更新: 1 月に同社のチップが新しい種類のサイドチャネル脆弱性によって攻撃される可能性があるという暴露(主にマイクロコードの修正によって対処)を乗り越え、Intel はプロセッサに対してより広範なシリコンレベルのセキュリティ改善を追加しています。
インテルは、今週サンフランシスコで開催される RSA セキュリティ カンファレンスに合わせて、火曜日に 2 つの脅威検出強化機能とサイバーセキュリティ教育イニシアチブを発表する予定です。
インテルのソフトウェアおよびサービス グループ担当副社長リック・エシェバリア氏は先週のメディア向け電話会議で、ほとんどの企業は脅威の予防、検出、回復、そして機械学習などの技術を使用して新たな脅威が出現する場所を予測するという 4 つの成果に重点を置いていると述べた。
インテルは、自社のCPUの多くに修正不可能なSpectre v2の欠陥があることを認めた。
続きを読む
「業界にとっての当社の価値は、当社のシリコンをどのように活用すればこうした成果を改善できるかを理解することです」と同氏は語った。
その目標に向けて、Chipzilla は、同社のシリコンに組み込まれた一連のセキュリティ機能である Intel Threat Detection と、Atom、Core、Xeon 製品ライン全体で Intel セキュリティ機能を標準化するフレームワークである Intel Security Essentials を発表する予定です。
Intel Threat Detection には現在2つの機能が含まれています。1つ目は、メモリスキャンの作業をIntelの統合グラフィックプロセッサにオフロードする「Accelerated Memory Scanning」です。
「マルウェアは、私たちが対処しているワークロードの中で最も急速に進化しているものの一つです」とエシェバリア氏は述べた。「脅威の検知を回避するために進化しているのです。」
同氏によると、多くの場合、マルウェアはメモリ内に自身を隠そうとしたり、攻撃手法として悪意のあるコードを直接メモリ内に送り込もうとしたりするという。
ワークロードをCPUからGPUに移行することで、メモリスキャンの速度とエネルギー効率が向上します。Intelは、ベンチマークテストの結果、この移行によりCPU使用率が20%から2%まで低下したと主張しています。
しかし、Echevarria 氏は、GPU が別のプロセスでビジー状態の場合、得られるメリットはそれほど大きくない可能性があると認めています。
電話ブリーフィングで、彼はGPUベースのメモリスキャンによってシステムオンチップの消費電力が52%削減されたと述べた。この数値はドラフト版リリースにも記載されていた。しかし、最終版ではこの数値は消えており、この主張は成り立たなかった可能性を示唆している。
WinTelは健在
2 番目のシリコン レベルのセキュリティ緩和策は、Intel Advanced Platform Telemetry です。これは、ハードウェア診断データを機械学習で使用できるようにすることで、脅威の検出を改善し、誤検知を減らす方法です。
マイクロソフトは、今月後半にMicrosoft Windows Defender Advanced Threat Protectionのウイルス対策コードにAccelerated Memory Scanningを組み込む予定です。一方、シスコは、XeonベースのTetrationデータセンター製品でIntel Advanced Platform Telemetryをサポートする予定です。
Echevarria 氏によれば、Intel Security Essentials は、セキュア ブート、キーなどのハードウェア保護、暗号化アクセラレーション、信頼できる実行エンクレーブなどのプラットフォーム防御テクノロジの整合性を確保する手段となります。
「テレメトリと機械学習アルゴリズムを組み合わせることで、高度な脅威の検出能力が向上するだろう」と彼は語った。
収集されたデータの種類についてより具体的に説明するよう求められたが、エシェバリア氏は拒否した。
「プライバシーは、私たちが行うあらゆることにおいて重要な設計ポイントです」と彼は述べた。「テレメトリで提供しているすべての情報の詳細については触れません。一般的に、データは匿名化され、一般化されています。」
ハードウェアの強化に加え、インテルはパデュー大学と協力し、「Design for Security Badge Program」を立ち上げました。学生と専門家の両方を対象としたこのプログラムは、サイバーセキュリティのスキル不足に対処することを目的としています。®
追加更新
RSAカンファレンス中のIntelの会合で、GPUメモリスキャンについてさらに詳細が明らかになりました。基本的に、Intelの統合GPUは、Intelドライバを介して物理RAMをスキャンし、特定のマルウェアシグネチャを探すよう指示されます。マルウェアがディスクに保存されている場合、ポリモーフィックアルゴリズムを使用して難読化することも、単純に暗号化することもできます。メモリ上で解凍されると、より容易に検出されるはずです。少なくとも理論上はそうなります。
インテルの統合グラフィックチップは、PCIeやその他のインターコネクトで接続されたサードパーティ製GPUとは異なり、物理RAMに完全にアクセスできるため、メモリ全体をスキャンして既知のソフトウェアの痕跡を探すことができます。このスキャンは、GPUの負荷状況に応じて制御またはスケジュール設定できます。例えば、ビデオゲームをレンダリングしている場合は、スキャンを遅延させたり、グラフィックプロセッサ内の空きコアのみに制限したりできます。
Windows Defenderは、このスキャンをすぐに制御できるようになります。Intelがエンジニアと自動検査の実装について協議するにつれ、他のウイルス対策ツールも追随するでしょう。マルウェア対策パッケージは、スキャンのスケジュール設定や、システムに過負荷をかけないようにスキャン対象のフィンガープリントの提供など、制御できるようになります。
最後に、これはすべてカーネルレベルで制御されているようです。マルウェアがオペレーティングシステムの中核に侵入できれば、GPUスキャンを無効化し、ウイルス対策パッケージに「すべてクリア」と報告する可能性があります。
ご参考までに、IntelはWindows Defenderなどのウイルス対策ツールがIntelの内蔵GPUを使って物理メモリをスキャンし、#マルウェア を検出できるようにする予定です。この検査はGPUの負荷状況に応じて調整されます。Intelはこのオフロードを実行するためのソフトウェアドライバーを提供する予定です。pic.twitter.com/o5DC9Pe3dV
— クリス・ウィリアムズ (@diodesign) 2018年4月17日
一方、メルトダウンおよびスペクタークラスの脆弱性を軽減するための将来の CPU のパーティショニングについては、今年後半に Chipzilla によって詳細が明らかにされる予定であると伝えられています。
最終更新
Intel は、RAM スキャン技術がアプリケーション レベルのメモリ (リング 3 とも呼ばれる) で機能することを確認していますが、リング 0 のオペレーティング システム カーネルとドライバーを監視するように拡張される可能性もあります。
「AMS(自動メモリスキャン)機能は現在、ユーザーモードプログラム(リング3と呼ばれる)のスキャンをサポートしていますが、独立系セキュリティベンダー(ISV)やOSVの必要に応じて、カーネルやハイパーバイザーのメモリをスキャンするようにこの技術を簡単に拡張できます」と広報担当者は語った。
カーネルメモリスキャンには、Intel グラフィックス カーネル モード ドライバーへのインターフェイスが含まれ、Intel 統合グラフィックスを使用してスキャンを高速化するドライバーを ISV に提供します。Intel のドライバーはこのモデルをサポートしており、必要に応じて提供できます。
