さて、本日のエントリーのタイトルの答えは何か?
ディフェンスプラットフォーム(以下 DeP)の開発元でもあるハミングヘッズさんにも確認をとりましたが、このマルウェアを止める事は理論上では可能なようです。
HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明 - GIGAZINE http://t.co/iqkZQh1fqS
DefensePlatformなら仕掛けられる時点と感染済みでもC&Cサーバ通信の時点で止められそうです。
— Defense Platform (@DeP_HE) 2015, 2月 19
検体を使用したテストはしていませんが、以下はあくまでも想定される DeP の防御になります。
侵入初期の段階で、Web などを介してスパイウェアが仕掛けられる
ホワイトリストに登録されていないプログラムが不正な書き込みを実行しようとするので、この時点で DeP がその動作を検知し止めます。
本来ならばこれ以降の動作が起きないので、これ以上被害は出ないという事になります。
ただし、ユーザ自身が動作を許可してしまった場合はどうか?以下が想定できます。
仕掛けられたスパイウェアがバックドアを設置
この時点でもプログラムが勝手に漏洩に繋がる動作を行うことになるので、DeP が検知し止めます。
スパイウェアが自身をアップグレードして、今回話題となっている HDD のファームウェアに潜むマルウェア化
アップグレードの為に C&C サーバと通信を試みるので、この動作も不正な動作として DeP は検知し止めます。
仮に、HDD のファームウェアにマルウェアが仕掛けられたとしても・・
HDD のファームウェアから直接通信をする事はできず、必ず Windows API を使用しますので、マルウェアが漏洩行為をしようとしても DeP が検知し止めます。
以上、あくまでも想定のお話です。GIGAZINE のサイトでは、セキュリティソフトでの「駆除」が実質困難という記述もありますが、ポイントはこのマルウェアが「仕掛けられる時点での不正な動作」と「仕掛けられた後の不正な動作」になります。DeP は基本的にはホワイトリストに登録されていない不正な動作は必ず検知する事が可能なため、理論上では今回のケースでも防御が可能だろうというのが開発元の見解になります。
感染が確認された国々や NSA という名前がでている事から、何とも国家レベルのきな臭い匂いもしますが、こんなマルウェアが会社の PC や自分の PC に仕掛けられたら・・。恐ろしい時代になったものです。
それでは本日はここまで
テクニカルサポート - TH
- ホワイトリストキャンペーン実施中 -
ディフェンスプラットフォーム(DeP)詳細・購入
- 組織のコンピュータの安全を確保し、社内全体でホワイトリストを蓄積・運用する、企業様向けの「ビジネスエディション」もご用意 -
ディフェンスプラットフォーム(DeP)ビジネスエディションお問い合せ
03-5352-7883 平日 午前 10 時- 12 時 / 午後 1 時 - 4 時
メールでのお問い合せは info-corp@act2.com まで
- ディフェンスプラットフォーム 導入事例 -
#150001
ディフェンスプラットフォーム(DeP)ビジネスエディションお問い合せ
03-5352-7883 平日 午前 10 時- 12 時 / 午後 1 時 - 4 時
メールでのお問い合せは info-corp@act2.com まで
- ディフェンスプラットフォーム 導入事例 -
#150001
- 各種製品 FAQ ページ -
0 件のコメント:
コメントを投稿