サンドボックス回避技術を備えたマルウェアも「3種類のエンジン」で逃さず検知

「Dell SonicWALL」UTMにクラウド型サンドボックスサービス

2016年05月19日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　デル・ソフトウェアは5月18日、「Dell SonicWALL」UTMアプライアンスを機能強化するクラウドサービス「Dell SonicWALL Capture」を今夏より提供すると発表した。サンドボックス回避技術を備えつつある最近の標的型マルウェアに対抗するために「3種類のサンドボックスエンジン」でファイルを検査するなどの特徴がある。

「Dell SonicWALL Capture」標的型攻撃対策サービスの概要

デル・ソフトウェアセキュリティ・ソリューションズ代表の藤岡健氏

デル・ソフトウェアセキュリティ・ソリューションズ SEマネージャーの安藤正之氏

　Dell SonicWALL Captureは、中小企業／SOHO向けUTMの「SonicWALL TZシリーズ」から「SonicWALL NSAシリーズ」、エンタープライズ向けの「SuperMassive 9000シリーズ」に対応するサンドボックス型のマルウェア検知サービス。まずは今夏からクラウドサービスとして提供を開始し、来年度にはオンプレミス版製品の追加も予定している。

「“後発”だからこそ、先行他社の課題を解決」とアピール

　SonicWALL製品を担当する同社セキュリティ・ソリューションズ代表の藤岡健氏は、サンドボックス技術の搭載で市場の“後発”になったことを認めつつ、「後発であるがゆえに、さまざまなユーザーの声を聞き、先行する他社の課題をクリアしたものを提供する」と語った。

　SonicWALL Captureの大きな特徴は、「多層の（複数種の）サンドボックスエンジンを採用」「検査ファイルサイズの制限なし」「安全判定が終わるまではUTM内でファイルをブロックできる」という3つだ。

　同社 SEマネージャーの安藤正之氏は、最近の標的型マルウェアではサンドボックスによる分析／検知を回避する技術が盛り込まれており、ファイルタイプ／サイズも多様化していて「第一世代のサンドボックスでは対処できない」ケースも増えていると語る。

　そこでSonicWALL Captureでは、SonicWALL独自のサンドボックスに加え、独ヴイエムレイ（VMRAY）および米ラストライン（lastline）のサンドボックスを搭載し、3つのエンジンで並行して解析処理を行う。各サンドボックスエンジンはそれぞれエミュレーション方式が異なるため、回避技術を備えたマルウェアでも回避が困難だという。

　そのほか、幅広いOS環境（Windows、OS X、Android）をエミュレーションすること、幅広いファイルタイプに対応すること、ファイルサイズに制限がないことなどから、検知精度の向上が期待できる。なお、サンドボックス処理にかかる時間は「平均で85秒」（安藤氏）とのこと。

3種類の異なるサンドボックスエンジンを採用するのが大きな特徴。対応するOS環境、ファイル形式も幅広い

　なお、SonicWALL Captureで新たに検出されたマルウェアは即座にシグネチャが作成され、サンドボックスライセンスを持つSonicWALLユーザーには即時、GAVライセンスのみを持つユーザーにも48時間以内に情報共有される。

　また、サンドボックスで検知したマルウェアの数や、マルウェアの具体的な内容については、監視ダッシュボードから確認ができる。マルウェア情報をドリルダウンすると、ファイル名、他社アンチウイルスソフトにおける検知名、不正な挙動の内容、実行時のプロセス名、展開されるファイル名、通信先IPアドレスといった詳細情報も取得できるため、感染端末の検出や通信ログのチェックなどに使える。

脅威状況のダッシュボードと検知されたマルウェアの詳細情報。さらに詳しいレポートへドリルダウンできる（開発中のデモ画面、英語版より）

　なお、SonicWALL Captureの提供価格については未定。藤岡氏によると「アプライアンス本体の価格に、数％プラスしていただくようなイメージ」「年額のサポートフィーのような形」で検討しており、中小企業やSOHOでも利用できる価格帯にしたいとした。

　またコンプライアンス上、国外クラウドへのファイル送信ができない顧客も想定されることから、SonicWALL Captureサービスは日本国内のデータセンターで提供する予定だと述べている。

　なおデル・ソフトウェアでは同日、中小企業向けSSL-VPNアプライアンス「Dell SonicWALL SMA 200」「同 400」「同 100（仮想アプライアンス）」の提供も開始している。従来のSRAシリーズをSMAシリーズに統合したもので、マルチコアCPUの搭載、メモリ容量の増強など、旧モデル比でハードウェア性能と信頼性が大きく向上している。