2022年03月30日 最終更新
マルウェアを検知し、セキュリティ対策として活用されているサンドボックス。
近年増加傾向にある、標的型攻撃に対抗できる手段として注目されています。
・サンドボックスとは
* 攻撃されても影響がない仮想環境
サンドボックスは、プログラムを起動させる仮想的な環境のことです。
公園における「砂場」を意味し、区切られた「砂場」=「仮想空間」の中で、プログラムを実行します。
そのためここで起動したプログラムは、パソコンのデータに影響を与えないため、有害なプログラムでも実行できます。
つまりサンドボックスは、対象となるファイルやリンクが有害なものかどうか、また排除すべきものかどうかを、区切られた場所で実験的にテストする空間なのです。
またサンドボックス内では、本物のコンピュータ同様にアプリケーションを作動させることができます。
* 標的型攻撃対策の手法として注目されている
サンドボックスが注目された背景には、標的型攻撃の増加があります。
標的型攻撃とは、ターゲットを絞った形でのサイバー攻撃のことです。
具体的には、有害サイトへのリンクやウイルスを添付したメールを送りつけるなどの攻撃を指します。このような脅威をすべて検知し、排除するのは困難です。しかし、あまりに厳しい検知基準を設けると、無害なものまでブロック(誤検知)しかねません。
例えば、業務上必要となる無害なメールまで誤って排除してしまうと、業務に大きな支障をきたすでしょう。
サンドボックスであれば、これらの問題を解決できます。
実際に脅威を実験環境内で実行することで、それが有害なものであるかどうか明確に判断できるためです。
・サンドボックスの仕組み
受信メールを一例に取り、サンドボックスの仕組みについて解説しましょう。
例えば受信メールに添付ファイルがある場合、疑わしいファイルは、サンドボックス内で展開・実行し、問題がないかテストします。ここでURLが記載されていた場合、実際にクリックして検証し、問題があれば記録して分析します。
システムによっては、ユーザーに注意喚起を促す通知を行う製品もあります。
検証の結果、プログラムに問題がないと判断された場合は、そのままパソコンで実行されます。このようにサンドボックスは隔離された空間のため、本領域には影響を与えず、有害なプログラムかどうかを実験的に実行できるのです。
・サンドボックスのメリット
サンドボックスには、未知の脅威に対応できたり、プログラムの試用運転に活用できたりと複数メリットがあります。
* 未知のプログラムの動作分析ができる
マルウェアの検知に一般的に用いられている方法は、パターンマッチングです。
既知のマルウェアと検査対象を照合し、マルウェアに該当した場合は排除します。
またマルウェアであるかどうか判断する基準が明確であるため、誤検知のリスクが低いのが特徴です。ただし、未知のリスクには対応できないという弱点があります。
一方、サンドボックスは未知の脅威にも対応できます。
実際にサンドボックス内で検査対象を実行して有害かどうか判断するため、その脅威が未知であっても問題ありません。サンドボックス内で実行された内容は記録が残り、セキュリティ対策に活かせます。ただし、すべての脅威に対してこの検査をしていては、多大な負荷と時間がかかります。そのため、ほかのセキュリティ対策と組みあわせて利用するのが一般的です。
* すでにあるシステムに後付けができる
サンドボックスは、専用機器を設置し、必要なネットワーク設定を施すだけで利用できます。あるいは、パソコンにサンドボックスのソフトウェアをインストールして活用することも可能です。
既存のシステムを大きく変化させる必要がないため、導入しやすいのが強みといえるでしょう。
特に、近年ではクラウド型のサービスも増えてきており、導入ハードルが下がりつつあります。
* プログラムの試験運用ができる
プログラムを仮想環境で実行できることは、セキュリティ以外の面でもメリットがあります。
例えば、アプリケーションの開発やアップデート時に、それらが正常に作動するかチェックできます。
アプリは開発者の予想を超えた形でエンドユーザーに不評となることが多く、ユーザー視点でのチェックは不可欠です。
サンドボックスであればエンドユーザーと同じ環境でアプリを確認できるため、質の高いアプリ開発が実現します。
・サンドボックスのデメリット
サンドボックスは優れたシステムではありますが、その特徴をついた攻撃を受ける可能性やコストの面などでデメリットもあります。
* サンドボックスを回避して攻撃される可能性
サンドボックスは、仮想環境でプログラムを実行して有害かどうかを判断するものです。つまり、サンドボックス内で無害であれば、そのプログラムはブロック対象になりません。この弱点を突いた脅威も存在します。
それは、サンドボックス内でのみ無害化されるマルウェアです。
作動環境がどのようなものであるか検知し、仮想環境であれば有害な挙動をしないという特徴を備えています。あるいは、特定の時間でのみ有害な挙動をするマルウェアも存在します。これも、検査する時間帯にその挙動が見られなければ、ブロック対象として認識できません。
そもそもサンドボックスの概念自体は、20年以上前から存在していました。
そのため、サンドボックス対策を施したマルウェアは少なくありません。
優れたセキュリティ対策ではありますが、完璧ではないことを知っておきましょう。
自分の身を守るためには、ユーザー自身がセキュリティ意識をもつことが大切です。
* 導入コストが高い
サンドボックスの導入には、数百万~数千万円単位のコストがかかることがあります。
具体的なコストは製品によって異なりますが、いずれにしてもコストが課題となるのは間違いないでしょう。
また、サンドボックスだけですべての脅威に対応できるわけではありません。つまり、ほかにもセキュリティ対策が必要で、そちらにも費用がかかるということです。
自社に本当にサンドボックスが必要なのか、また具体的にどれほどのメリットが得られるのかをよく検討しましょう。
* 検証に時間がかかる場合がある
サンドボックス内でプログラムを実行し、挙動を確認するのに、時間がかかる場合があります。
検証作業に時間がかかれば、作業終了を待たずしてマルウェアが活動し、感染する可能性もあります。
このように、サンドボックスはリアルタイムな検知ができない点がデメリットの一つといえるでしょう。
// サンドボックスについて詳しく理解して導入を検討しよう!
サンドボックスとは、プログラムを実行する仮想環境のことです。
怪しいプログラムを実行することでマルウェアを検知できます。
サンドボックスは、未知の脅威に対応可能であったり、既存システムに後付けできたりするなどのメリットがある一方で、回避するマルウェアが存在することや、コストが高いことなどが、デメリットとして挙げられます。
これらのデメリットは、ウイルス対策ソフトとの併用によりカバーできるため、サンドボックスとともにウイルス対策ソフトの導入も検討してみるとよいでしょう。
※ メール・BLOG の転送厳禁です!! よろしくお願いします。
コメントをお書きください