「サンドボックス」も回避するマルウェアの存在、対策はあるのか?攻撃と防御のいたちごっこに次の一手を

標的型サイバー攻撃による被害が相次ぐ中、有効な対策として注目を浴びる「サンドボックス」。こうした中、そのサンドボックスをもかいくぐるマルウェアが存在する。企業が取り得る策とは。

2015年08月26日 10時00分 公開
[ITmedia]

もはや対岸の火事ではない標的型サイバー攻撃

 2015年に入り、多くの日本の組織や企業が標的型サイバー攻撃の脅威にさらされている。さまざまな組織や企業が相次いで「内部から不審な通信が発生していた」「情報が流出してしまった」といった被害を明らかにしている。中央官庁や大手企業だけでなく、今やどの企業にとっても標的型サイバー攻撃は対岸の火事とはいえない状況だ。

 標的型サイバー攻撃のプロセスは、不特定多数を狙う従来の攻撃とは異なる。攻撃者は複数の段階を踏み、ターゲットに合わせてカスタマイズした形で攻撃を仕掛ける。多くの場合は、まずメールやWebサイト経由で「ドロッパー」と呼ばれるマルウェアに感染させる。このドロッパーを経由して「Remote Access Tool」(RAT)という遠隔操作用ツールを生成し、感染したクライアントPCへ指示を出し、制御を担うコマンド&コントロール(C&C)サーバにアクセスさせて攻撃者が操れるようにする。ある目的の下、高度に組織化された何らかのグループが攻撃を行っていることも、過去の“遊び半分”の攻撃とは大きく異なるポイントだ。

 この標的型サイバー攻撃への対策として有望視されているのが「サンドボックス」と呼ばれる技術だ。閉じた環境の中で疑わしいファイルを実際に動かしてその振る舞いを解析し、クライアントPCに害を及ぼすような動きをする場合はマルウェアだと判定する仕組みである。

 ただし残念ながら、攻撃と防御はいたちごっこなのが常である。攻撃者はこうした防御策を踏まえて新たな手を打っており、サンドボックスをすり抜けるマルウェアも登場しているという。こうした新たな脅威を検出し、なるべく少ない運用負荷で封じ込める方法はないだろうか。


提供:マクニカネットワークス株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部