従来のセキュリティソフトとは全く異なる仕組みで強力なマルウェア対策を提供するハミングヘッズの「ディフェンスプラットフォーム Home Edition」(以下、DeP HE)が、新たな機能を追加し、さらに安全性と使いやすさを高めた新製品として生まれ変わった。本稿では、同ソフトウェアの体験版を利用し、DeP HEの「全く異なる仕組み」から新機能までを紹介したい。
パターンファイルを使わないセキュリティ対策
マルウェアがよく狙うのが、OSやアプリケーションの脆弱性だ。脆弱性を突くことで不具合を引き起こし、本来はできない操作を可能にして、さまざまな活動を行う。
こうした脆弱性が発見されると、OS・アプリケーションベンダーは早急に対策を行い、修正プログラムを配布して脆弱性の解消に努めるが、ベンダー自体が脆弱性に気付いていない場合があったり、気付いていても対策を講じる前にインターネット上に脆弱性が公開されたりして、マルウェアに悪用されることもある。こうした、修正プログラムが提供されていない状況で行われる攻撃は「ゼロディ攻撃」と言われる。
ゼロディ攻撃に加え、最近特に問題視されているのが「標的型攻撃」だ。こちらは、特定の企業や省庁などを狙って対象を限定したメールを送るといった手法でマルウェアに感染させ、そこから機密情報の奪取などの攻撃を行うというもの。これまでマルウェアは、無差別に大量のメールを送信する、ひたすら自己増殖してネットワークをダウンさせるなど、PCを破壊するような攻撃が主流だった。その後、金儲けのためにマルウェアを利用する犯罪者が増え、金銭目的の攻撃が増加した。
そして、犯罪者の参入で闇市場が広がり、攻撃がさらに巧妙化、洗練化。その中で2006年頃から「攻撃対象を絞り込み、マルウェアで金を儲ける」という攻撃が行われるようになった。その後、さらに軍需産業、官公庁、議員といったターゲットも増え、産業スパイ、テロ活動、国家間の戦争といった、大がかりな目的を持った攻撃も増えてきているようだ。
こうした「標的型攻撃」では、ターゲット向けにカスタマイズされたマルウェアが使われることが多い。さらにウイルス対策ソフトに発見されない工夫が施されているため、このような場合、セキュリティソフトベンダーはマルウェアの「指紋」、つまりパターンを容易には入手できず、そのマルウェアを防げないというのが実情だ。
ゼロディという未知の脆弱性を狙われ、パターンファイルでも防げないような攻撃から、どのように身を守ればいいのか―― こういった問題を解決できるのがDeP HEだ。
純国産の新しいセキュリティソフト
ハミングヘッズは、もともと企業の情報漏えい対策などを得意としており、1999年10月の創業以来、100%国産のセキュリティツールを提供し続けてきた。電力会社などの大手を含め900社以上の導入実績があり、日本固有の脅威にも精通しているため、「特定の日本企業」などを狙う標的型攻撃への対策も得意としている。その高い技術力を生かして、個人向けに開発されたのがDeP HEだ。
このDeP HEは、たとえ未知の脆弱性を狙われても、たとえ誰も見たことがない新種のマルウェアでもあっても、攻撃を未然に防いでPCを保護することが可能になる。ハミングヘッズでは、この機能を実現するために「マルウェアの動作」に注目した。
通常のセキュリティソフトでも、マルウェアの「ビヘイビア(動作)」から検知を行う機能はあるが、DeP HEは「OSのAPI」に着目。マルウェアを含むPC上のプログラムは、何らかのAPIを利用するが、DeP HEはプログラムが利用するAPIに対して割り込みを行い、その動作が不正かどうかを検証し、問題があればAPIにアクセスが行われる前にブロックする仕組みとなっている。これを同社では「割り込み型迎撃方式(インターセプト)」と呼んでいる。
具体的にDeP HEが監視する主なプログラムの動作は以下の通りだ。
- ファイルの書き込み・削除
- 通信全般
- ディスクの書き込み
- メモリの書き込み
- レジストリの書き込み
- データ転送
- プロセスの起動・停止
- キーボード、マウス
