Moi! エフセキュアで製品に関する諸々を担当しています、富安と申します。
私からは、製品に関する情報や使い方に関するTIPS、今後の取り組み等をこのブログを借りて紹介していければと思っています。
今回お届けする内容は、Linux R&D チームの取り組みについてです。
弊社ではLinux上で動作する製品として、製品をインストールしたPC自体を保護するエンドポイントセキュリティとして「エフセキュア Linux セキュリティ フル エディション」という製品を販売しています。
この製品は、弊社のWindows製品と同様に、リアルタイムでのファイルI/Oに応じたウイルス検査が可能なのですが、これを実現するためにDazukoというカーネルモジュールを利用してシステムコールの横取りを行っています。
(参考:エフセキュア Linux セキュリティ フル エディション FAQ/リアルタイム検査の動作概要について)
もしリアルタイムスキャンでウイルスを検知した場合は、システムコールテーブルを書き換えてエラーを返し、ウイルスファイルにアクセスが失敗したとシステムコールの送信元プロセスに思わせるわけです。
ところが、カーネル2.6.25以降、カーネル側でシステムコールテーブルの書き換えを禁止するようになっているため、今までの方法ではリアルタイム検査ができなくなっているのです。
DebianやUbuntuの最新バージョンでは、既にカーネル2.6.25以降が採用されており、今後リリースされる他のディストリビューションの新バージョンでも採用されることになると思います。
Linux R&D チームは、現在この問題を解決する新バージョンの開発に取り組んでいます。この新バージョンでは、同時にセキュリティに関する新しいテクノロジの搭載も検討しています。期待してお待ちください。
私からは、製品に関する情報や使い方に関するTIPS、今後の取り組み等をこのブログを借りて紹介していければと思っています。
今回お届けする内容は、Linux R&D チームの取り組みについてです。
弊社ではLinux上で動作する製品として、製品をインストールしたPC自体を保護するエンドポイントセキュリティとして「エフセキュア Linux セキュリティ フル エディション」という製品を販売しています。
この製品は、弊社のWindows製品と同様に、リアルタイムでのファイルI/Oに応じたウイルス検査が可能なのですが、これを実現するためにDazukoというカーネルモジュールを利用してシステムコールの横取りを行っています。
(参考:エフセキュア Linux セキュリティ フル エディション FAQ/リアルタイム検査の動作概要について)
もしリアルタイムスキャンでウイルスを検知した場合は、システムコールテーブルを書き換えてエラーを返し、ウイルスファイルにアクセスが失敗したとシステムコールの送信元プロセスに思わせるわけです。
ところが、カーネル2.6.25以降、カーネル側でシステムコールテーブルの書き換えを禁止するようになっているため、今までの方法ではリアルタイム検査ができなくなっているのです。
DebianやUbuntuの最新バージョンでは、既にカーネル2.6.25以降が採用されており、今後リリースされる他のディストリビューションの新バージョンでも採用されることになると思います。
Linux R&D チームは、現在この問題を解決する新バージョンの開発に取り組んでいます。この新バージョンでは、同時にセキュリティに関する新しいテクノロジの搭載も検討しています。期待してお待ちください。