2008年06月16日 07時30分 UPDATE
特集/連載

rootkit防止が至上VistaのPatchGuardにまつわるセキュリティソフトの「ジレンマ」

セキュリティソフトメーカーがMicrosoftに対し、システムを守れるようにするため意図的にカーネルを開放しておけと要求するのは筋が通らない。

[Tony Bradley,TechTarget]

 米MicrosoftはWindows Vistaのセキュリティ機能に劇的な変更を多数盛り込んだ。最も特筆すべきは「PatchGuard」という新機能だろう。これはコンピューティング環境のセキュリティ強化を意図したものだが、メーカーの間でもユーザーの間でも論議の的になっている。ここではPatchGuardについて検証し、論議はあってもこの機能がWindowsのセキュリティ強化の一助となっている理由を説明する。

PatchGuardとカーネルパッチ

 PatchGuardの話に入る前に、カーネルパッチについて説明しておく必要がある。カーネルパッチ(カーネルフッキングとも呼ばれる)は、OSのカーネルに手を加えて動作を変更したり特定のイベントを獲得するプロセスをいう。特にMcAfeeやSymantecといったセキュリティソフトメーカーは、カーネルパッチを使ってウイルス対策サービスを実装し、潜在的な悪質動作やプロセスを防止・遮断してOSとアプリケーションを守っている。

 PatchGuard、別名Kernel Patch Protectionが論議を呼んだのは、このような形でOSに手を加えるのを防ぐ措置だったからだ。PatchGuardはカーネルが使っているカーネルコードとシステムリソースを監視し、無許可のカーネルパッチを検出すると自動的にシステムをシャットダウンする。

PatchGuardとrootkit防止

 MicrosoftがOSカーネルを閉ざすのには、それなりの理由がある。rootkitの防止だ。rootkitは悪質な隠しファイルで、コンピュータやネットワークへの管理者レベルのアクセスを許してしまう。通常はカーネルモードで動作し、検出を免れながら、事実上無制限のアクセスを確保する。

 2005年にはSONY BMG MUSIC ENTERTAINMENTがrootkitベースのコピー防止ソフトを使っていたことが発覚した。SONY BMGのrootkitはカーネルフッキングを使ってCDにコピーしようとする動作を傍受し、阻止するためのものだった。Microsoftは、rootkitの技術を利用したマルウェアがカーネルパッチを使って攻撃を仕掛けるのを防ぐため、PatchGuardでカーネルの防御を強化したのだ。

PatchGuardはセキュリティを妨げる?

ITmedia マーケティング新着記事

news122.jpg

博報堂DYメディアパートナーズとDAC、業種特化型マーケティングソリューションの開発を開始
博報堂DYメディアパートナーズとDACは共同で、専門的な情報に特化したWebメディアと協業...

news033.jpg

広告運用の自動化 できることとできないこと
日本の広告運用の現場にも自動化がようやく浸透し始めています。とはいえ、全てが自動化...

news069.jpg

デジタル広告の効果測定、7割の広告主が「Cookieだけでは足りない」――サイカ調査
クッキーだけでは足りないといっても、子どものおやつへの不満ではありません。もっとず...