パニックを呼んだ見出しが付いたニュース記事について、私たちの意見を何点かお伝えします。例えばこの記事では、アンチウイルス対策ソフトがある種類のマルウェアを検出できないと主張されています。

悲しいことにこの文章はITプロフェッショナルを対象としていたものであり、この意見が正確ではないと指摘できた人はいませんでした。 どこが間違っているのかを見ていきましょう。

最近、Anti-virus Timesの読者は、攻撃者がIntel AMT(Intel Active Management Technology)をどのように悪用できるかについて議論しました( https://www.drweb.com/pravda/issue/?number=237&lng=enを参照 )。我々は同様の問題について、Intelの技術は犯罪者にとって大きな可能性を秘めてはいるものの、脆弱性があるにもかかわらず、Intel AMTは未だに悪用されていないと指摘しました。

1～2ヶ月後：

Intel AMTは攻撃者によって悪用される可能性があるのでしょうか？

Intelマネジメントエンジン (ME) はIntelシリアルオーバーLAN (またはAMT SOL) を搭載しています。 Intel MEはIntelチップセットの一部であり、CPU、オペレーティング・システム、インストール済みのセキュリティ・ソフトウェア (ウイルス対策ソフトウェアを含む) とは独立して、内蔵プロセッサ上で独自のオペレーティング・システムを稼働します。 ウイルス対策ソフトはドライバと同時にファイルで実行されますが、Intel MEはハードウェアレベルで動作します。 さらに、Intel MEはコンピュータ (およびCPU) がシャットダウンされても管理者や攻撃者が使用することができますが、PCはネットワークを介してアクセス可能な状態のまま残ってしまいます。

マルウェア自体に関する意見：

まとめに入りましょう。普通のオペレーティング・システムにインストールできるマルウェアはありますが、それは特定のプロトコルを使用してネットワーク経由で通信しなくてはなりません。

確かにウイルス対策ソフトはAMT SOLプロトコルの解析や分析を行いません。 しかし、プロトコルはシステムを感染させるために使用されないため、その部分の解析や分析は必須ではありません。プロトコルは過去にインストールされたマルウェアとの通信を支援するためだけに使用されます。 つまり、この脅威を排除する方法は、コンピュータにマルウェアがインストールされないようにすることだけです。 つまりユーザーのアクセス権を制限し、ウイルス対策ソフトをインストールするだけです。

最後にもう一つ。