インテル、CPUにハードウェアベースのマルウェア保護を追加

マルウェアからコンピュータを保護する際、多くの人々はソフトウェアに依存しています。インテルは、インテルの将来のTiger Lakeモバイルプロセッサを搭載したデバイスで、制御フローのハイジャック攻撃手法を使用してマルウェアから保護を提供するControl-Flow Enforcement Technology（インテルCET）という新しいCPUベースのセキュリティ機能を発表しました。

インテルCET

インテルによると、「インテルCETは、制御フローのハイジャックマルウェアから防御するために、ソフトウェア開発者に2つの重要な機能を提供します：間接分岐追跡とシャドウスタック。間接分岐追跡は、ジャンプ/コール指向プログラミング（JOP/COP）攻撃手法に対する間接分岐保護を提供します。シャドウスタックは、リターン指向プログラミング（ROP）攻撃手法から防御するためのリターンアドレス保護を提供します。」

セキュリティレベル

制御フローのハイジャック攻撃は、メモリを操作し、ジャンプまたはコール指向プログラミングやリターン指向プログラミングを使用して既存のコードを変更する、一般的なタイプのマルウェアです。これは、ウェブブラウザのようなアプリケーションの既存のコードを変更して悪意のある行動を実行することを含むため、従来のアンチウイルスソフトウェアでは検出できません。

これらのタイプの攻撃から保護するために、インテルCETには2つの重要な機能があります。最初の機能である間接分岐追跡は、攻撃者がコードの任意の部分にジャンプするのを防ぎ、代わりにアドレスの最終分岐に強制することで、攻撃者が意図しない方法でコードを変更できないようにします。

インテルとマイクロソフトが共同で開発したCETは、ハッカーが約10年前にソフトウェア開発者が導入したアンチエクスプロイト対策を回避するために使用するリターン指向プログラミング（ROP）として知られる手法を阻止するように設計されています。インテルは2016年にCETの実装を初めて公開しましたが、Tiger Lake CPUマイクロアーキテクチャがそれを含む最初のものになります。

ROP、COP、JOP攻撃

IBTは、ジャンプ/コール指向プログラミング（JOPおよびCOP）を使用した攻撃から防御し、SSはリターン指向プログラミング（ROP）攻撃から防御します。

リターン指向プログラミング（ROP）、ジャンプ指向プログラミング（JOP）、およびコール指向プログラミング（COP）は、敵がソフトウェアおよびオペレーティングシステムの組み込みのアンチマルウェア保護を回避するために使用する手法であり、「大規模なマルウェアのクラスで広く使用されている」技術です。