【トレンドマイクロ】ウイルスバスタークラウド×Windows8技術白書

ウイルスバスタークラウド
TM
×Windows8
白書
2012 年 11 月 7 日
トレンドマイクロ株式会社
目次
1. エグゼクティブ・サマリ ................................................................................................... 3
1.1 Windows8 の登場とセキュリティ対策 ....................................................................... 3
1.2 Windows8 のアーキテクチャ ...................................................................................... 3
2. 脅威への対応 ..................................................................................................................... 4
2.1 マルウェア ................................................................................................................... 4
2.2 Web レピュテーション ................................................................................................. 5
3 アンチマルウェア ............................................................................................................... 7
3.1 Windows Defender の機能 .......................................................................................... 7
3.2 ウイルスバスタークラウド ......................................................................................... 8
4 Windows8 ストアアプリ ....................................................................................................... 9
4.1 セキュリティ脅威マップ ............................................................................................. 9
4.2 リモートアラーム .......................................................................................................11
3.3 あんしんブラウザ ...................................................................................................... 12
2
1. エグゼクティブ・サマリ
1.1 Windows8 の登場とセキュリティ対策
Windows8 はこれまでの Windows と同様のデスクトップユーザインタフェースを備えな
がら、新しいユーザインタフェースを具備し、これまでと体系がまったく異なるアプリケ
ーションの実行プラットフォームを備える、
「ハイブリッド」な OS です。
特徴的なタッチインタフェース（これまでもタッチインタフェースはありましたが、よ
り強力な）の採用により、ユーザはこれまでの Windows のユーザエクスペリエンスに加え
て、Andriod や iOS に代表されるタッチおよびタップ、スライド、スワイプ等のゼスチャ
TM
ーによって、より直感的な操作が可能となっています。
これによりユーザは、これまでの Windows の資産を生かしながら、新しいユーザインタ
フェースとこのインタフェースに対応したアプリを活用することが出来、また、これまで
Windows を利用していたユーザは、Windows8 へ移行することができます。
（Windows のバー
ジョンによって、移行出来る内容が異なります）
これまでの Windows の資産が生かせる事は、ユーザにとってメリットの大きい事ですが、
同時にこれまで Windows を利用するうえで注意を払うべきだったマルウェアについても、
引き続き注意を払う必要があります。一方、Windows8 では OS が持つセキュリティの機能
が強化されており、ウイルスバスタークラウドではこれらを活用することによって、より
