高度なマルウェアに関する神話第4話：『サンドボックスはすべてを検知する』

組織のセキュリティ対策
2014.1.16
更新日：2017.9.29

※本ブログは、マカフィー社エグゼクティブバイスプレジデント兼 CTOのマイケル・フェイによるものです。

従来のマルウェア対策ツールは、パターン認識技術を用いて、シグネチャによって疑わしいファイルの特定を行っています。高度なマルウェアは、通常はコードに小さな変更を加えることによって自身を偽装するため、悪意のある行動や目的が同じであったとしても、シグネチャと一致しなくなります。こうしたシグネチャベースの手法は、すべてを見つけ出せるわけではありませんが、既知の数多くの疑わしいファイルを決定的かつ非常に効率的にマルウェアと判定することができます。このため、こうした手法の価値は明らかです。

近年、高度なマルウェア対策を提供するベンダーは、シグネチャベースの手法では見逃してしまうあらゆるものを検知する新しいツールであるとサンドボックス技術を見なすようになりました。

サンドボックスは、標的となるエンドポイント環境を再現し、行動解析のために安全な仮想のエンドポイントに疑わしいファイルを隔離し、このファイルがエンドポイントに到達したときにどのように行動するつもりなのかを判断します。

このタイプの解析は肯定的に捉えられていますが、欠点があります。その理由について説明していきます。

サンドボックスはすべてのマルウェアを検知するわけではありません。サンドボックスは十分に知れ渡っている技術なので、マルウェア開発者は簡単に回避できることを知っています。マルウェアのなかには、いつサンドボックスまたは仮想環境内に入るのか感知することができ、悪意のあるパスを実行しないので、無害であるように見えるものも存在します。たとえば、一部のマルウェア開発者はあらかじめ遅延時間を設定しています。これにより、エクスプロイトはサンドボックスに入った後、また出て行った後、何時間または何日も過ぎないと実行しないこともあります。同様に、特定のアプリケーションやホスト構成が存在する場合のみ実行するように、開発者がマルウェアに指示する場合もあります。サンドボックスがこうしたアプリケーションや構成を正確に再現していない場合、マルウェアが活動しないため、サンドボックスはこのサンプルが無害なのでマルウェアではないと結論を下してしまいます。このため、次のポイントで説明するような修正に関する問題が深刻化する恐れがあります。

サンドボックスはリアルタイムでは動作しません。サンドボックスは、ネットワークからファイルのコピーを移動して解析のために隔離しますが、オリジナルのファイルはエンドポイントを通過するので実行が可能となります。このため、サンドボックスが疑わしいファイルを悪意があると正確に特定したとしても、このファイルは標的となるホストに、場合によっては他のホストにも感染する機会が既に存在していたことになります。サンドボックスが上述のようにマルウェアであると判定できない場合は、マルウェアが既に2つの防御線を巧妙にくぐり抜けてきているので、さらに問題が深刻になります。

マルウェアがこれらの防御を通過しており、（必要な構成を感知していないために）ネットワーク内でまだ活動していない可能性が高い場合でも、問題を引き起こす恐れがあります。たとえば、あなたのシステムをゲートウェイとして利用することで、気付かないうちにマルウェアがパートナーやベンダーに配布される可能性があります。このため、いずれにせよこうしたファイルを検知できることが重要となります。

サンドボックスは、機能であって完成した製品ではないことに留意してください。真の解決策では、企業全体に渡って高度なマルウェアの特定、ブロック、修復を行えるように、他のセキュリティ技術や製品との統合を深化することが求められます。こうした重要な機能が加わらなければ、高度なマルウェアは今後も深刻な脅威であり続けます。

『サンドボックスはすべてを検知する』という神話は、崩れました。

＜最新のセミナー情報＞
■ 標的型攻撃に対抗するマカフィーの包括的なマルウェア対策のご紹介
東京開催： 2014年2月5日（水）

最新の高度マルウェア対策製品情報はこちら

サンドボックスの一歩先を行く標的型攻撃対策製品「McAfee Advanced Threat Defense」を動画でご紹介しています。