家庭料理が今盛り上がってる？

HIDバルブの適合規格について

HIDの利点は、明るさと消費電力にあると言います。また、明るさは従来のハロゲンランプと比べても倍以上の明るさを持つものと述べています。欠点といえば価格が割高になるが、総費用と明るさの安全性を考えると決して高くはないと考えています。ちなみにHIDに交換する場合は、バルブの規格が一致するかどうかを確認しなければなりません。
私は、低消費電力と薄をうたうPC用LEDモニターを購入しています。消費電力に関しては、どれだけ効果があるか分からないが、薄くそして軽いのは、モニタのセットアップとデスクの運用に非常に有利な点です。しかし、一つ問題があります。これは、全体的に発色が青になる。おそらく、バックライトのLEDに青色の波長が強いものが使用されているものです。
　金銭の詐取を目的として不特定多数を対象に行われる従来型のサイバー攻撃が増加する一方で、Shady RATやAurora、Stuxnetに代表される、特定の企業やインフラを狙った標的型攻撃が現実化している。そしてマルウェアも、怠惰な一般ユーザーに向けた“数撃てば当たる”攻撃から、勤勉なシステム管理者を相手に自身をrootkitに隠し、OSの深いレベルで動作する高度なものへと進化してきた。

【担当者に聞く：Intel×McAfeeの「DeepSAFE」でサイバー犯罪者の1歩先へ】

　こうした通常のセキュリティソフトウェアでは検出が難しい脅威に対し、McAfeeはハードウェア支援型のセキュリティ技術「McAfee DeepSAFE」で対抗していくという。従来のセキュリティ技術とは何が違うのか。McAfee Labsのセキュリティリサーチ担当ディレクター、デビット・マーカス氏に話を聞いた。

――　まずはじめに、最新のセキュリティ動向についてお聞かせください

マーカス　サイバー世界の脅威は2つの大きなカテゴリーに分けられる。1つは広範囲に行われる従来型の攻撃、もう1つがターゲット型と呼ばれる、特定の企業などに標的を絞って行われる攻撃だ。通常の攻撃でいうと、現在では1日当たり6万件以上をマカフィーラボで検出している状況で、数年前には数百だったこと考えると爆発的な増加だ。

　一方、特定の企業が特定の分野において成功している、あるいは特定の情報を持っているという理由から攻撃対象になってしまう標的型の攻撃は、もっと複雑で、攻撃自体を隠そうとする。いずれの攻撃も、その発生件数や洗練度合いは深刻化しているが、我々が特に脅威を感じているのは後者だ。

　標的型の攻撃では、ターゲットがどんなシステムを使っているのか、どんなセキュリティを持っているのか、使用者は誰かといったあらゆる情報を調べ上げ、全体の中の1つのデータを狙って行動する。標的型攻撃を防ぐのが難しい理由は、どれだけきちんと対策をしていても、たった1つのミスから攻撃者に手がかりを与えてしまうということだ。例えば、Webサイトのパッチを忘れていた、そういうたった1つのミスがいずれ攻撃者に突かれて、内部に侵入を許してしまう。攻撃側は圧倒的に有利だ。たった1つのミスを探せばいい。

　そしてもう1つ、これまでのセキュリティ機能が、守るべきデータと同じレイヤーにある、という問題もある。同じ場所に存在するデータを、同じ場所にあるセキュリティ機能で保護するというのは難しいことだ。

　そこで我々はインテルと協力し、保護機能をOSとは別の場所に移した。つまりハードウェアに保護機能を実装することで、より効果的に攻撃を検知できるようにした。この機能はCore i3／i5／i7のエクステンションを利用する仕組みだ。

――　DeepSAFEですね。それはCore iシリーズでしか利用できないのですか？ 例えば、Atomやそのほかのチップでは？

マーカス　そう、現時点でDeepSAFEを利用できるのは、Core i3／i5／i7に限られる。もちろん、Atomやそのほかのシステムについても話し合いはしている。あくまでも最初のリリースではDeepSAFEプラットフォームがCore i3／i5／i7に限られるというだけだ。

