セールスセンター2023.01.16

標的型攻撃や未知のマルウェアに効果的⁉　サンドボックスについて解説します!

昨今、新種のマルウェアも検知できる「サンドボックス」という技術が注目を集めています。従来のサイバー攻撃は、不特定多数をターゲットにしたものが主流でしたが、近年は標的型攻撃が主流になりつつあります。新種のマルウェアも利用されるようになったため、それらの攻撃を検知する必要性が高まってきたのです。
今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長（44歳）と新人セキュリティ担当の石塚さん（24歳）の会話から、サンドボックスについて詳しく学びましょう。

1. サンドボックスとは？

石塚

うーん。このメール怪しいな〜。

中山

石塚さん?　どうしたの?

石塚

はい。このメールになんだか変なファイルが添付されていて。でも請求書って書いてあるし。

中山

石塚さん!　ストップ!
まさにこのように、企業を狙った標的型メール詐欺が最近増えているんだ。

石塚

そうなんですね!　助かりました。（涙）
でも本当に危険かどうかは、開いてみないとわからないですよね?　

中山

確かに。それくらい近年の標的型攻撃は巧妙化しているよ。だから今、「サンドボックス」という技術が注目されているんだ。

石塚

さんどぼっくす?　なんだか楽しそうですね。

中山

サンドボックスは日本語に直訳すると「砂場」だけど、情報セキュリティの分野では安全なPC環境を再現する通常の領域から隔離された「疑似的な仮想環境」のことを指しているんだ。

サンドボックスの仕組み

サンドボックスは、あたかも本物のコンピュータであるかのような隔離された仮想環境でアプリケーションを実行できる技術です。疑わしいファイルやアプリケーションを擬似環境で危険性がない状態で分析することが可能な技術です。

従来のシグネチャ型とサンドボックスの違い

既知のマルウェアに共通して見られる動作パターンや、特徴的なデータの断片などを「シグネチャ」といいます。従来のセキュリティ対策では、不正な通信や攻撃に共通するシグネチャとパターンがマッチするものを脅威として検知していました。

しかし近年は、毎日100万以上もの新たなマルウェアが誕生しているといわれており、その手口も高度化かつ巧妙化しているため、シグネチャとのパターンマッチングだけではとても対策が追いつかなくなってきています。

一方サンドボックスでは、パターンマッチングのみではなく、疑似仮想環境内で実際に実行した挙動やふるまいに対してもリスク評価が可能で、シグネチャ型で対応できなかった脅威を検知できる可能性があります。

中山

このようにサンドボックスは、危険なファイルを安全に分析できることが特徴なんだ。PCのハイスペック化が進み、仮想環境をPCの中で容易に展開できるようにもなったよ。

石塚

スマートフォンにはこの技術は使われていないんでしょうか?　

中山

良い質問だね!　 iPhoneやiPadなどで使われるApple社のOS「iOS」でも採用されていて、昨今では一般的なセキュリティ機能になりつつあるんだ。
では次にメリットとデメリットを見てみよう!

参考：「Security of runtime process in iOS and iPadOS」（Apple Inc.）

2. サンドボックスのメリットとデメリット

石塚

サンドボックスって賢いですね!　その都度分析してくれるなんてすごい!　

中山

世界では毎日100万件以上のマルウェアが誕生しているといわれているからね。サンドボックスが果たす役割は非常に大きいといえるよ。

石塚

この機能があれば、セキュリティ初心者の私でも大丈夫な気がします!　

中山

でもね、石塚さん。いい事ばかりじゃないんだ。サンドボックスのメリットとデメリットを解説するよ。

サンドボックスのメリット

ここでは、サンドボックスのメリットについて解説します。

メリット1：標的型攻撃に有効である

サンドボックスは、PCの安全性を維持したまま、疑似仮想環境で危険性の高いソフトウェアやファイルを実行して検査するため、巧妙な標的型攻撃の検出に向いています。

メリット2：未知の不正プログラムに有効である

未知の不正プログラムの検出に対してもサンドボックスは有効です。不正プログラムは未知のものであっても、動作には似たような特徴があります。従来のシグネチャ型では既知のパターンマッチングでしか検出できません。
しかしサンドボックスはプログラムそのものではなく動作に注目して分析するので、シグネチャに該当しない未知の不正プログラムにも有効です。

