組織や企業を狙った標的型攻撃。シグネチャに基づくマルウェア対策では阻止できない「未知の脅威」がメールの添付ファイルによって対象とされる組織へ送り込まれ、内部に感染が拡大し個人情報や機密情報の流出に至るという深刻な事態が発生します。ここでは、巧妙化する攻撃や日々新たに生まれる脅威に対応するための多層的アプローチの中で定番となった「サンドボックス」について、基本的な意味からその仕組みや課題、また実際の製品について見ていきます。
目次
1.サンドボックス(sandbox)
1-1. サンドボックスとは
サンドボックスとは子どもの遊び場としての「砂場」を意味する単語。それが語源となり、サンドボックスというセキュリティ用語が生まれたとされています。
砂場という名称の通り、サンドボックスはマルウェアや疑わしいファイルがルーチンを実行するなど、自由に振る舞うことのできる、「攻撃されてもよい環境」を仮想環境として構築します。その中で未確認ファイルや疑わしいファイルを隔離した上で動作させ、振る舞いを詳細に分析するのです。例えば、メールに含まれているURLをクリックしたり、添付ファイルを実行したりといった作業を行いマルウェアを仮想環境で実行してその実際の活動を既存の振る舞いやルーチンのパターンと比較分析し、悪意の有無を判定します。
このように、システムに被害を与える恐れのある信頼できないファイルを隔離し、仮想環境で実行するためそのプログラムが暴走したり、外部から侵入した悪質なウイルスであっても、「サンドボックス」の外にあるデータなどに影響を与えることはありません。シグネチャに基づくマルウェア対策では阻止できない「未知の脅威」に有効なアプローチとされています。
仮想環境で疑わしいファイルを実行し、システムにファイルを書き込んだり、外部との通信を試みたりするといった不審な挙動を取る場合はマルウェアと判断します。
参考:サンドボックスのイメージ
https://www.sandboxie.com/HowItWorks
1-2. サンドボックスの3つのメリットと必要性
従来のシグネチャベースのセキュリティ対策では、すでに登場している悪意のパターンと比較するような形で、ファイルに問題があるかどうかを判別していました。しかし、この方法では確認済みの脅威と比較をするため、新しく登場した「未知の脅威」に対しては有効ではありません。そこで新たなアプローチを模索する中、あえて不審なファイルを実行させて動かし、その挙動によって問題があるかどうかを確認するサンドボックスが注目されたのです。
上述とも重複する部分もありますが、サンドボックスのメリットとしては以下が挙げられます。
1-2-1. 仮想空間でマルウェアを事前チェック
まず、仮想空間で添付ファイルを開いたり、メール内のリンクを事前確認し、マルウェアを事前チェックできる点。組織内にパソコンを使い慣れていない方や Webセキュリティ知識が低い方がいる場合でも、組織のデータやネットワークを保護することが期待できます。
1-2-2. 既存のネットワークシステムに後付け可能
そして、既存のネットワークシステムに後付けできる点もメリットでしょう。通常、サンドボックス専用機を設置し、ネットワークを設定すればOK。もしくは PC にサンドボックスをインストールする、という方法もあります。そのほかクラウド型など多くの種類のサンドボックスが提供されていますので、導入しやすいシステムと言えるでしょう。
1-2-3. 実行された内容を記録
さらに、サンドボックス製品には、後でも述べるようなサンドボックス内で実行された様子を記録して残す機能が備わっているものが多いため、何をどのように防いだのかなど、分析し確認することが可能です。サンドボックス機能をエンドポイント製品に負荷している場合はこのような後からログを確認するようなことは困難なため、組織のセキュリティを継続的に強化するためには、より効果的と考えられます。
セキュリティをどこまで強固な状態にするか、組織や企業の規模や扱うデータのビジネスへの影響度、優先順位によって導入する選択肢は変わるでしょう。ただ、巧妙化する攻撃により、日々対策も進化させていく必要性が問われる中、記録を残し、その分析から学んでいくような仕組みを取り入れる有効性はあると考えられます。
1-3. サンドボックスの課題
次に、サンドボックスの課題を見ていきましょう。
もしマルウェアがサンドボックスをすり抜けることができるとしたら、あるいは、サンドボックス環境にいることを検知し、無害を装うことができたらどうでしょう?