――　すでに出荷したシステムに対してDeepSAFE機能を組み込むことは可能なんですか？

マーカス　もちろんできる、システムがCore iを使っていればね。インテルCPUはVTxのようなエクステンションを、これまで誰も使っていなかったものも含めて、非常にたくさん持っている。我々がCore iを選んだのも必要な機能がすでに備わっていたからだ。補足するなら、今回のはあくまでもバージョン1で、rootkitの検出だけに特化しているが、次のバージョンでは別の目的のために動作する機能を追加していくだろう。

――　エクステンションを利用するということは、ほかのセキュリティベンダーが類似の機能を開発することは可能なんですね？

マーカス　いい質問だね。その通り、できる。しかし、我々はインテルと非常に密接な関係を持っており、そのうえでDeepSAFEの開発には24カ月を要した。当然ほかのセキュリティベンダーも同じことをしてくるだろうが、おそらくもっと時間がかかるはずだ。そしてそのときには、我々は先に進んでいる。ただ、このプラットフォームを投入することで、セキュリティ業界を完全に変えてしまうことになるだろうとも思っている。いずれにせよ、他社は追従せざるを得ないだろう。

――　もう1つ、現在のモデルでは、OSよりも深いハードウェアの部分にDeepSAFEがあり、その上のアプリケーションレイヤーにもMcAfeeのセキュリティ製品があるようですが、他社のセキュリティソフトを利用することはできますか？

マーカス　もちろん、他社製品と共存できればベストだが、現在は自社製品とぶつからないように担保している段階だね。ただ、1ついえるのは、DeepSAFEによってアプリケーションレイヤーにおけるMcAfee製品の性能向上も期待できるということだ。rootkitの排除をDeepSAFEにまかせることで、その部分に割いていたリソースを別のマルウェア対策に効果的に振り分けることができるようになる。これはいい組み合わせだと思う。

――　DeepSAFEのアップデートはどのように行われるのでしょうか

マーカス　まず、アップデート機能はほかの製品と同様のレベルのものは備わっている。ただし、DeepSAFEはビヘイビア技術を使っており、シグニチャを必要とするものではないので、DATファイルのように頻繁なアップデートは行われない。今後フィーチャーを追加したり、ほかのハードウェア支援型のセキュリティを追加する準備ができたときには、いつでもアップデートできる仕組みになっている。

　ここで（DeepSAFEがどのように動くか）簡単な例を挙げよう。OS上のセキュリティ機能では、rootkitでもマルウェアでも、スキャンをして検知したら対処する、といったように遅延が起きてしまう。一方、DeepSAFEは、OSを超えたところでメモリそのものを監視しているため、攻撃があった際に、本当のリアルタイムで検知することができるわけだ。

●インテル以外のプラットフォームにも展開

――　これまでのOS上で動作するセキュリティソフトでもヒューリスティックにマルウェアを検知する機能はありますが、それとは違うのでしょうか。

マーカス　いわゆる静的なヒューリスティックは、特定のマルウェアがとる特有の振る舞い、つまり既知の一定のパターンが出現したときに対処するものだが、DeepSAFEではそれがどんなものかは関係ない。メモリ上の動きそのものが危険かどうかを判断する。

――　ただその場合、どの振る舞いが正常で、どの振る舞いが悪意のあるものなのかを完全に分けることはできますか？

マーカス　たった1度の振る舞いから悪意があるかどうかを判断するのではなく、常に監視して、複数回のビヘイビアとそれまでの蓄積に照らして判断するようになっている。

――　質問を変えると、擬陽性についてです。間違って悪意のあるコードだと判定してしまう可能性は？

マーカス　その確率は非常に低いと言っていい。たった1度の不審な振る舞いから判断するのではなく、ある一定時間内に何度か疑われる振る舞いがあって、そこで初めて判定することで、擬陽性の結果を極力排除している。多くのプログラムはコードが“まずい”ので、悪意がなくても危険な振る舞いをしてしまうからね。また、安全なドライバなどはあらかじめ監視を回避して、誤って検知しないようにする仕組みもある。

――　逆に誤検知を極力抑えようとすると、つまり、たった数回の振る舞いでは断定しないとするならば、攻撃コードを通してしまう可能性はありませんか？ そのときDeepSAFEが攻撃されることはないのでしょうか。

マーカス　確かに場合によっては、悪意のある攻撃を通してしまうことがあるかもしれない。まったく新しい攻撃が出てくる可能性は常にある。しかし、DeepSAFEはマルウェア側からは決して見えない場所にあるので攻撃される可能性はない。

