SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

ファイアウオールのSandboxってどうなの?
Sophos Sandstormについて

セキュリティ
2019.08.09
砂嵐の模様 出典:アイキャッチャー

標的型攻撃とSandbox

Sandboxが本格的に登場したのは2015-2016年ぐらいでしょうか?最近では大半のUTMやファイアウオールに何らかのSandbox機能が標準で搭載されるようになったので、現在運用中の製品でご利用している方も多いでしょう。 当時は標的型攻撃によって、大きな企業や政府機関に被害が出たのもちょうどこの時期だった記憶です。

Sandbox対策の有効性

従来のネットワーク型のセキュリティ検査ではシグネチャを使ってマルウェアか否かを判断していました。攻撃方法も日々巧妙化されて、シグネチャだけでは検知できないマルウェアの存在が増えています。 そこでSandboxは実際にファイルを実行させる仕組みを提供します。ただファイルを実行してしまうと、マルウェアだった場合、被害が出てしまうので、Sandbox内に仮想的で完全に隔離された環境を用意して、本当にファイルを実行することができます。これによってファイルの起動から実行中のプロセスに渡って詳細に検査をすることができるという画期的なしくみです。

ファイアウオールとSandbox

標的型攻撃に有効なSandboxですが、仕組み上どうしてもファイルの検査に時間がかかってしまいます。
ざっくりですが、こんな感じでしょう。

  • 検査するファイルをSandboxに送る
  • 仮想マシンを起動
  • ファイルを実行
  • 挙動を確認

となるため、ファイルのダウロード開始から終了まで数秒から数分間の検査時間が発生していまします。 そのため、ファイアウオールとSandboxを組み合わせた場合、Sandboxでファイルの検査はできても、ファイル自体はすでにユーザーの手元に届いてしまうという状況になります。(通信を止めることができないため、マルウェアだった場合は事後で通知が届くような仕組み)

Sophos XG FirewallとSandstorm

Sophos XG FirewallにはSandstormと呼ばれるクラウド型のSandboxソリューションを搭載しています。 この製品の特徴としては、ATP(Advanced Threat Protection)機能を有効にすると、Webのダウンロードであっても、未知のファイルのSandboxスキャンが発生した場合に、ダウンロードを一定時間保留(実際はSandboxの検査終了まで)を待って、ユーザーにファイルを安全にダウンロードさせることができます。 sandstorm<em>select.png ポリシーは「ログ」または「ログとブロック」の2択が選択可能 sandstorm</em>select2.png

標的型攻撃の攻撃経路の多くはEメールだと言われており、Eメールの場合はメールセキュリティゲートウェイとSandboxによるセキュリティ対策は非常に有効でしょう。Eメールの場合はメールの受信に多少の遅延があっても受信者にはそれほど影響が少ないため、ファイルをSandboxでしっかりスキャンしてから配信できます。Eメールに添付されたファイルの検査では、メールセキュリティゲートウェイとSandboxの相性が非常に良いです。 一方Web通信の場合、通信を一時的に保留することができないため、ダウンロードファイルをファイアウオールがSandboxに提示することができても、Sandboxがファイルの危険性を検知したことにはダウンロードが終わっているという状況になります。

実際にWeb通信にSandstromを適用

どうやらSandstormが動作する条件としては、未知?のファイルのようで、すぐにマルウェアとして判定できるものについてはSandstormにはファイルの提示をしないようです。そのため何がなんでもファイルダウンロードに遅延がでるということではなく、XG FirewallのアンチウィルスDBにファイルのハッシュ値として登録されていないファイルのダウンロードを検知した際、自動的に発動してくれるような動きです。

おそらくファイルのハッシュ値を持っていないと思われるファイルをWebサイトからダウンロードしてみると、予想どおりファイルのダウンロードが一時的に保留されて、Sandstormでスキャンが終わるまで待たされました。

Webサイトからファイルをダウンロードした時 sandstorm_quarantine1.png

XG Firewallでは検査中のファイルが"In progress"として表示されています。
すぐに配信する時は今すぐ配信をクリックします。 sandstorm_quarantine2.png

ファイルの検査が終わると自動的にファイルのダウンロードに進みます。
結構時間がかかるので、採用する場合は事前に周知が必要ですよ! sandstorm_quarantine3.png

Sandstromで検査した結果については、XG Firewallからも確認できます。
約1.8MBのファイルでしたが、約4分のスキャン時間がかかりました。 sandstorm_quarantine4.png

ということで、XG FiewallのSandstormの紹介でした。
なお、Sandbox機能を利用したからと言って、完全に標的型攻撃/マルウェア感染を防ぐことは保証していません。

そのSSL通信は保護されていますか?

著者紹介

SB C&S株式会社
技術統括部 第3技術部 2課
宮本 世華

釣りが好きです。