標的型攻撃に有効なサンドボックス技術って？

こちらの記事で、標的型攻撃は、自分に密接に関係するような手口を使われて、さらにウイルス対策ソフトでも見つからないので、対策が難しいという話をしました。

個人向けのセキュリティソフトでは「ふるまい検出」技術が発達しているので、新種のマルウェアででも見つかる可能性は結構あるのですが、標的型攻撃は主に企業を対象としています。

企業のマルウェア対策ソフトは、企業向けに集中管理ができたりする企業専用のものが採用されているケースが多いのですが、同時に企業のビジネスを止めないように、ふるまい検出技術をあえてオフにしているケースがあるため、よけい見つかりにくいということがあります。

では、そんな企業の環境で今注目されているのが「サンドボックス」と呼ばれる技術です。

サンドボックスというのは、マルウェア感染しても安全な仮想環境を用意して、その仮想環境の中でマルウェアを実行させ、実際にプログラムの動きを見て、不正な動作かどうかを判断し、もし不正プログラムだった場合には、その実行ファイルを削除したり隔離したりします。

パターンファイルで見つからないのなら、実際に怪しい動きをしているかどうかで判断しましょう、という考え方です。

怪しい動作というのは、実行後にC&Cサーバと呼ばれる遠隔操作を行うサーバに接続しているとか、これまでに報告されているマルウェアの動作と同じ動きをしているとか、動作についてのルールをもとに判断するわけですね。

で、このサンドボックスは、インターネットから社内へのメールの通り道に置いて、メールの添付ファイルを実行させるのが主流です。

または、ネットワーク上に流れるファイルを監視して、実行するという製品もありますね。

いずれにしても、企業向けの製品であり、しかも標的型攻撃という難しい攻撃をブロックしてくれるものなので、かなり高額の部類に入ります。

今現在主流の製品は以下のものだと思います。

また、クライアントにインストールして利用するサンドボックス製品だとFFRIの「Yarai」が有名ですね。

標的型攻撃に有効なサンドボックスですが、最近では攻撃者がサンドボックス製品をだますようなマルウェアを作っているという話も聞きます。

本当にセキュリティはいたちごっこなんですが、標的型攻撃に普段から注意して、怪しいメールの添付ファイルは開かない、怪しいサイトには近づかないという、基本を守ることがまずは一番大事だと思います。