McAfee Artemis Technology(マカフィーアルテミステクノロジ)

McAfee Artemis Technology

McAfee Artemisテクノロジは、常時発生するマルウェアから安全を保つため、顧客にリアルタイムの脅威対策を提供し、対応するシグネチャがないマルウェアによるリスクを大幅に低減する業界初のテクロノジです。
Artemis は、コンピュータが悪意のあるコードに攻撃された場合、すぐにアクティブな保護を提供するクラウドベースのサービスで、従来のスケジュール設定されたシグネチャのアップデートをマシンにインストールする必要はありません。 データの破壊や盗難を防ぐためMcAfee Labs(旧AVERT)が入手した脅威の情報を使用し、定義ファイルが提供される前にそれらの検出を可能にします。
Artemis はマカフィーのPC セキュリティソフトウェアの一部として提供されており、現在、マカフィーの個人ユーザ向け製品に「Active Protection(アクティブ プロテクション)」として、また企業向け製品においてもMcAfee VirusScan Enterpriseをはじめ複数の製品に順次導入を行なっています。
この技術によってお客様はコストを追加することなく、より安全でスマートなエンドポイントの保護を行うことが可能になるのです。

現在は24-72時間のプロテクションギャップ

McAfee Artemis Technology

ArtemisテクノロジによってWindowsベースのマカフィー製品は常に最新の検出が可能になります。
一般消費者向けのウイルス対策製品*であるアンチウイルスプラスインターネットセキュリティトータルプロテクション、および企業向けのウイルス対策製品であるMcAfee VirusScan EnterpriseまたはMcAfee SaaS Endpoint Protection(旧名称:McAfee Total Protection Service)などの弊社ウイルス対策製品(対応バージョンは こちらのQAをご参照ください) が稼動している環境でArtemisは動作に疑いのあるプログラムまたはDLLを探索します。
既存の定義ファイルに組み込まれていない疑いのあるファイルが確認された場合、Artemisは、McAfee Labsが管理しているデータベースサーバにDNS要求を送信します。サーバは新しいマルウェアが確認されるたびに常に更新され、McAfee Labsのシステム(Community Threat Intelligence)によって、Artemisが有効な端末から要求を受け取った場合、そのプログラムが疑いのあるファイルか確認し応答します。
* 一般消費者向けの製品では「Active Protection(アクティブプロテクション)」として搭載しています。

Artemis Technologyの詳細

McAfeeが定義する"疑いのあるプログラム"とは?
Artemisは実行ファイルの中身を確認し、プログラムがパック化されているかなどのマルウェア特有の情報を持っていないか確認します。これらの確認によって"疑いのあるプログラム"を判別します。McAfee Labsは常に疑いのある情報について検討を行い、Artemisサーバの情報を更新します。

Artemisを使用することで、どのくらいの改善が見込まれますか?
McAfee Labsで確認した脅威は即座にサーバにアップデートされます。サーバ側で情報が更新されるとArtemisを導入している端末はほぼ同時にこれらの脅威を検知することが可能になります。これにより、通常のDATへ情報が反映されるまでの間でも検知が可能になり、より高い検知を行うことが出来ます。

Artemisは多くの帯域幅を使用しますか?
ArtemisはプログラムやDLLがスキャンされ、既存の定義ファイルで検知できない場合にのみ通信を行うため、ごく小さい帯域幅になるように設計されています。また、"疑いのあるファイル"は慎重に調査され、真に疑いのあるファイルに関してのみFinger Print(ハッシュ)をし、ネットワークトラフィックが発生します。このため、端末1台での1日のクエリは1回にも満たないと想定しています。

Artemisは日に何回も更新を行うように見えますが、同様に更新されるMcAfee Beta DATとはなにが違いますか?
Artemisはサンプルとして送信されたファイルがMcAfee Labsでマルウェアであると認知したものを即座に検出することを可能にする技術です。Artemisは定義ファイルに含まれているようなマルウェアの集合体としての検知は行わず、要求に反応した特定のサンプルのみ検知します。

Artemisで脅威が検知された場合、管理者はなにをすれば良いですか?
Artemisによる検知は通常の検知と同様に表示されます。検知されたプログラムやバイナリは製品の設定により、隔離または削除が行われます。(駆除は行われません)

個人情報の保護が心配です。どのような情報が送信されますか?
データは確認されたファイルの中身は含みませんので、情報の漏洩は行われません。参照は疑わしいファイルのみ行われ、送信されるデータはファイルの32ビットのFinger Print(ハッシュ) 値のみArtemisサーバに送られ、ハッシュ値がサーバ上の情報と一致するか確認が行われます。

McAfeeのサーバが有効でない時にも、保護は継続されますか?
端末の製品が、Artemisサーバに接続できない場合は、ローカルにコピーされているDAT情報のみを使用し、検出が行なわれます。Artemisサーバに接続できない場合もインストールされている定義ファイルのレベルでの検知は可能です。

Artemisはマルウェアのみ検知しますか?または不審なプログラム(PUP) やスパムメールなどにも有効ですか?
現時点では、マルウェアのみ対象となります。将来的にPUPなども含む可能性はあります。スパムメールの検知はスパム対策製品をご利用ください。

Artemisによる検知で誤認などのリスクはありますか?
マルウェア対策のソフトにおいては、稀に誤認が発生します。McAfeeではArtemisでの検知が、既存のDATよりも低いレートでの誤認となるようにテストを行なっています。Artemisテクノロジはマルウェアの集合体としての検知ではなく、特定のマルウェアのみ検知するため、Artemisでの誤認は、通常の誤認より低くなります。

McAfee Labs 紹介ビデオ(英語)

McAfee Labs(旧AVERT)について

1995年に設立されたMcAfee Labsは、世界30ヶ国、350名以上 の研究者を抱え、マルウェアやPUP、ホスト侵入、ネットワーク侵入、モバイル マルウェア、脆弱性の調査に特化した研究チームが、24時間365日、セキュリティを幅広く多面的に研究しています。この広大なビジョンにより、セキュリティ技術の継続的な向上とユーザ保護を実現しています。

マカフィーが提供するMcAfee Artemis Technologyは、従来のようにシグネチャのアップデートを定期的にマシンへインストールすることに加えて、攻撃の発生時からコンピュータユーザを守ることのできる業界初のテクノロジで、McAfee Labsが提供する新しいインターネットベースのサービスを使って、コンピュータに悪性コードが進入した場合、すぐに積極的な防護を行うものです。

McAfee Labs 紹介ビデオ (英語)