セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くこともよくあります。そんな方に、連載で、「今だから学ぶ!」と題して、セキュリティの頻出用語を解説します。今回は、「サンドボックス」についてです。
従来、サイバー攻撃に対して、シグネチャベースと言われる、過去に認識された攻撃パターンをデータベース化し、1つの攻撃パターンを1つのシグネチャとして管理した上で、怪しいファイルを排除する方式がとられていました。シグニチャベースは現在でも有効な方法ですが、シグネチャベースのセキュリティ対策で阻止できるのは、これまでに知られ、分析が完了した攻撃だけです。
つまり、初めて見つかった未知のマルウェアは検出できず、すり抜けていくようになります。そのため、マルウェア開発者は、高度な『マルウェア対策』の『対策』を行って、シグネチャベースの検査を回避できるようにマルウェアを開発しています。特に、標的型攻撃は、ターゲットとなる企業や組織に合わせてマルウェアを用意し、未知のものとなることも多いため、シグニチャベースの対策は有効ではない時代に入ったと言えるでしょう。
そこで、標的型攻撃対策の手法として注目を浴びている手法が、「サンドボックス」(sandbox) です。
「サンドボックス」(sandbox) とは、子どもの遊び場としての「砂場」を意味する単語です。それが語源となり、サンドボックスというセキュリティ用語が生まれたとされています。
サンドボックスは、「攻撃されてもよい環境」を仮想環境として構築し、その中で未確認ファイルや疑わしいファイルを隔離した上で動作させ、振る舞いを詳細に分析します。例えば、メールに含まれているURLをクリックしたり、添付ファイルを実行したりといった作業を行います。このため、そのプログラムが暴走したり、外部から侵入した悪質なウイルスであっても、「サンドボックス」の外にあるデータなどに影響を与えることはありません。
しかし、 サンドボックスは、バイナリファイルを分析するよりも素早く判断できるという特徴はありますが、分析が完了するまで時間がかかるため、リアルタイムの技術とは言えません。さらに高度化したマルウェアは、サンドボックス対策として仮想環境上では挙動を変え、実マシン上でのみ動くといった動作や、特定の時間にしか動作しないといったロジックが組み込まれている場合があります。
また、大半のサンドボックスではファイルの「コピー」だけが分析対象であり、分析中にもオリジナルファイルは標的とするエンドポイントに辿りついています。つまり、疑わしいファイルが悪質であると判明したところで、実ファイルは既にエンドポイントに到達しているということなのです。サンドボックスは、標的型攻撃への対策としては、非常に有効なのですが、サンドボックスだけで、すべての対策ができるわけではないことを意味しています。
真の解決策は、企業全体に渡って高度なマルウェアの特定・ブロック・修復を行えるよう、他のセキュリティ技術や製品との統合を行うことが求められます。こうした解決策が行わなければ、たとえ、サンドボックスを活用した製品を導入したとしても、高度なマルウェアは今後も深刻な脅威であり続けます。
マカフィーでは、サンドボックスだけで判断するのではなく、従来の解析手法も効果的に組み合わせるというアプローチを取った製品 McAfee Advanced Threat Defense を提供しています。サンドボックスを用いたマルウェアの動的解析に加え、コードの静的解析によって、検知率の向上を図っていることが特徴です。