ウイルス対策ソリューションがより強力になり、MicrosoftがWindowsの脆弱性対策に長けるにつれ、マルウェア開発者はPCやサーバーへの攻撃をより巧妙に行う必要に迫られています。攻撃の大きな手口の一つは、グラフィックカードやネットワークカードといったハードウェアコンポーネントです。そう、その通りです。
セキュリティソフトウェアは必ずしも周辺機器に潜むマルウェアを検知するわけではありません。そのため、悪意のある人物が、ピクセル性能の高いRadeonやGeForceグラフィックスカードに悪質なコードを埋め込むための扉を開いてしまう可能性があります。しかし、ご安心ください!SC Magazine Australiaによると、ベルリンを拠点とする研究者Patrick Stewin氏は、CPUに負担をかけずにこの巧妙なマルウェアを検出する方法を発見したとのことです。
スチュウィン氏によると、周辺機器ベースのマルウェアは、コンピュータのオペレーティングシステムの脆弱性を利用する必要がないため、特に検出が困難です。代わりに、グラフィックカードなどの周辺機器に既に備わっている処理能力を悪用するため、攻撃を受ける可能性は低いのです。
グラフィックカード、サウンドカード、その他のPCコンポーネントは、ダイレクトメモリアクセス(DMA)を使用してデータを処理できます。グラフィックカードは、PCのCPUを介したデータ処理を待つ代わりに、CPUをバイパスしてメモリから直接グラフィックデータにアクセスし、処理することができます。
DMAはPCの動作を高速化し、CPUの負荷を軽減します。しかし同時に、適切に設計されたマルウェアがデータ処理能力の高い周辺機器を介して侵入する可能性があることも意味します。一度感染すると、DMA攻撃は暗号鍵のコピーや、個人情報窃盗を目的とした他のマルウェアのインストールなど、様々な被害をもたらす可能性があります。ただし、このような高度なマルウェアに感染する可能性は確かに低いと言えるでしょう。
ノートを比較する
Stewin 氏のソリューション (BARM と名付けられている) は、システムが実行すべき動作を監視し、それを PC が実際に実行している動作と比較することで DMA 攻撃に対処します。
スチュウィン氏は、DAGGERと呼ばれるDMAマルウェア(SC Magazineによると、スチュウィン氏と別のセキュリティ研究者によって作成された)をPCに挿入しました。そして、BARMを使用してPCのメモリシステムを流れるデータを監視しました。
Stewin は、ユーザーの要求に基づいてコンピューターが実行すべき動作を分析し、その動作を PC のメモリ内で実際に実行されているデータと比較することで、マルウェアである可能性のある異常をスキャンすることができました。
現時点では、BARMはまだ概念実証段階のソフトウェアです。PCの動作に関するBARMの予測が誤っている場合、このようなソフトウェアが誤検知を引き起こすことは容易に想像できます。しかしながら、将来的にはBARMがPCの処理能力を大きく低下させることなく、DMAベースの攻撃をPC上で常時監視できるようになることを期待しています。
スチュウィン氏の研究は、10月に開催される攻撃、侵入、防御に関する研究に関する国際シンポジウムで発表される予定だ。