　今回はあくまでステルス攻撃とrootkitに特化したバージョン1に過ぎず、これから新しいバージョンが出てくるということも理解してほしい。

――　バージョン1.5ではどんな機能が？

マーカス　将来のロードマップについてこの場で言うことはできないが（笑）……ただ1つ言えるのは、VTxエクステンションを使って、これまで誰もやったことがないようなユニークな形で活用するような機能を考えている。それ以外のエクステンションについてもどんな使い方ができるかを模索している段階だ。で、おそらく君の次の質問は「ほかのチップではどうなるの」だろう？（笑）。

――　（笑）

マーカス　インテルが素晴らしいのは、McAfeeが完全子会社になった今でも独立経営を許し、我々が持っている強みをどんどん広げてほしいという態度を取っている点だ。つまり我々は、他社のチップについても同様の開発を継続できる。

――　そこには、AMDやNVIDIAも含まれる？

マーカス　可能だろう。我々はセキュリティ専業の企業として、できるだけ多くのベンダー、できるだけ多くのアーキテクチャ、できるだけ多くのプラットフォームで動作することを重視している。インテルチップ以外でのセキュリティに関しても当然やっていきたいと思っている。

グラフ：増加するAndroidを狙ったモバイル端末向けのマルウェア
（http://plusd.itmedia.co.jp/pcuser/articles/1110/19/news031.html）

　また、モバイル分野でも大きなチャンスがあると考えている。モバイル端末における脅威、特にAndroid向けのマルウェアは今後も増えていくと予想されている。そしてその多くは、GPSで位置情報を発信するスクリーンセーバーや、個人情報を収集するゲームといったように、特定のあやしい振る舞いを行うアプリになるはずだ。このため、ビヘイビアベースで、シグニチャに依存せずにそれらを検出できる仕組みを考えている。

――　現状のAndroid向けセキュリティはroot化するような攻撃に対して効果的な対策を打てていないのが現状です。DeepSAFEのような技術がAndroid端末で利用できるようになるとしたらいいニュースですね。

マーカス　その通りで、まさにその点も検討している。かつて古いプラットフォームで犯した過ちを新しいプラットフォームで繰り返すことは避けたい。その意味でハードウェア支援型のセキュリティをAndroidにも広げていきたいと考えている。とはいえ、AndroidにおけるDeepSAFE的なものは将来の話で、今すぐということにはならない。ただ、Apple（iOS）とは異なり、Androidは非常にオープンで、アプリの開発が容易なため、同じようにマルウェアも簡単に開発できる。このため、まずはAndroidで、ということになるだろう。

――　ただ、ハードウェア支援型のセキュリティは、どうしても端末メーカーやキャリアと協業する必要がありますね。その時間を考えると、実現はだいぶ先になってしまいそうですが……。

マーカス　確かにその通りだが、我々がインテルの傘下にあるということも有利に働くと思っている。インテルはイノベーションにおいても先頭で旗を振っていて、多くの企業の意思決定に大きな影響力を持っている。マカフィーはセキュリティについて、一方のインテルはハードウェアとテクノロジーについて熟知していて、両社が1つになることで長期的に業界全体を正しい方向へ導けるようになればいいと思う。

　Googleは、開発が容易なプラットフォームを提供したという点で素晴らしい仕事をしたが、オープンであるということは“悪いやつら”にとっても同様だった。オープンで使いやすいものと、閉鎖的で活用しづらいものがあった場合、犯罪でどちらを利用するかといえば、答えははっきりしているだろう。

――　脱線しますけど、iOSは閉鎖的ですか？

マーカス　“クローズド”はまずかったかな。コントロールドのほうが、いやマネージドのほうがもっとよかったかもしれない。言葉は難しいね（笑）

　App Storeに自分が開発したコードをポストするためには何段階も承認を得なければならないわけだが、それ自体が悪いかいわれると、そうは思っていない。考え方が違うだけで、App StoreではAndroid Marketよりもきちんと管理されたアプリが手に入る。それをよいと思うユーザーもいれば、もっとオープンなプラットフォームを求めるユーザーもいるだろう。ユーザーが自分にあったものを選択すればいいわけで、善し悪しという問題ではない。