1-3-1. 解析を回避
サンドボックスは、バイナリファイルを分析するよりも素早く判断できるという特徴はありますが、分析が完了するまで時間がかかるため、リアルタイムの技術とは言えません。
既に高度化したマルウェアは、「解析回避」「サンドボックス回避」とでもいうべき活動を行います。代表的なサンドボックス回避対策として、自身が実行された環境が仮想環境か否かを判断し、仮想環境だった場合には不正活動を行わない、というような仮想環境上では挙動を変え、実マシン上でのみ動くといった動作や、特定の時間にしか動作しないといったロジックが組み込まれている場合があります。
大半のサンドボックスではファイルの「コピー」だけが分析対象であり、分析中にもオリジナルファイルは標的とするエンドポイントに辿りついています。つまり、疑わしいファイルが悪質であると判明したところで、実ファイルは既にエンドポイントに到達しているということなのです。サンドボックスは、標的型攻撃への対策としては、非常に有効なのですが、サンドボックスだけで、すべての対策ができるわけではないことを意味しています。
サンドボックスはマルウェアを迅速に検出し把握する上で効果的なツールですが、適切に構成しなければ、マルウェアにより容易に回避されてしまいます。
◆マルウェアがサンドボックスを回避するために行うチェック例
マルウェアはサンドボックスを検知して回避するために、以下の複数の基本的なチェックを実施します。
MACアドレスの検知:VMwareやVirtualBoxなどの仮想環境では既知のMACアドレスが使用されます。マルウェアは、レジストリキーを要求するか、GetAdapterInfo APIを使用するかの2つのいずれかの方法でMACアドレスを検知できます。
プロセスの検知:マルウェアはサンドボックスと関連する動作中のプロセスが存在するかを検知することができます。
レジストリの検知:マルウェアが検知可能なシステムのレジストリキーは、仮想環境により作成されます。
さらに、マルウェアは以下のいくつかの高度な技術を使用してサンドボックスの検知を行う場合があります。
フック関数のチェック:フック関数は、OSやアプリケーションの内部関数の振る舞いを変更するための基本的なテクニックです。サンドボックスはフックの技術を使用してサンプルの挙動の変更を行います。
またマルウェアは、呼び出す関数のアドレスをチェックしてフックを検知する場合があります。たとえば、返されるアドレスがカーネルの中にない場合、現在その関数はフックされていることになります。さらに、ハードウェアのサイズチェックや特殊な命令など別の技法を使用して、特定のレジスタを検知することができます(「Red Pill」手法、または「No Pill」手法)。これらのテクニックは、マシン上にあるレジスタは一意なものであり、仮想環境では再配置する必要があるという事実に基づいています。
具体的な例として、「Locky(ロッキー)」、「KeRanger(キーレンジャ)」、「Shamoon(シャムーン)」などが挙げられます。
1-3-2. 導入コスト
さらに、サンドボックスを導入するためには当然コストがかかります。一般的にサンドボックスは高価なため、ハードルが高く簡単には導入できないという企業も多いでしょう。さらにソフトによって検知力が異なりなかなか絞り込むことができない、機器の負荷が心配、という点もデメリットとして挙げることができます。大手セキュリティベンダーの製品であれば、数百万円から1千万円超となり予算面も課題の一つと考えられます。前述のメリットと合わせて検討し、自社の方針と合致する適切なソリューションを選択していくことが重要です。
1-4. その他のサンドボックス
セキュリティ以外でも、サンドボックスはその本来の「砂場」の意味から、プログラムやサービス、製品などを試す場、という意味合いで利用されています。
例えば、この仮想領域を構築するサンドボックスのテクニックは開発現場でも利用され、アプリのテスト環境や WordPress バージョンアップ前のテスト環境としても利用されています。Apple Pay、PayPal などたくさんの企業からサンドボックスは提供されています。
Windows 10の「Windows Defender」、OS XなどのOSやブラウザにもサンドボックスは内臓されています。
また、革新的な技術やサービスの実用化を進めるため、政府が一時的に法令上の規制の適用を停止するなどの規制緩和を行う制度も「サンドボックス」です。子供が砂遊びをするように、企業が自由に新事業を試せることからこう呼ばれています。現行制度が想定していない新たな商品・サービスの実証試験を柔軟に実施できるようにして、実証データを収集して実用化に向けた課題を把握することで、迅速・円滑な実用化につながる効果が期待されています。海外では英国、香港、シンガポール、タイ、マレーシア、インドネシア、豪州、UAEの8カ国・地域が、情報通信技術を活用した新たな金融サービス(フィンテック)分野でサンドボックス制度を創設しています。
2. 解決策と課題を克服するサンドボックス製品
1-3で述べたような課題に対する解決策は、企業全体に渡って高度なマルウェアの特定・ブロック・修復を行えるよう、他のセキュリティ技術や製品との組み合わせによるソリューションの利用が求められます。こうした解決策が行われなければ、たとえ、サンドボックスを活用した製品を導入したとしても、高度なマルウェアは今後も深刻な脅威であり続けます。そのため、現在はサンドボックスの進化版や他の技術と合わせた統合版が主流となっています。
マカフィーでは、サンドボックスだけで判断するのではなく、従来の解析手法も効果的に組み合わせるというアプローチを取った製品「McAfee Advanced Threat Defense」を提供しています。サンドボックスを用いたマルウェアの動的解析に加え、コードの静的解析によって、検知率の向上を図っていることが特徴です。
従来のサンドボックスは、マルウェアのバイナリをエミュレートして実行し、その振る舞いを理解するという動的な解析を基盤としています。
マカフィー等のアプライアンス製品のサンドボックス技術は、より正確に実際のシステムの設定を再現し、動的分析と静的分析を組み合わせた高度な分析能力を備えています。
例えばさまざまなファイルのコンポーネントが詳細に検証およびリバースエンジニアリングされ、不正活動および怪しい振る舞いを高い確率で検出します。例えば、「Shamoon」に含まれる時限爆弾は、バイナリファイルの日付を確認する静的解析によって検出することができます。不正活動の動的分析は特定の PCにおける振る舞いを識別することができます。
3. まとめ
サイバーセキュリティが進化すれば、サイバー攻撃もまた向上します。攻撃はさらに順応し、経験から蓄積された巧妙な手法を用いることが予測され、さまざまな手法を利用するマルウェアは、従来のセキュリティソリューションを回避するようになります。これまでのサイバーセキュリティにおける数々の出来事から分かるように、脅威が送り込まれる方法は変化しており、マルウェアの隠ぺい性は高まり、感染経路および攻撃手法は多様化しています。
サンドボックスは、特に未知の脅威やゼロデイ攻撃に対して効果的ですが、完全なソリューションではありません。ゲートウェイやサーバーから、ネットワークとそのエンドポイントにいたるまで、システム全体を保護する多層的で世代を超えたアプローチの一部分だと考え、先進的な既知のマルウェア検知テクノロジーを融合することにより効果的な対策を実現していくべきでしょう。
