「サンドボックス対策」されたマルウェアをどうする？ サンドボックスの脅威検知の仕組み：IT導入完全ガイド（3/3 ページ）

1500万回無意味なCPU命令を繰り返したり、10時間行動を止めたりする「サンドボックス対策」型マルウェア。次々と進化する脅威を検知するためには、どうすればいいか。

[宮田健，キーマンズネット]

脅威をライフサイクルで考える――検知手段としての「サンドボックス」

　ただし、サンドボックス機能を持つ製品を導入することで、“標的型攻撃”への対策が完了するわけではない。サンドボックス機能はあくまで検知をするための仕組みで、これまでのマルウェア検出技術に加え、未知の攻撃を効率良く検出することには優れている。しかし、標的型攻撃においてはマルウェアの侵入後、そのマルウェアの行動自体をストップさせたり、コントロール信号を止めたり情報を外に送信するのを止めるなどの仕組みも必要だ。

　サンドボックスでは該当のファイルを仮想マシン上で実際に実行するため、その判定にはある程度の時間が必要だ。通常業務においてはそのタイムラグを許容できないため、サンドボックス内で実行させると同時にエンドポイントにファイルをダウンロードさせ、開かせることになる。その後万が一マルウェア判定が行われた時、該当のファイルをダウンロードしたPCを特定し、マルウェアの感染、拡がりを止める必要がある。

　そのため、サンドボックスの導入にあたっては、検出後のフローを含めた「インシデントレスポンスをするために必要な機能」もあわせて検討したい。多くのソリューションはこれらを含めた機能を提供している。インテル セキュリティではこれらを「防御」「検知」「復旧」のサイクルと定義しており、このサイクルを回す際に、各フェーズで得た知見を効率的に共有し「適応」することをテーマとして掲げ、サンドボックスを始めとする、マルウェア検知技術を活用し、その後の作業をある程度自動化するソリューションを提供している。

図4 サイバー攻撃による脅威のフローにおいて、検知までの時間、復旧の時間をいかに短くするかが課題になる（出典：インテル セキュリティ）

　攻撃者は守る側のテクニックも学んでおり、高度な技術を持ったサイバー攻撃が絶え間なくやってくるようになっている。守る側も最新技術を理解し、防御中心で行ってきた投資の方向性を、検知や復旧にも割り振るべきだ。その技術の1つとして、サンドボックスは力になるだろう。