難なく自動実行することが可能だ。

SePではUSBメモリなどにファイルがコピーされると自動的に暗号化される

こうした製品群に裏付けされた、Windowsのエキスパートが開発する脅威対策製品が、今回のDePである。DePでは、ハミングヘッズならではのアプローチで、マルウェアの特定/遮断を行っている。

※2 詳しくは、『【レポート】業務を妨げない高機能情報漏洩対策ソフト「セキュリティプラットフォーム」』を参照

「割込み型迎撃方式」とは?

DePでは、「割込み型迎撃方式」と呼ばれる手法で、外部からの攻撃に対応している。これは、先ほど挙げたSePのUSBメモリ監視機能のように、Windowsカーネルを監視し、不審な処理を見つけたら、その間に割り込んで遮断するというものだ。

割込み型迎撃方式の概要

「Windows上で動作するプログラムであれば、マルウェアであっても最終的にWindows APIが使われる。したがって、危険な動きにつながるAPIを洗い出し、それが作用するポイントや処理の内容を監視すれば、マルウェアもシャットアウトできる。割込み型迎撃方式はそうした考えがベースになっている」(大江氏)

DePで監視するポイントは、「どこから」「何が」「どこへ」「何をした」の4つ。例えば、「Outlookの添付ファイル」から「Officeマクロ」が「Windowsのレジストリファイル」へ「上書きを行った」となったら、それはマルウェアの可能性が高いので処理を中断して警告パネルを表示するといった具合だ。

DePの警告パネル

一般的なウィルス対策ソフトと決定的に異なるのは、「危険な部分を網羅的に守れる」という点である。シグネチャベースのウィルス対策ソフトは、犯罪者を指名手配するようなもの。過去に犯罪歴のない者の犯行には対応できないし、犯罪者の数だけ手配書が増えることになり、月日が経つにつれてマッチング作業は大変になる。実際、現在のマルウェアは5億6000万種にも上ると言われており、そのすべてのシグネチャを作成するとなるとデータ量は膨大になる。当然ながらマシンへの負担も少なくない。

対してDePは、「施設内の重要な場所に警備員を配置しているようなもの」(大江氏)という。守るべきポイントは限られているので、新たな犯罪者が出てきても警備員を増やす必要はない。DePに登録されている監視パターンは30万とおり。5億6000万種というマルウェアの数と比べると圧倒的に効率的な防御策であることがわかるだろう。

また、DePのメリットの1つに、暗号化して配布されたマルウェアにも対応できるという利点がある。暗号化されたファイルは、犯罪者の"顔"が変わってしまうため、シグネチャによるパターンマッチングが行えない。結果的にウィルス対策ソフトを潜り抜け、ユーザーが実行してしまうケースがあるわけだ。一方、DePでは実行内容に対して検知を行うため、ファイルが暗号化されていようと関係ない。

なお、DePは、既存のウィルス対策ソフトとの共存もできる。大江氏によると、万全を期す目的で、既存環境にアドオンで導入するといったケースもあるようだ。

運用負荷を低減する機能も搭載

DePでは、運用を効率化する管理機能も提供している。

その例の1つが「ホワイト/ブラックリスト」機能である。これは、DePにデフォルトで登録されている検知ルールをカスタマイズするためのものだ。

例えば、安全であることがわかっているプログラムに対して検知機能が働いてしまった場合には、その操作履歴をホワイトリストに登録すれば、検知対象から外すことができる。また、内部統制の観点などから利用を禁止したいプログラムがあれば、それをブラックリストとして登録すれば、強制的に利用を止めることができる。DePには専用の履歴確認画面と連動した登録機能が用意されており、「どこから」「何が」「どこへ」「何をした」をビジュアルに確認できるため、登録作業で苦労することもないという。

ホワイト/ブラックリスト作成画面。「どこから」「何が」「どこへ」「何をした」が確認できる

また、こうした登録作業を簡略化するため、通常のディフェンスモードに加えて、「検知モード」と呼ばれる機能も提供している。こちらは、割り込み処理は行わず、履歴の記録だけを行うというもの。ホワイトリスト作成作業の支援を目的としたもので、「安全なプログラムに対する検知が頻発し、エンドユーザーの作業が中断される」という状況を回避することができる。

加えて、DePでは「全止めモード」という機能も用意されている。DePのディフェンスモードでは、不審な処理を検出した際、処理を一時中断して警告パネルを表示し、処理を「継続するか」、「中止するか」、あるいは「プログラムを隔離するか」をユーザーが選べる仕組みになっているが、全止めモードでは、警告パネルを表示せず、すべての処理を強制的に止める。万全の運用が必要な企業で重宝するだろう。

DePにHome Edition登場! 個人PCにも堅牢さを導入できる

ハミングヘッズでは今月から、DePの「Home Edition」の提供を開始している。こちらは、通常の「Business Edition」あるいはSePにアドオンする「SeP+Defenseオプション」では、全端末の情報を収集して一括管理するサーバが必要だったが、Home Editionは、スタンドアロンで動作するため、自宅用のPCにも適用することが可能だ。

無償の体験版も提供される予定なので、興味のある方は導入してみるとよいだろう。