2008年06月16日 07時30分 UPDATE
特集/連載

rootkit防止が至上VistaのPatchGuardにまつわるセキュリティソフトの「ジレンマ」

セキュリティソフトメーカーがMicrosoftに対し、システムを守れるようにするため意図的にカーネルを開放しておけと要求するのは筋が通らない。

[Tony Bradley,TechTarget]

 米MicrosoftはWindows Vistaのセキュリティ機能に劇的な変更を多数盛り込んだ。最も特筆すべきは「PatchGuard」という新機能だろう。これはコンピューティング環境のセキュリティ強化を意図したものだが、メーカーの間でもユーザーの間でも論議の的になっている。ここではPatchGuardについて検証し、論議はあってもこの機能がWindowsのセキュリティ強化の一助となっている理由を説明する。

PatchGuardとカーネルパッチ

 PatchGuardの話に入る前に、カーネルパッチについて説明しておく必要がある。カーネルパッチ(カーネルフッキングとも呼ばれる)は、OSのカーネルに手を加えて動作を変更したり特定のイベントを獲得するプロセスをいう。特にMcAfeeやSymantecといったセキュリティソフトメーカーは、カーネルパッチを使ってウイルス対策サービスを実装し、潜在的な悪質動作やプロセスを防止・遮断してOSとアプリケーションを守っている。

 PatchGuard、別名Kernel Patch Protectionが論議を呼んだのは、このような形でOSに手を加えるのを防ぐ措置だったからだ。PatchGuardはカーネルが使っているカーネルコードとシステムリソースを監視し、無許可のカーネルパッチを検出すると自動的にシステムをシャットダウンする。

PatchGuardとrootkit防止

 MicrosoftがOSカーネルを閉ざすのには、それなりの理由がある。rootkitの防止だ。rootkitは悪質な隠しファイルで、コンピュータやネットワークへの管理者レベルのアクセスを許してしまう。通常はカーネルモードで動作し、検出を免れながら、事実上無制限のアクセスを確保する。

 2005年にはSONY BMG MUSIC ENTERTAINMENTがrootkitベースのコピー防止ソフトを使っていたことが発覚した。SONY BMGのrootkitはカーネルフッキングを使ってCDにコピーしようとする動作を傍受し、阻止するためのものだった。Microsoftは、rootkitの技術を利用したマルウェアがカーネルパッチを使って攻撃を仕掛けるのを防ぐため、PatchGuardでカーネルの防御を強化したのだ。

PatchGuardはセキュリティを妨げる?

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news051.jpg

「SATORI」が機能アップデート、シナリオ機能を強化
SATORIはマーケティングオートメーションツール「SATORI」の機能アップデートを発表した。

news012.jpg

AIで社会課題を抽出して国会議員に届けてみた結果――東大・電通PR・ホットリンク調べ
国会議員の政策策定にもAIを活用する日がくるかもしれません。

news028.jpg

電通が分類する30の「メディアライフスタイル」はなぜ生まれたのか、ここから何が見えてくるのか
電通メディアイノベーションラボが類型化する30の「メディアライフスタイル」。これによ...