強化されたプロテクションをお客さまへ提供することが出来ます。
1.2 Windows8 のアーキテクチャ
技術的には、Windows7 の延長線上にある Windows のカーネルにこれまでと同じ環境の実
行環境(Win32 環境)と併存する形で、新しいユーザインタフェースに対応したアプリの実行
環境(WinRT)が存在し、WinRT/Win32 は各々相互に直接関連することはできません。
（アーキテクチャ概念図）
3
また、新しいユーザインタフェース(WinRT)の実行系は、サンドボックス(AppContainer)
が採用されていることやマイクロソフトによって事前のアプリの審査が行われることから、
従来の Windows のアプリケーションの環境と比較して、セキュリティリスクが軽減された
環境と言えます。
したがって、構造上 Windows8 でも引き続き懸念されるリスクについての対応が引き続き
重要となってきます。以下では、対応が必要だと考えられる脅威を中心に、ウイルスバス
タークラウドの Windows8 対応機能について記載しています。
2. 脅威への対応
2.1 マルウェア
【Windows8 の下位互換性】
Windows8 は、デスクトップアプリケーションの下位互換性が高い OS です。新しいユー
ザインタフェース向けのアプリはサンドボックスのため、アプリの外部（ネットワーク・
クラウドへのアクセスは除く）へアクセスする事はできませんが、デスクトップのアプリ
ケーションはこれまでと同様に OS カーネル等へのアクセスが可能（アーキテクチャ概略図
参照）であるため、これまでと同様のマルウェアのリスクが発生することが考えられます。
また、互換性を重要視していることは、Windows OS の内部バージョンからも読み取るこ
とが出来ます。Windows 2000 (5.0) をベースとした XP から Vista で内部バージョンが
5.x 系から 6.0 となり、バージョンも変更されましたが、Vista 以降は 6.X として維持
されています。これにより、OS 内部に抜本的な変更が無い、つまり、下位互換性が高い設
計となっていることがうかがえます。
・Windows Vista = 6.0
・Windows7
= 6.1
・Windows8
= 6.2
【新しいセキュリティ対策】
一方、OS として、マルウェア対応のための新しい機能が Windows8 で実装されました。
Windows8 では、ELAM (Early Launch Anti-Malware)によって、信頼される発行元から発行
されたアンチマルウェアのためのフィルタドライバ（スキャンを行うドライバ）を OS の起
動時に読み込むことによって、アンチマルウェア機能をより早期の段階で有効化する技術
が採用されています。
4
この ELAM に利用するドライバ（ソフト）は、あらかじめマイクロソフトによって署名が
付与され、この署名が無いドライバは ELAM の仕組み上、読み込みができません。
トレンドマイクロでは、Windows8 への対応の一環として、この ELAM ドライバを提供し、
Windows8 上で OS 起動時における早い段階でのマルウェア対応を実現しています。
この ELAM
により、OS の起動の初期に他のドライバに対するスキャンを行う事が可能となり、アンチ
マルウェアの機能が有効化されるため、これまでの OS よりも一歩進んだアンチマルウェ
アへの対応を行う事が出来ます。
2.2 Web レピュテーション
【Web からの脅威】
Windows8 や、その他 OS も、Web ブラウザが動作する環境では、Web からの脅威は逃れら
れません。マルウェアをダウンロードさせるサイトをはじめ、ワンクリック詐欺に代表さ
れる金銭や個人情報を詐取するためのサイトの報告は、枚挙にいとまがありません。
Web からの脅威は、OS との技術的関連性があるものと無いものがありますが、特に詐欺
サイトや、子供にアクセスさせたくない（子供にとって教育上の脅威となる）サイト等が
あり、これらをフィルタ・アウトやブロックするソリューションが必要です。
【新しいユーザインタフェースのサポート】
前章で示した通り、Windows8 には 2 種類の実行系が存在し、基本的に相互に影響を及ぼ
しません。これまでのウイルスバスター(ウイルスバスター2012 クラウド)は、デスクトッ
プユーザインタフェース専用の設計であるため、新しいユーザインタフェース上で稼働
するブラウザに対しては Web レピュテーションサービスを提供することが出来ませんでし
た。
新しいユーザインタフェースを含め、Windows8 デバイス上で発生する Web のトラフィッ
クに対応するため、トレンドマイクロでは、プロトコルフィルタドライバ (Windows
Filtering Platform へ対応)の Windows8 対応化を行い、このフィルタドライバを通じて新
しいユーザインタフェース上で稼働するブラウザ経由の HTTP アクセスにたいしても、WRS
や URL フィルタを元にして、危険なサイトあるいは、子供に見せたくないサイトをブロッ
クする事が可能となりました。
このプロトコルフィルタドライバの Windows8 対応を行っていない、ウイルスバスター
2012 クラウド（プログラムバージョン 5.x）は、新しいユーザインタフェースで動作す