――　DeepSAFEについて、リリース時期はいつごろになる見込みですか？

マーカス　年末までに2つの製品を出す予定だ。年内のカンファレンスで実際にDeepSAFEが動作しているデモを披露することになる。一般への提供方法はこれまでのソフトウェアと同じように、従来の販売チャンネルを通じて行い、システムにインストールできるような形で提供する。ただ、コンシューマー向けは2012年にスイートの一環として提供される予定だ。2011年内のリリースはあくまで企業向けになる（※日本国内のリリース時期については未定）。

●“攻撃型”のセキュリティや、セキュリティベンダーの中立性について

――　ここからは雑談レベルでかまわないので、少し別の話を聞かせてください。まず、直近の30日以内で、個人的に印象に残ったセキュリティの脅威は何ですか？

マーカス　30日か……うーん。Mac向けのマルウェアかな。Windodwsではよく知られているFAKE AV（偽アンチウイルスソフト）がMacでも効果的に被害を出している状況だ。Macが特別狙いにくいわけではないのに、どうして出てくるまでにこれだけ時間がかかったのかは興味深いね。それと最近の話題では、iPhoneでボットネットをコントロールするアプリもあった。“脱獄”したiPhoneに限られるが、かなり高度にボットネットをコントロールできるようだ。

――　ややおおざっぱな話ですが、サイバー犯罪を根絶するために効率的な方法はなんだと思いますか？

マーカス　犯罪がなくならないように、サイバー犯罪を根絶するのは不可能だろう。ただ、我々のようなセキュリティベンダーの知識と、インテルが持つようなハードウェア技術を組み合わせることによって、犯罪者の1歩先を行く、これまでような“後追い”ではないセキュリティを今後は考えていく必要があると思う。

――　例えば、私有地に不法侵入したらガードマンが来て警棒で叩く、あるいはドーベルマンが走ってきてかみつく、といったように、サイバー攻撃者に対して自動報復を行うようなセキュリティは考えられませんか？

マーカス　我々がやっているのは専守防衛型のセキュリティだが、確かに攻撃型のセキュリティをやっている企業もある。ボットネットや悪意のあるWebサイトを攻撃して排除する考え方もあるし、それは実際に可能だろう。ただ、自動的に報復するという考え方は、個人的には気に入らないね……犬が反撃するのはすごいな（笑）。

　とはいっても、警察の捜査に協力したり、その種の政府機関に情報提供を行うことはある。例えば、ボットネットであるとか、あるコードがどこの誰によって書かれた可能性があるかといったようなことだ。その結果、犯罪者の逮捕や起訴につながることはある。ただもちろん“自動報復”に比べれば時間がかかる。

――　政府への協力という話がでましたが、例えば、ある2国間でサイバー戦争が起きたときに、米国の企業であれば米国に協力するといったように、中立性を保つのが難しくなる状況があると思うのですが、セキュリティ企業としてそういった点はどう思いますか？

マーカス　我々はグローバルな企業で世界中に顧客がいるし、世界中の政府や警察と協力関係にあるので、どこか特定の政府に肩入れするということはない。我々はお金をもらい、セキュリティというサービスを提供している。第一義的に、忠誠を誓うのは顧客だ。

――　仮に、ある国に対して大規模なネットワーク攻撃が発生し、その政府から攻撃元を調査してほしいと依頼があったとして、その結果、調査内容を元に精密爆撃が行われたという状況でも、「我々はただ情報を提供しただけだ」ということでしょうか。

マーカス　まず第1に、サイバー世界で起きたことに対して、セキュリティベンダーのリポートを元に直接的に軍事行動へ繋がると考えるのは現実的ではない（笑）。

　第2に、例えばある攻撃に対して、仮に日本政府に情報提供を求められればそれを提供するし、米国でも中国でも同様で、特定の国には情報提供はしない、ということはありえない。

　我々はマルウェアやサイバー攻撃に対してよく知り得る立場にいるので、求められれば平等に情報を出していく。あくまでも我々は、顧客を守るのが最終目的なので、それについてやるべき攻撃の検出や情報収集をしていくことになるだろう。

――　ありがとうございました。

[後藤治，ITmedia]


【関連記事】
あなたのスマートフォンはだいじょうぶ？：Android向けマルウェアで気をつけるべきこと
「Fatal System Error」著者に聞く：インターネットのすばらしく恐ろしい話
ネットの脅威はテロの時代に――ユージン・カスペルスキーに聞く