サンドボックス

企業を狙う攻撃は年々増加の傾向にあり、いかに企業を脅かすかを目的とした新しい技術が次々と開発されています。
皆さんがパソコンに導入しているエンドポイントセキュリティサービスは、既知のマルウェアやランサムウェアに対するシグネチャを利用して防御しています。
ですが、全く新しい技術を使われた場合はどうでしょうか？
既知のマルウェアに対して組み込まれたシグネチャでは、新しいマルウェアはすり抜けてしまいます。
今回はそういった未知のマルウェアに対抗するサンドボックスについて解説します。

サンドボックスとは、子供が遊びで使う砂場を意味していますが、ここでいうサンドボックスはシステムから隔離された仮想環境を指します。
サンドボックスを構築し、その中で怪しいと判断されたファイルを隔離します。
隔離したプログラムを動作させ、不正な挙動や外部への送信がないかといったことを事前にチェックし、問題ないと判断したプログラムについては通信を許可し、問題ありと判断したプログラムについては駆除するというものです。

このようにして、万一ウイルスのような不正なプログラムが外部から持ち込まれても、システムに影響が及ばないようにします。

電子メールシステムと連携して動作する例について紹介します。

インターネットからメールに添付される形でファイルが持ち込まれると、そのファイルをサンドボックスの環境で検証します。その後、検証結果をメールシステムへフィードバックします。
メールシステムはその結果にもとづき、問題なしと判断されたメールをメールサーバへそのまま配信し、問題ありと判断されたメールは添付ファイルを除外した上で問題があったことを示すメールを配信します。

このようにして、無害なメールのみがメールサーバへ配信されることにより、ユーザへ有害なメールが届かないよう保護しています。

サンドボックスの一番の特徴は、問題有無の判断にパターン認識を使わないため、未知のマルウェアであっても対応できることです。
しかし、そのようなサンドボックスも、万能ではありません。
サンドボックスの問題とはどんなものでしょうか。

サンドボックスは予め組み込まれたパターンを認識するのではなく、検査対象のプログラムを一度動作させてみて確認するので、未知のマルウェアでも検知できることが特徴でした。

しかし、以下のようなロジックが組み込まれたマルウェアはサンドボックスを回避してしまいます。

また、サンドボックスは検査対象を一度動作させるという点からリアルタイム性で劣るということがあります。分析に時間がかかってしまうため、即時の対応というわけではないのです。
多くのサンドボックスでは、ファイルのコピーを用いて検査を行なっているため、検査を行なっている間に、実ファイルが到達してしまうという場合もあります。

サンドボックスを回避するマルウェアが存在するように、サンドボックスは万能ではないことがわかりますね。
サンドボックスだけでなく、複数のセキュティ製品を組み合わせる必要があります。
また、セキュティ製品にだけ頼るのではなく、怪しいメールは開かないといったユーザのセキュリティ意識を向上させるといった、人的な面でも対策をする必要もあります。

世界的にもサイバーセキュリティの重要性がますます高まる中で、近年は外部からのサイバー攻撃による事故が増加しています。特にWebサイトへの不正アクセスによる情報漏えい被害が拡大していることから、「Webセキュリティ」の重要性が高まっています。

イニシャルコスト、運用コストを抑えることができ、簡単にWebサイトのセキュリティ対策が出来るクラウド型WAFは、企業にとって有効なセキュリティ対策の１つです。クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 


https://www.shadan-kun.com/

 
（2017/9/7 執筆、2019/9/3修正・加筆）