メリット3：システムの導入がしやすい

サンドボックスは疑似仮想環境をコンピュータの中で動作させるため、導入のためにネットワークの構成を変更する必要がなく、比較的容易に導入できるものがほとんどです。

サンドボックスのデメリット

続いて、サンドボックスのデメリットについて解説します。

デメリット1：サンドボックスを検知するマルウェアには有効性が低い

近年高度化したマルウェアのなかには、サンドボックスで分析されていることを検知し、サンドボックス内で検出されるような動きを回避するマルウェアも存在します。このようなマルウェアの場合は、サンドボックスの有効性は低いといえるでしょう。

デメリット2：リアルタイム性を重視したマルウェア検出には向いていない

サンドボックスは危険性のあるファイルやソフトウェアなどを検知できますが、判定に必要な分析には時間を要する場合があり、リアルタイム性を重視したマルウェア検出には向いていません。

デメリット3：導入・運用コストが高い

一般的なセキュリティ対策製品と比較すると、サンドボックスは高価で、数百万円の費用がかかる場合もあるといわれます。また、運用においては専門的な知見を要するため、導入後の最適な運用を継続するためには高度なITスキルが必要です。

中山

サンドボックスは標的型攻撃や未知のマルウェアに効果的である反面、リアルタイム性を求められる検出に弱く、近年ではサンドボックスを上回る高度なマルウェアも確認されているよ。導入・運用コストが高いこともあるから、効果的に利用するには工夫が必要なんだ。

3. サンドボックスの活用ポイント

石塚

良い事ばかりじゃないですね。それにしてもマルウェアも手ごわい!　

中山

そうなんだ。マルウェアの進化と共にセキュリティ対策の技術は進化してきたといえるね。

石塚

サンドボックスの運用も高度なスキルが求められるから難しそうですね。

中山

そうだね。サンドボックスを活用するためにポイントをおさえる必要があるんだ。

サンドボックスのほかにもセキュリティ対策を取り入れる多層防御の考え方

サンドボックスは、近年の巧妙化したサイバー攻撃にも高度な対応が可能な有用性の高いセキュリティ技術です。しかし、サンドボックスも単体では万能とはいえません。

代表的な防御ポイントとしては、ネットワークの入り口防御やネットワーク内部での不正通信の監視、PCやスマートフォンなどのデバイス保護などがあります。また、それぞれの防御ポイントにおけるセキュリティ対策方法もさまざまです。
そのため、ほかの方式を取り入れた信頼性の高いセキュリティ対策とサンドボックスを併用する「多層防御」の考え方を持って検討する必要があるでしょう。

対策に向けたシステム設計ガイドの概要
出典：「高度標的型攻撃対策に向けたシステム設計ガイド」（IPA）

石塚

サンドボックスは優れているけど、やはり単体では完璧とはいえないのですね。

中山

そうだね。攻撃者はあらゆる方法を駆使して攻撃してくるから、それぞれのポイントで対策のアプローチも変わってくるんだ。

石塚

木を見て森を見ず…ではいけませんね!　

中山

まさにその通り!　石塚さん、急に何かを悟ったね!　
セキュリティ対策ではシステム全体を俯瞰して、バランスの取れた対策を検討する必要があるんだ。

次世代型サンドボックスの利用を検討する

最近では、次世代サンドボックスとも呼ばれる機能を搭載した製品も登場しています。今のところ価格は比較的高めですが、前項で紹介したサンドボックスのデメリットを補完する高度な機能を持っています。
具体的には、攻撃者にサンドボックスを回避させない仕組みや、より深い相関分析によるマルウェア防御機能、AI技術を活用した分析機能なども実装され始めています。

中山

セキュリティ対策製品やソリューションは日々進化しているけど、セキュリティ対策に「完璧」はないと覚えておこう。
多層防御の考え方でシステム全体を俯瞰しながら、サンドボックスを有効的に活用することが大事だよ。

4. まとめ

サンドボックスはPCの内部で隔離された疑似的な仮想環境を作り出し、その中で危険なファイルを実際に動かして分析する機能です。標的型攻撃や未知のマルウェアに効果的で導入もしやすい反面、リアルタイム性を重視した検出には不向きであり、導入や運用のコストが高いというデメリットもあります。
ほかのセキュリティ対策製品と組み合わせる「多層防御」の考え方を取り入れ、必要なポイントで効率的な導入と運用を検討しましょう。

安心と安全を提供する Symantec

お役立ち資料を
ダウンロード