VistaのPatchGuardにまつわるセキュリティソフトの「ジレンマ」rootkit防止が至上

セキュリティソフトメーカーがMicrosoftに対し、システムを守れるようにするため意図的にカーネルを開放しておけと要求するのは筋が通らない。

2008年06月16日 07時30分 公開
[Tony Bradley,TechTarget]

 米MicrosoftはWindows Vistaのセキュリティ機能に劇的な変更を多数盛り込んだ。最も特筆すべきは「PatchGuard」という新機能だろう。これはコンピューティング環境のセキュリティ強化を意図したものだが、メーカーの間でもユーザーの間でも論議の的になっている。ここではPatchGuardについて検証し、論議はあってもこの機能がWindowsのセキュリティ強化の一助となっている理由を説明する。

PatchGuardとカーネルパッチ

 PatchGuardの話に入る前に、カーネルパッチについて説明しておく必要がある。カーネルパッチ(カーネルフッキングとも呼ばれる)は、OSのカーネルに手を加えて動作を変更したり特定のイベントを獲得するプロセスをいう。特にMcAfeeやSymantecといったセキュリティソフトメーカーは、カーネルパッチを使ってウイルス対策サービスを実装し、潜在的な悪質動作やプロセスを防止・遮断してOSとアプリケーションを守っている。

 PatchGuard、別名Kernel Patch Protectionが論議を呼んだのは、このような形でOSに手を加えるのを防ぐ措置だったからだ。PatchGuardはカーネルが使っているカーネルコードとシステムリソースを監視し、無許可のカーネルパッチを検出すると自動的にシステムをシャットダウンする。

PatchGuardとrootkit防止

 MicrosoftがOSカーネルを閉ざすのには、それなりの理由がある。rootkitの防止だ。rootkitは悪質な隠しファイルで、コンピュータやネットワークへの管理者レベルのアクセスを許してしまう。通常はカーネルモードで動作し、検出を免れながら、事実上無制限のアクセスを確保する。

 2005年にはSONY BMG MUSIC ENTERTAINMENTがrootkitベースのコピー防止ソフトを使っていたことが発覚した。SONY BMGのrootkitはカーネルフッキングを使ってCDにコピーしようとする動作を傍受し、阻止するためのものだった。Microsoftは、rootkitの技術を利用したマルウェアがカーネルパッチを使って攻撃を仕掛けるのを防ぐため、PatchGuardでカーネルの防御を強化したのだ。

PatchGuardはセキュリティを妨げる?

ITmedia マーケティング新着記事

news125.jpg

楽天市場のマーケターが語る「脱リタゲ」とInstagram超活用
マーケティング戦略からAIとシグナルロスの時代の課題、Instagramの活用法まで、「楽天市...

news027.jpg

シリコンバレーで人気のD2Cスニーカーブランド 急拡大の反動で落ち込んだ業績をどう回復する?
D2Cスニーカーブランドの先駆者として知られるAllbirdsが新商品の広告キャンペーンに売っ...

news051.jpg

「B2B製造業あるある」なWebデザイン ユーザーはどう思ってる?
イントリックスは、Webサイト利用者がデザインや構成をどのように評価しているのかを把握...