2008年06月16日 07時30分 公開
特集/連載

VistaのPatchGuardにまつわるセキュリティソフトの「ジレンマ」rootkit防止が至上

セキュリティソフトメーカーがMicrosoftに対し、システムを守れるようにするため意図的にカーネルを開放しておけと要求するのは筋が通らない。

[Tony Bradley,TechTarget]

 米MicrosoftはWindows Vistaのセキュリティ機能に劇的な変更を多数盛り込んだ。最も特筆すべきは「PatchGuard」という新機能だろう。これはコンピューティング環境のセキュリティ強化を意図したものだが、メーカーの間でもユーザーの間でも論議の的になっている。ここではPatchGuardについて検証し、論議はあってもこの機能がWindowsのセキュリティ強化の一助となっている理由を説明する。

PatchGuardとカーネルパッチ

 PatchGuardの話に入る前に、カーネルパッチについて説明しておく必要がある。カーネルパッチ(カーネルフッキングとも呼ばれる)は、OSのカーネルに手を加えて動作を変更したり特定のイベントを獲得するプロセスをいう。特にMcAfeeやSymantecといったセキュリティソフトメーカーは、カーネルパッチを使ってウイルス対策サービスを実装し、潜在的な悪質動作やプロセスを防止・遮断してOSとアプリケーションを守っている。

 PatchGuard、別名Kernel Patch Protectionが論議を呼んだのは、このような形でOSに手を加えるのを防ぐ措置だったからだ。PatchGuardはカーネルが使っているカーネルコードとシステムリソースを監視し、無許可のカーネルパッチを検出すると自動的にシステムをシャットダウンする。

PatchGuardとrootkit防止

 MicrosoftがOSカーネルを閉ざすのには、それなりの理由がある。rootkitの防止だ。rootkitは悪質な隠しファイルで、コンピュータやネットワークへの管理者レベルのアクセスを許してしまう。通常はカーネルモードで動作し、検出を免れながら、事実上無制限のアクセスを確保する。

 2005年にはSONY BMG MUSIC ENTERTAINMENTがrootkitベースのコピー防止ソフトを使っていたことが発覚した。SONY BMGのrootkitはカーネルフッキングを使ってCDにコピーしようとする動作を傍受し、阻止するためのものだった。Microsoftは、rootkitの技術を利用したマルウェアがカーネルパッチを使って攻撃を仕掛けるのを防ぐため、PatchGuardでカーネルの防御を強化したのだ。

PatchGuardはセキュリティを妨げる?

ITmedia マーケティング新着記事

news050.jpg

TableauにSalesforce Einstein Analyticsが完全統合してこれから変わること
セールスフォース・ドットコムとTableau Softwareは両社の製品統合の詳細について、いよ...

news174.jpg

Cookieによるユーザー行動分析を日常的に実施する広告宣伝担当者が10.5%減――サイカ調査
企業の広告宣伝担当者290人に聞いた「Cookie等を用いたユーザー行動分析の利用実態調査」...

news069.jpg

「サブスク疲れ」を超えて広がるOTTメディアとモバイル広告のこれから
現在のOTTはサブスクリプションモデルが主流です。しかし、長期的にはストリーミングコン...