る IE からのトラフィックを監視することが出来ません。ウイルスバスター2012 クラウド
5
は、プログラムバージョン 5.4 で Windows7 から Windows8 への OS アップグレードに対応
していますが、OS アップグレード後、Windows8 の利用に最適化されたウイルスバスターク
ラウド(プログラムバージョン 6)へのアップグレードを強く推奨します。
【プロトコル解析】
新しいプロトコルフィルタドライバでは、TCP 上のデータストリームの解析を行い、プロ
テクションに必要なデータを抽出・検査する機能を有しています。検査はローカルのデー
タベース（ユーザのプライバシーデータ等指定されたものを含みます）、あるいはトレンド
マイクロのクラウドシステムである SPN(Trend Micro Smart Protection Network / 以下、
SPN)への問い合わせを行います。
(ブロック概念図)
またあるいは、そのほかに不正なスクリプトが含まれているか？等、アプリケーション
データの再構成をプロトコルパーサーで行い、データストリームを再生したうえで、解析
エンジンへ渡し、データストリームの解析を行い、エンジンは措置（ブロック等）が必要
な場合それを行い、ユーザへ通知を行います。
2.3 通信料制御機能
Windows8 には、デバイスで利用している回線が従量課金制の回線であるか否かの情報を
アプリケーションプログラムから API を経由して取得できる機能が追加されています。ウ
イルスバスタークラウドでは、この機能を活用し、従量課金制の回線に接続されている際
6
に、ウイルスバスタークラウド自身が発生する通信について、通信を抑制して通信料金へ
の影響を最小化します。
具体的には、デバイス内に保存されているパターンファイル（シグネチャの約 80％はク
ラウドへ移行されていますが、デバイス内にも必要最小限のパターンファイルは保存され
ます）のアップデートを最大３日間抑制します。
この抑制している間も、クラウドへの問い合わせは行うため、脅威への対応力が低下す
ることはありませんが、デバイス内のパターンファイルが最新ではないため、場合によっ
ては、より頻繁にクラウドへの問い合わせが発生する可能性があります。
ただし、クラウドへの問い合わせはパターンファイルのダウンロードと比較した場合、
大変小さな容量となるため、従量課金回線への影響はパターンファイルのダウンロードよ
りも低減されます。
3 アンチマルウェア
3.1 Windows Defender の機能
Windows8 に実装されている Windows Defender は、Windows7 までと異なり、より強化
されて、Microsoft Security Essentials の機能を取り込んでいます。これにより、Windows8
上の Defender は、基本的なアンチマルウェアの機能を装備出来るようになりました。ユ
ーザインタフェース上では、Microsoft Security Essentials で設定できていた機能が、
簡略化され、設定が廃止されているものもあり、完全に同一の機能をもっているという事
ではないようです。
・アンチマルウェア
-
リアルタイムスキャンおよび手動スキャン
-
アーカイブファイルやリムーバブルドライブのスキャン
-
復元ポイントの作成
-
検疫（Quarantine）
・アップデート
-
不定期
-
マイクロソフトへのフィードバック
7
3.2 ウイルスバスタークラウド
マルウェア・Web サイトをはじめとする脅威に対する早期の対応、プライバシー保護や、
ペアレンタルコントロールといったセキュリティ機能を包含する、総合セキュリティ対策
が求められます。
【ウイルスバスタークラウドの特徴】
総合セキュリティ対策
・アンチマルウェア、Web、eMail、SNS 対策、プライバシー保護、
ペアレンタルコントロールといった機能を包含した、セキュリ
ティ対策を提供します。
高い基本性能
・マルウェア、Web 等の最新の脅威への反映速度―クラウド上
のデータは 1 時間に 1 回のアップデート。
・マルウェア―Web―eMail の相互の関連性をクラウド上、ロー
カルデバイス上で相互の関連性を分析（相関分析）し、複雑化
した脅威に対応します。
地域密着
・日本に密着したマルウェア解析センターを持ち、日本独自の
脅威の発生にも対応しています。
サポートサービス
・様々なチャネル（チャット、eMail、電話）による 365 日のサ
ポートサービスを行っています。
8
4 Windows8 ストアアプリ
トレンドマイクロでは、ウイルスバスタークラウドの他に、Windows8 の新しいユーザ
インタフェース向けに Windows ストアアプリを提供します。これらは、Windows8 に新たに
標準的に実装された機能を活用して、ウイルスバスタークラウドでは実装されていない機
能も装備して、お客さまのデジタルライフをサポートします。
4.1 セキュリティ脅威マップ
セキュリティ脅威マップは、①お客さまにウイルスバスタークラウドのステータスをお
知らせするダッシュボードとしての機能と、②現在世界で発生している脅威を視覚化して
簡単にご覧いただける機能の大きく 2 つの機能があります。
【ウイルスバスタークラウドステータス表示】
