「標的型攻撃対策=サンドボックス」という勘違いが招く“これだけの代償”:“サンドボックス万能論”は危険
未知の脅威には、従来型のセキュリティ対策だけでは限界がある――。その認識が広がるにつれて注目度が高まった「サンドボックス」だが、幾つかの課題を抱えていることをご存じだろうか。
2015年に話題となった国内の複数の組織や企業を狙った標的型攻撃では、定義ファイル(シグネチャ)に基づくマルウェア対策ソフトでは検出が困難な「未知の脅威」が、メールの添付ファイルやWebサイトを通じてターゲットへ送り込まれた。このマルウェアへの感染が足掛かりとなって内部に感染が広がり、最終的には個人情報や機密情報の流出という深刻な事態に至ったことは記憶に新しい。
標的型攻撃に限らず、身代金要求型マルウェア「ランサムウェア」や遠隔操作マルウェア「ボット」を含め、昨今のサイバー攻撃ではシグネチャに基づくセキュリティ対策をかいくぐるために、亜種や新種のマルウェアが用いられることが多い。シグネチャとは、既に誰かのところに送り込まれたサンプルを解析し、その特徴をまとめたものだ。不審なファイルが届いた際にはシグネチャと比較することによってマルウェアかどうかを判定し、警告する。
こうしたシグネチャベースの対策は、既知のマルウェアを使った攻撃を確実に検知できるというメリットがある。一方まだどこにも使われていない新しいマルウェアは、検査の網をすり抜けてしまう。
このようにシグネチャベースの対策の限界が知られるにつれ、未知のマルウェアやセキュリティパッチ公開前のゼロデイ脆弱(ぜいじゃく)性を悪用する、高度な攻撃を見つけ出す新たなアプローチが模索されるようになった。その代表例が「サンドボックス」だ。仮想環境で疑わしいファイルを実行し、システムにファイルを書き込んだり、外部との通信を試みたりするといった不審な挙動を取る場合はマルウェアと判断する。折から標的型攻撃が話題になったこともあり、サンドボックス製品の導入を検討した企業も多いだろう。
だがサンドボックスを導入したからといって、標的型攻撃に代表されるサイバーセキュリティの問題が解決できる、という単純な話ではない。事実、早くもサンドボックスが抱える課題も明らかになっている。その問題点と解決策を考えてみよう。
提供:株式会社シマンテック
アイティメディア営業企画/制作:TechTargetジャパン編集部
Copyright © ITmedia, Inc. All Rights Reserved.