こうした動作に必要なAPIは30万カ所以上に上り、これをすべて監視するわけだ。日々増え続けるマルウェアの数は「億」の単位となるので、これらすべて検証するより、数が決まったAPIへのアクセスを監視した方が速いという考え方。マルウェアが勝手に動作を行った際にDeP HEの監視網に引っかかり、ユーザーにアラートを出す仕様となっている。
この仕組み上DeP HEは、パターンファイルに頼らない独自方式となり、他のセキュリティソフトの動作と技術的にバッティングしないので、普通は難しい「セキュリティソフトの共存」が可能だ。同社の調査では、主要な14のセキュリティソフトと共存が可能だったとしている。
前述の通り、パターンファイルが存在しない方式なので、アプリケーションを「常に最新の状態に保つ」作業も不要。加えて、PC内に潜むマルウェアを検索するために「スキャンをする」といった作業もいらない。このほか、プログラムの動作を一旦ブロックしてユーザーの判断を求める仕様も特筆すべきだろう。同仕様により、正常なプログラムが誤検知で動かなくなる、といった問題も回避できる。今までのウイルス対策ソフトとしてとは全く異なるセキュリティソフト、それがこのDeP HEだ。ちなみに、ハミングヘッズでは「APIを使わないプログラムはなく原理的には100%捕まえることが可能」とアピールしており、その性能に対する自信のほどが伺える。
DeP HEを使ってみる
ここからは、新たに追加された新機能を中心にDeP HEの使い方を紹介していきたい。まずインストールだが、1点だけ注意すべきことがある。前述の通り基本的に他のセキュリティソフトと共存可能だが、インストール時には一時的に停止させる必要がある。他のセキュリティソフトがインストールされていると、図1のようなメッセージが表示される。
他のセキュリティソフトを停止する方法は、画面のリンクから解説ページに移動できるので、そちらに従えばいい(図2)。
インストールを終了させ、DeP HEを起動するとDeP HEのグランドメニュー(図3)が表示される。左側にあるサイドメニューを開くと、各種設定 が行える(図4)。
といってもDeP HEは、基本的にユーザーが設定を行うことはほとんどない。唯一確認しておきたいのは、DeP HEの「運用モード」だろう。サイドメニューの[設定]をクリックすると、同機能の選択項目が表示される(図5)。
この運用モードでは、DeP HEのセキュリティ機能をどのように使うかを設定可能。デフォルトは「ディフェンスモード」となっており、すべての機能が有効となった状態。もう一方の「検知モード」は、監視以外の機能を無効にする設定で、警告パネルも表示せず、監視の履歴だけ出力される。なお、あらかじめ起動を許可する、逆に停止するアプリケーションの設定も可能だ。
新しくなった警告パネル
実際に不正と思われるプログラムが検知されると警告パネルが表示。プログラムの動作を止めるか、そのまま処理を続けるかの判断できるようになっている。
ここで今回追加された新機能が活躍する。新たに、他のユーザーがどの処理を選んだかという割合を示すグラフを表示する「警告パネルお助け機能」が追加された。この新機能は、多くのユーザーが「止める」を選んでいれば、安心して「止める」を選択する―― といった具合に、他のユーザーを参考に検知した脅威への対処を選択できるというもの。多くのユーザーが利用することで、より精度が上がっていくシステムだ。
なおグラフは、一定数のユーザーの行動が集まった時点で表示される。「止める」「続ける」のどちらを選択しても、その選択データはハミングヘッズ側に送信され、グラフ化に活用される。この時、選択した動作以外にプログラム名やインストール時の固有ナンバーは送信されるが、この固有ナンバーはデータの区別をするためで、ほかの個人を特定したりPCの詳細に関する情報は送信されないそうだ。
こうして集められたデータは、ユーザーへの参考情報として提示されるほか、この1カ月でどういう選択がなされたのか、といったトレンド的な要素も加味していきたいとしている。収集されたデータや分析結果などがセキュリティレポートとして公開されることも期待したい。