新しいユーザインタフェース上で、簡単に現在のプロテクジョンの情報、ウイルスバス
ターライセンス契約期限（残り日数）を確認していただく事ができ、この画面からウイル
スバスターの基本的な機能を利用することができます。
（ウイルスバスターステータス表示）
【セキュリティ脅威マップ】
脅威マップは、SPN から最新の情報を取得し、クラウドから得られた各種データを見やす
い表現（世界地図と表）へと変換して、表示を行います。SPN では、マルウェアや Web サ
イトのレピュテーションのデータに加えて、マルウェアと eMail、Web サイトの関連性の分
析（相関分析）を行い、ウイルスバスタークラウドをはじめとした、エンドポイント製品
へ脅威情報を提供または、参照しています。
脅威マップでは、この情報のうち、マルウェア、Web の発生地域の情報、頻度（広がり）
9
の情報を加工して表示を行っています。
（地図上で日本地域を拡大）
脅威の状況によって国・地域が色分けされ、発生頻度が高いほど黄色→赤色→濃い赤
色となります。
（地図の隣には、地域の Web/マルウェア脅威状況が表形式で表示）
マルウェアのリストは、感染状況から上位トップ 10 を表示。この表に表示されている
マルウェア名からトレンドマイクロのウイルス情報データベースへリンクが行われており、
10
さらに詳しいマルウェアの情報を参照することが出来ます（ブラウザが起動され、トレン
ドマイクロのマルウェア情報 Web ページが参照されます）
。
4.2 リモートアラーム
リモートアラームは、Windows8 のデバイスを見つけるのに役立つ 2 つの機能を実装して
います。①マップ上でデバイスのおおよその位置を表示する機能および、②デバイスのア
ラームを鳴らし、発見の手助けを行う機能です。
リモートアラームを行うには、トレンドマイクロにお客さまのアカウントを登録してい
ただく必要があります。お客さまはリモートアラームをデバイスへインストールしていた
だき、アカウントを登録していただくことにより、デバイスを探せるようになります。
【位置情報の把握】
デバイスの位置情報の把握には Windows8 の位置情報関連の API が利用されています。
Windows8 では、Wifi および GPS、3G、IP アドレスによって、OS によって位置情報が特定
されますが、位置情報の精度はデバイスに位置情報に関わるハードウェアが実装されてい
るか、あるいは、デバイスが置かれている環境（Wifi や 3G が届いているか）に大きく依存
することとなります。
位置情報は、デバイスからトレンドマイクロのサーバへと送信され、地図上にマッピン
グが行われます。トレンドマイクロ側で利用している仕組みは、ウイルスバスターモバイ
ル for Android で既に実績がある方法を活用しています。
（メインページ）
リモートアラームを利用しているすべてのデバイスの状況サマリを表示。
11
（デバイスが見つかった状態）
3.3 あんしんブラウザ
あんしんブラウザは、新しいユーザインタフェース上で動作するブラウザアプリです。
ウイルスバスタークラウドに実装されている機能と同様の Web レピュテーション機能を
活用した、通知機能を実現しています。
【ブラウザプラグイン】
新しいユーザインタフェースに対応した IE10 は、デスクトップ用 IE10 と異なり、プ
ラグインを活用することができないため、外部アプリケーションとしてお客さまに簡単に
Web の脅威をお知らせするアプリケーションとして実装しています。このアプリケーショ
ンは、表示すべき URL からダウンロードした Web のコンテンツを表示前に解析、URL リン
ク情報を抽出したうえ、トレンドマイクロの Web レピュテーションデータベース（SPN 上）
を参照し、個々の URL リンクのページのレーティング情報を取得、お客さまへ分かりやす
い形で、色分けし、表示することが出来ます。
ウイルスバスタークラウドは新しいユーザインタフェースからのトラフィックにも
対応して、不正な URL をブロックする機能はありますが、レーティングの情報の可視化に
はブラウザ側でのコンテンツ解析が必要となることから、別アプリとしての開発を行いま
した。
12
（あんしんブラウザ）
メイン画面。親指の位置に機能ボタンを配置。
（あんしんブラウザ）
サーチエンジン検索結果の URL リンク評価部（抜き出し）
。
13
本ドキュメントは 2012 年 10 月現在のものです。内容は、予告なく変更される場合があり
ます。
トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段
を問わず本ドキュメントまたはその一部を複製することは禁じられています。
TRENDMICRO、ウイルスバスター、ウイルスバスタークラウド、Trend Micro Smart Protection
Network、および SPN は、トレンドマイクロ株式会社の登録商標です。
Android は Google Inc. の商標です。各社の社名、製品名およびサービス名は、各社の商
標または登録商標です。
Copyright (c) 1995-2012 Trend Micro Incorporated. All rights reserved.
以上
14

Download Report