今なお増加を続ける標的型攻撃対策として、“切り札”だと見なされている技術が「サンドボックス」だ。サンドボックスに「死角」はないのか。標的型攻撃の動向とともに確認してみよう。
特定の企業や組織を狙い、巧妙な手口で重要な情報を盗み出す「標的型攻撃」が、今なお増加している。警察庁が2014年9月に発表した資料によると、2014年上半期に同庁が把握した標的型メール攻撃は、前年同期比7.5%増の216件に上った。また、メール経由の攻撃だけでなく、ターゲットがひんぱんにアクセスするWebサイトを改ざんしてマルウェアに感染させる「水飲み場型攻撃」や、無償ソフトウェアのアップデートを装って感染させる手口なども登場し、手法が多様化しているという。
標的型攻撃が巧妙化し、横行している要因は幾つかある。1つは、こうした攻撃が金銭などの利得に確実につながると明らかになってきたことだ。また、攻撃の糸口となるマルウェアを簡単に作成できる「ツールキット」が流通し、比較的スキルが低くとも容易に攻撃を実行できる環境が整ってきたことも挙げられる。攻撃者はこうしたツールを利用し、シグネチャベースのアンチウイルスソフトウェアなどでは検知が困難な亜種を簡単に作成できるようになり、ネットワークへの侵入が容易になっている。
横行する標的型攻撃から重要な情報を保護する対策として近年注目を集めているのが、「サンドボックス」と呼ばれる技術だ。サンドボックスは、疑わしいファイルを仮想環境で実行し、システムに対する変更や外部との通信といった不審な挙動がないかどうかを観察する仕組みを持つ。上述のような、シグネチャ依存型の防御策をすり抜けるマルウェアにも対処できるのが強みだ。
未知のマルウェアを検出する決め手として期待されているサンドボックス。ただし、それだけに依存した標的型攻撃対策は決して効率的とはいえないのも事実だ。サンドボックスは、どのように使えば高い効果を発揮するのだろうか。逆に、既存のセキュリティ対策に比べ不得手な部分はないのだろうか。実際のところはどうなのか、探ってみよう。
提供:フォーティネットジャパン株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
