2023年06月02日 05時15分 公開
特集/連載

サンドボックスの弱点が鍵 “復元機能付き”ランサムウェア対策の仕組みとはエンドポイントで動くサンドボックス【中編】

セキュリティベンダーWith Secureが開発した「Activity Monitor」は、サンドボックスは“処理が重い”という課題意識から生まれた。サンドボックスとは何が違い、ランサムウェア対策としてどのように活用できるのか。

[Alex ScroxtonTechTarget]

セキュリティベンダーのWithSecureは、「サンドボックス」に代わるセキュリティ機能として「Activity Monitor」を開発した。Activity Monitorはランサムウェア(身代金要求型マルウェア)によるデータ暗号化の対策に活用可能だという。そもそもサンドボックスにはどのような課題があり、Activity Monitorはサンドボックスと何が違うのか。

「サンドボックスの弱点」を克服する機能とは?

 サンドボックスは本番環境に影響を及ぼさない仮想環境でプログラムを実行することで、安全性を確認できる仕組みを指す。Activity Monitorは、サンドボックスのように隔離された環境で疑わしいプログラムを実行するのではなく、まずシステムとデータのバックアップを作成し、セッション(接続の単位)を監視しながらプログラムを実行する。

 プログラム実行時に、有害な可能性のある変更を検出した場合は、プロセスをブロックし、バックアップを利用してプログラムを実行する前の状態に戻す。「Activity Monitorはランサムウェアによるデータ暗号化を阻止できる」とWithSecureは説明する。

 WithSecureのリードリサーチャーであるブロデリック・アキリーノ氏はサンドボックスの課題を次のように指摘する。「サンドボックスの処理には遅延がある。ユーザーはプログラムの実行後、分析結果を得るために数分待たなければならない」。ランサムウェア対策としてサンドボックスは有用だが、脅威の分析に時間がかかるため、エンドポイントでの利用にはあまり向いていないという。

 Active Monitorはバックグラウンドで動作するため、実際にランサムウェアがファイルを暗号化しようとするまでこの機能に気付くことはない。「ユーザーが操作しなくてもランサムウェアを削除して、自動的にロールバック(元に戻す)する機能を備えるのがActivity Monitorだ」とアキリーノ氏は述べる。WithSecureは、同社が提供するエンドポイント保護ツールにActivity Monitorを組み込む。


 後編は、Activity Monitorをランサムウェア攻撃対策以外に活用する可能性について解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news091.jpg

2023年の動画広告市場は前年比112%の6253億円 縦型動画広告が高成長――サイバーエージェント調査
サイバーエージェントが10回目となる国内動画広告市場の調査結果を発表しました。

news077.jpg

バーガーキングがまた発明 “ワッパー生成AI”でブランドの伝統を現代に
Burger Kingが米国で開始した生成AIを使ったユニークなコンテストは、カスタマイズできる...

news068.png

日本の営業担当者は1日にあとどのくらい顧客と接する時間が欲しい?――HubSpot Japan調査
日本の法人営業担当者は顧客と接する時間を「1日にあと25分」増やしたいと考えています。