DeepSAFEでMBRやBIOSの変更も検知可能に、将来的にはスマートデバイスにも

　McAfee（マカフィー）は、親会社である米Intelの協力で、CPUとOSの間で不正な挙動を発見するDeepSAFEというセキュリティ技術を開発している。これにより、OSからはなかなか発見できないルートキットの脅威に対抗しようという独自の取り組みだ。このDeepSAFEと、それを使った製品「Deep Defender」を担当するMcAfee InternationalのRaj Dhesi氏が来日したので話を聞いた。

はじめに、マカフィーで担当している業務について教えてください。

McAfee International, Senior Product Manager, Raj Dhesi氏

　もともとは2006年にSafeBoot社に入社して、2007年11月の買収によってマカフィーに入りました。SafeBootでは、プロダクトマネジャーとして、複数の暗号化関連の技術を担当していました。具体的には、VDisk、File Encryptor、Endpoint Encryption for Mobileなどを担当していました。

　マカフィーでは、エンタープライズ向けのモバイル製品を担当しています。マカフィーが2010年にTrust Digital社買収したことで「McAfee Enterprise Mobility Management」というモバイル向けのスイート製品となり、2010年の9月からDeepSAFE技術と、それを使ったセキュリティ製品「Deep Defender」のイニシアチブ担当になりました。担当になった当初は、このどちらも技術を検証するPOC（Proof of Concept）という段階でしたが、それを形にしてきました。

　DeepSAFEとDeep Defenderのエンジニアリングチームは、どちらもアメリカにいます。このため、イギリス在住の私にとっては在宅勤務の方がずっと効率がよく、完全在宅という状況になっています。仕事の仕方としては、大半の時間をエンジニアリングチームをはじめとする全世界のオフィスとのやりとりに使っています。

世界中で標的型攻撃が大流行しています。この脅威に対して、DeepSAFEやDeep Defenderの有効性は？

　いわゆるステルス型の脅威やAPT（Advanced Persistent Threat）攻撃、ルートキットによる攻撃は、まさに拡大の傾向を示していると思います。私たちがセキュリティ製品を開発するにあたってターゲットとしているのは、まさにその領域です。

　ルートキットを使ったステルス型の脅威というのは、マルウエア全体の中で4％しか占めていません。ですが、とりわけ厄介なマルウエアと言えます。それは、そもそもOSの外をターゲットにしているため、従来型のウイルス対策ソフトのセキュリティを迂回したり、そこから見えないように隠れてしまうからです。

　マカフィー社内にあるラボからの情報によると、四半期ごとにまったく新しいユニークなルートキットが新たに20万件ずつ出現している状況にあります。いかに問題の範囲が広く、また増加傾向にあるかが表れていると思います。

　そうした状況で、DeepSAFEはリアルタイムでメモリーの中を検知することで、何が起きているのかを調べます。また、インテルのCPUとチップセットを活用することで、ゼロデイのプロテクションを可能にします。従来型のセキュリティ製品では、感染した後にクリーンアップなどの対策を取るという、後手に回った対策にとどまっているのに対して、Deep DefenderとDeepSAFEでは、リアルタイムで先手を打ってそもそも感染させないようにする能力をもっています。