マカフィーは2013年7月30日、ルートキット型の不正プログラムをIntel CPUのハードウエア仮想化支援機構(VT-x)を用いて検出するソフト「McAfee Deep Defender」の新版「v1.6」を発表、同日提供を開始した。新版では動作環境を拡大し、クライアントPCだけでなく、サーバー環境(Xeon CPUやWindows Server)を防御できるようにした。
対策の対象であるルートキットとは、ルート権限の奪取やバックドアとなる不都合なプロセスやファイルの隠ぺいといった不正な行為を目的に、OSの深部で活動するプログラムのこと。低レベルAPIのフックなどの工夫により、OSやセキュリティソフトから自身の存在を分からないようにする、といった特徴がある。
ここでDeep Defenderは、一部の機能がOSよりも下の層で動作することで、ルートキットが自身を隠ぺいしていても、これを検出する。仕組みとして、米IntelのCPUが備えるハードウエア仮想化支援機構(VT-x)を利用する。このため、前提条件として、VT-xを利用可能なCPUを使わなければならない。また、一般的なサーバー仮想化ソフトのように、仮想サーバー機ごとにVT-xを使えない環境では利用できない。
サーバー(XeonとWindows Server)での動作を新規に保証
今回の新版では、動作を保証する稼働環境を拡大し、サーバー環境でも利用できるようにした。これまでは、稼働OSとしてWindows 7、VT-x対応CPUとしてCore i3/i5/i7を挙げていた。今回新たに、稼働OSとしてWindows Server 2008 R2(64ビット)、VT-x対応CPUとしてXeon E3/E5/E7を追加した。また、クライアントOSについても、Windows 8を新規に保証の対象とした。
新版では、ルートキットの監視機能も強化した。これまでは、上位層から順に、OS上で動作するユーザーモードのルートキット、OSカーネルを改ざんして組み込んだカーネルモードのルートキット、ハードディスクのMBR(マスターブートレコード)で動作するルートキット、までを検出できていた。今回新たに、より下位層に当たるマザーボードのBIOSに感染するルートキットも検知できるようにした。
価格(税別、以下同)は、従来版と変わらず、11~25ユーザー時に1ユーザー当たり4070円、1万ユーザー超で1ユーザー当たり1340円。なお、Deep Defenderは、同社のエンドポイント向けセキュリティースイート「McAfee Complete Endpoint Protection」にも含まれる。
日立の論理分割機構「Virtage」での動作画面を提示
なお、記者発表会では、日立製作所の芳野泰成氏が、仮想化技術を採用しながらXeonのハードウエア仮想化支援機構(VT-x)を利用できるサーバー機の例として、同社のブレードサーバー「BladeSymphony」が搭載する論理パーティショニング機構「Virtage」を紹介した。
Virtageは、一般的なサーバー仮想化ソフトとは異なり、個々の仮想領域(論理分割区画)ごとに独立した物理I/OやVT-xを割り当てることができる。これにより、Deep Defenderを利用できることになる。発表では、実際に同社内でVirtage環境でDeep Defenderを動作させてサンプルのルートキットを検出させた画面のキャプチャー画像(写真2)を紹介した。