ユーザーからのデータが一定数に達しないプログラムでは、図6のように表示される。この例では、プログラムが勝手に通信を行おうとしているために検知されている。これだけで危険かどうかを判断することは初心者にはやや難しい。そこで、図7のようなグラフがあれば分かりやすいといえる。さらに重要なポイントは、DeP HEが危険を検知したからといって、実際に危ないプログラムではない場合もあると言うこと。
図7は、「続ける」を選んだユーザーが多い例である。これはSNS用のプログラムだが、インストール時に警告パネルが表示された。ハミングヘッズによると、現状ではWindows 8のタイルアプリやSNS関連で警告されることが多いとのことである。こうした点も踏まえて、検知方法についてさらに検討するという。こうした結果が、製品を改良するためのフィードバックとしても生かされるし、ユーザーにとってもグラフの結果はとても参考になるだろう。
新しく搭載されたシステムパネル
もう1つの新機能がシステムパネルである。サイドメニューから[システムパネル]を選ぶことで利用可能。図8のように現在のPCの状況を表示してくれ、スペック、健全度、環境、セキュリティの4項目で表示される。こちらもシンプルでわかりやすい。右上の[DETAIL]をクリックすると、詳細が表示される(図9)。
この環境では、断片化(フラグメンテーション)が進行していることがわかる。[SECURITY]ではDeP HEの警告パネルが表示された時に、「続ける」または「止める」の割合が多い方の、どちらを選んだか、という情報が確認できる。さらに、DeP HEが検知したレジストリへの書き込み、通信操作、インストール、ファイル操作、メモリ書き込みなどのアラート数も表示される。さらに右上の[Application]や[CPU]をダブルクリックすると、システムパネルの詳細情報もチェックできる(図10)。
これは簡易的な資産管理機能としても利用でき、企業などのサポートには好評だという。個人でも図11のように、更新プログラムの確認などで活用できるだろう。また、DeP HEではシステム情報の取得はデフォルトではPCのパフォーマンスに影響を与えないよう無効となっている。有効にするには、[設定]→[詳細設定]で行う。
体験版もあり!
セキュリティソフトとして、危険を察知するのは当然の機能。問題は、発見された危険にどう対処すればよいか、という点だ。DeP HEは、今回のバージョンアップでその点を大幅に改善している。
実際にDeP HEを使ってみると、思ってもみないところで警告パネルが表示されることがあった。さまざまなプログラムは、起動時だけでなく、背後で頻繁に通信や書き込みを行っているからだろう。そして、そうしたプログラムの動作を知ることも、セキュリティ意識の向上に繋がると思う。使い始めは警告パネルの表示がやや煩わしく感じることもあると思うが、使っていくうちにアラートは減っていくし、履歴からホワイトリストを作成する機能を利用することでも回避できる。パターンファイルの更新の手間もなく、PC全体のウイルスチェックなどの作業が必要ない点から、使っていて面倒の少ないセキュリティソフトと言えるだろう。
主要なセキュリティソフトでは、マルウェアを配布する改ざんされたサイトなどのデータベースを使って、危険なサイトへのアクセスをブロックする機能を搭載したものが多い。それに対し、DeP HEはその動作原理上、危険なサイトでもブロックするようなことはしない。もちろん、そこからマルウェアがダウンロードされて起動しようとしても、動作をブロックして警告パネルが表示されるので、感染の危険性は薄いが、それでも少し不安に感じるユーザーもいるかもしれない。そういった場合は、既存のセキュリティソフトとの併用をお勧めしたい。
ちなみに現在、同社では60日の試用が可能なDeP HEの体験版を提供している。試用後、ブロガーレビューを行うと、さらに1年間の利用が可能になる(つまり、1年2か月利用できる)。ぜひ、この機会に試してみてはいかがだろうか。