サンドボックスとは? 仕組みとメリット・デメリット
セキュリティ
近年、急増している標的型攻撃に対する多層防御策として有効といわれるのが「サンドボックス」によるセキュリティ対策です。サンドボックスには通常のセキュリティソフトにはないメリットがありますが、同時に問題点やデメリットも持っています。サンドボックスの仕組みと、メリット・デメリットについて解説します。
サンドボックス(sandbox)とは?
サイバーセキュリティ分野でいうサンドボックスとは、マルウェアなどの不正なプログラムが実行されたとしてもその被害がシステム上のほかのプログラムやファイル、ネットワークなどに及ぶことがないよう、外部や本番環境から隔離された仮想環境のことです。
サンドボックスの目的は、外部から受け取った疑わしいファイルやURLリンクの挙動を検証することにあります。とくに標的型攻撃と呼ばれる、特定の組織内の重要情報を狙って行われるサイバー攻撃への多層防御策として有効な対処法の一つといわれています。
サンドボックスはもともと砂場・砂箱を表す言葉で、プログラムを自由に動かすために用意された環境という意味が込められています。なお、ソフトウェア開発で使用されるサンドボックスは、開発中のプログラムの挙動や脆弱性を調査するためのテスト環境として利用されます。
サンドボックスによるセキュリティ対策の仕組み
サンドボックス型製品を利用する際は、サンドボックス専用機器を導入するか、サンドボックス化ソフトをPCやサーバーにインストールするのが一般的です。
サンドボックスによる検証は、例えばメールの添付ファイルであれば、実際にそれをサンドボックス内で展開・実行して挙動を調べるという形で行われます。メールに記載されているURLも同様に、実際にクリックをしてどのような反応があるかを確かめます。
もしも、レジストリやファイルの変更、外部との不審通信、Webサイトでの怪しいスクリプトの実行、その他の疑わしい動作が見られれば、それを記録して分析します。逆に、検証の結果、問題のある動作が観測できなければ、添付ファイルやURLリンクの安全性を確認できたことになります。
サンドボックスを導入するメリット
サンドボックスは不審なメールを受け取ったときなどに、添付ファイルやURLクリックを実行して実際の挙動を調べることができます。
特定の企業や個人を狙う標的型攻撃では、新聞社や出版社からの取材申し込みや講演依頼、就職活動に関する問い合わせ、製品やサービスに関する問い合わせ、公的機関からの注意喚起などの開封を促すための偽装をされたメールが送られてくることがあります。サンドボックスはこうしたメールの真偽を確認する際に役立ちます。
また、仮に通常のセキュリティソフトでは検知できないような未知の不正プログラムが送られてきたとしても、サンドボックスは有効性を発揮できます。セキュリティソフトの定義ファイルには該当する情報がなく、安全かどうか分からないというときでも、サンドボックスであればプログラムの実際の挙動を確認できるためです。その意味では、一般的なセキュリティソフトとサンドボックスの併用によって、企業のセキュリティレベルをより向上させられるといえます。
さらに、サンドボックス型製品を導入し、メールが送られてきたときには必ずセキュリティチェックが行われるように設定しておけば、社員のネットリテラシーや情報セキュリティリテラシーが低い場合でも、ある程度の安全性を確保できます。
サンドボックスの問題点・デメリット
一方、サンドボックスにも問題点やデメリットがあります。サンドボックスは近年、注目されている防御方法ですが、その概念自体は古くから存在していて広く知られています。当然、攻撃者にとっても既知のものであり、サンドボックスの検証をすり抜けるマルウェアも現れています。
そのようなマルウェアは、サンドボックス内で実行されていることを感知します。そしてサンドボックスで問題とされる動作を停止し、検出を免れるのです。よく知られている例としては、「Locky」というランサムウェアの新型にはサンドボックス回避機能が備わっています。
サンドボックスによる検出を逃れる方法はそれほど難しいものではありません。多くのサンドボックス型製品は、検証の際にプログラムのプロセス名をリネームしてから実行するため、リネームが行われると同時に動作を停止するだけでもサンドボックスによる検出を回避できる、という報告があります。また、もっと単純な方法として、特定の時間帯のみに動作するロジックを組み込まれたマルウェアも存在します。サンドボックスが使用される際がその時間外であれば、検出される可能性は低くなります。
また、多くのサンドボックス型製品は、ファイルをスキャンして定義ファイルと照らし合わせ、マルウェアを検出する一般的なセキュリティソフトに比べれば、より広く危険性を感知することはできますが、分析には時間がかかります。そのため、リアルタイムでマルウェアを検出し、危険性を回避するという使い方には向いていないという側面もあります。
サンドボックスは標的型攻撃に対する多層防御策として有効な対策の一つですが、その仕組みをすり抜ける攻撃もあります。セキュリティをより強固なものにするには、別のアプローチによるセキュリティ対策も導入すべきでしょう。AppGuardは通常の検知型のセキュリティソフトとも、サンドボックス型製品ともは違い、自身のOSを「Isolation(アイソレーション:隔離)技術」で防御するソフトウェアです。たとえ未知の攻撃を受けたとしても、システムに害を与える動作を未然に阻止し、安全を確保することができます。様々な種類の危険性や攻撃に備えるため、ぜひAppGuardの導入をご検討ください。
OSプロテクト型セキュリティ「AppGuard」の詳細はこちら
AppGuardで感染対策を!