未知の攻撃にはサンドボックスは役立たず

未知の攻撃にはサンドボックスは役立たず

  • つい最近、大手旅行会社に標的型攻撃を仕掛けられ、個人情報が流出した事件がありました。
    そこで、未知の攻撃からパソコンを守る方法として、サンドボックスと呼ばれるものが導入されており、一定の効果を上げております。それゆえ、多くの企業でサンドボックスを導入しています。
  • しかし、ここ最近サンドボックスを潜り抜けるマルウェアやランサムウェアが登場しており、システム管理者を悩ませています。

サンドボックスとは?

  • その前に、サンドボックスとは何かについて解説いたします。
  • サンドボックスとは、外部から受け取ったプログラムを保護した領域で動かすことで、システムを不正に動かすことを防ぐ機構のことをいいます。(Wikipediaより引用)
  • サンドボックスとは、本来「砂場」という意味で、四方をブロックなどで区切った中に砂を入れそこで子供たちが砂遊びをする…というものです。それをパソコンの中に再現したのが、「サンドボックス」と呼ばれるシステムです。
  • 外部からメールなどを使って送られてきたファイル(exeファイルなど)を、いったんサンドボックスに保存し、そこでファイルを開きます。その時の挙動を見てウィルスかどうかを確認します。(下図参照)

サンドボックスのイメージ

  • 実際のパソコンで開く前にファイルの挙動を確認できるので、わけのわからないファイルを開いてウィルスに感染することを防ぐことができます。

未知の脅威にはサンドボックスも役立たず

  • 上のように書くと、サンドボックスは非常に素晴らしいもののように感じます。(実際その通りですが)しかし、最近はそれをすり抜けてしまうマルウェアやランサムウェアが開発されています。

既にサンドボックスによる検出を回避するテクニックを駆使したマルウェアが登場している。動作環境を確認し、仮想環境で動作していることを検知すると長時間動きを止めて無害なファイルを装い、検査を通り抜けるといったテクニックがその例だ。

  • このように、サンドボックスが動いている間は「動き」を止めて「無害な」ファイルを装い、相手が「無害なファイル」と判定してパソコンに取り込んでから動き始める…という巧妙な動きをしてすり抜けてしまいます。また、サンドボックスでファイルを開いたところ、振る舞いが「ウィルスと同じ」であると判定されてしまった本当に無害なファイルや、検出した脅威がすでに知られている脅威だった…などの誤検知・過検知によって、業務に支障が出てきています。
  • 本当に「未知の」脅威は、ウィルス定義にないため検出できないことが多いです。また、誤検知・過検知が続くことによって、社員が「また誤検知か」というオオカミ少年状態になってしまい、本当の脅威を見落としてしまう危険性が増大します。実際に海外では、オオカミ少年状態になって脅威を見落とした結果、大規模な個人情報流出事件にまで発展したケースがあります。

ウィルス対策ソフトはお守りではない!

  • サンドボックスをはじめ、ウィルス対策ソフトやセキュリティ対策ソフトを「導入すれば」脅威から「すべて」守ってくれるものではありません。導入し、正しく運用することで初めて効果を発揮いたします。導入すれば安心…というわけではありませんので注意してください!

a:507 t:2 y:2