サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

サンドボックスとは?その仕組みやメリットデメリットについて徹底解説



サンドボックスという言葉をご存知でしょうか。セキュリティ業界では重要なキーワードでもあり、iPhoneなどのApple製品にも取り入れられている技術ですので、言葉くらいは聞いたことがあるかもしれません。

しかし、サンドボックスがセキュリティを高めるためのものであることを知っていても、詳細な仕組みやメリットまで知っている人は少ないのではないでしょうか。セキュリティ対策ソフトでは古くから使われているだけでなく、最近話題の標的型攻撃への対策方法として技術として注目を浴びています。

今回はサンドボックスについて、その仕組みや、シグネチャ型との違い、そしてメリットとデメリットについて紹介します。

サンドボックスとは

サンドボックスとはコンピューター上に設けられた「安全な仮想環境」のことです。日本語で直訳すると「砂場」になります。砂場で遊んでいる子供が安全であるように、サンドボックスはコンピューターの中で構築された安全な仮想環境です。サンドボックスの中であれば、万が一、実行されたプログラムが悪意のあるものであったとしても、コンピューターそのものを守ることができるのです。

つまりサンドボックスとは、攻撃されることを前提とした仮想環境であり、たとえ悪意のあるプログラムが実行されても、コンピューターをマルウェアからの感染を防ぎ、安全が守られる仕組みなのです。

安全な仮想環境、サンドボックスの仕組み

サンドボックスの目的は、検査したいプログラムがある時、コンピューター上で安全な仮想環境を設けて、その中でプログラムを動作させて分析することです。サンドボックス内は安全なので、もし実行されたプログラムが悪意のあるものだったとしても、コンピューターの安全は保たれるというわけです。

サンドボックスで実行されたプログラムは隔離された環境内で実行され、詳細に分析されます。

例えばメールに記載されていたURLへのアクセスや、添付ファイルの実行をサンドボックス内で行うとします。もしそれらが悪意のあるプログラムであった場合、システムのファイルを変更しようとしたり、外部と怪しい通信を試みたりすることがあります。サンドボックス内で実行されたプログラムが、そのような不審な活動をしていると検知できたとき、セキュリティ対策ソフトは、そのプログラムに悪意があると判断するのです。

シグネチャ型との違い

サンドボックスが登場する前は、悪意のあるファイルであるかどうかの判定に「シグネチャ」と呼ばれる仕組みを使ってマルウェアの検出されることが一般的でした。

シグネチャとは、悪意のあるファイル特有の攻撃パターンをデータベース化し、検査対象のファイルと攻撃パターンが一致するかどうか調査する方法です。

シグネチャは現在でもマルウェアの検出手段として使われています。しかしシグネチャ型で検出できるのは、既存のマルウェアの攻撃パターンと一致するものだけです。つまり未知のマルウェアに対しては、シグネチャを使った検出方法は無力です。

セキュリティ対策ソフトがそうであるように、マルウェアも日々進化しています。全くの新しいマルウェアや、既存のマルウェアを変更したものに対しても、できるだけ正確にマルウェアと判断するため、サンドボックスが使われるようになったのです。

サンドボックスのメリット

マルウェアの検出方法として、サンドボックスは大きく2つのメリットがあります。

1. 標的型攻撃対策として有効

サンドボックスが有効に機能する例として、標的型攻撃の検出があげられます。標的型攻撃とは、無差別にマルウェアを送信するのではなく、特定の企業や個人などを標的として、侵入を試みたり、マルウェアに感染させたりしようとする攻撃です。

特定の攻撃対象を持つ標的型攻撃では、攻撃者は様々な手段を使って、ターゲットに対して侵入やマルウェアを感染させようとします。その際、防御する側の対策として、パターンマッチングやシグネチャ型のセキュリティ対策ソフトだけでは、未知のマルウェアの感染から防げない可能性があります。

そこでサンドボックスのような仮想環境を構築し、その中でメールに含まれているリンクにアクセスしたり、不審なプログラムを実行したりすることで、コンピューターの安全性を維持したまま、検査できるのです。

2. 未知の不正プログラムに有効

未知の不正プログラムの検出に対してもサンドボックスは有効に機能します。

悪意のあるプログラムは、プログラムそのものが未知のものでも、動作にはある程度の特徴があります。サンドボックスを導入することで、実際にプログラムを実行して、プログラムそのもの特徴ではなく、プログラムの動作に注目して分析できます。つまり未知のプログラムであっても、サンドボックス内での動作を調べることで、未知の不正プログラムの検出が可能です。

Sophos資料ダウンロードはこちらから

サンドボックスのデメリット

これまで紹介してきたメリットから、万能に思えるサンドボックスですが、デメリットもあります。ここでは大きく2つのデメリットについて紹介します。

1. サンドボックスを回避する攻撃もある

サンドボックスの歴史は古く、概念自体は20年以上前から存在するものです。つまりマルウェアの開発者にとってもサンドボックスは既知の防御方法です。

マルウェアにとっては、サンドボックスは回避したい対策方法です。そこで、マルウェアの中には、自分がサンドボックスの中にいることを検知できるものがあります。このようなマルウェアは、サンドボックスの中で実行されているときには、悪意のある行動を停止して、マルウェアであると検出されることを免れる機能を備えています。

またマルウェアには特定の時間帯でのみ動作するものもあります。つまり検査する時間帯によっては、悪意のあるプログラムがマルウェアであると検出されないこともあるのです。進化したマルウェアはこのような特徴を持つものがあり、サンドボックスによる検知がうまく働かないものがあることを押さえておきましょう。

安全と思われるサンドボックスでも、完璧ではありません。セキュリティ対策ソフトに頼るだけでなく、もし不審なメールを受信した時に、よくわからないURLには不用意にアクセスせず、安易に添付ファイルを実行しない、といった基本的なセキュリティ意識を持ち、自分の身を自分で守る習慣を持つことが、何よりも大切です。

2. 分析中に攻撃されてしまう可能性も

サンドボックスでは検査対象のファイルをいったん実際に動作させるため、検出に時間がかかることもネックとなります。実際にサンドボックスでファイルを分析する時には、ファイルをサンドボックス上へコピーして検査を行います。つまりサンドボックス内での検査対象のファイルは「コピー」なのです。

このためオリジナルのファイルはターゲットとなるコンピューターのエンドポイントに到達してしまいます。そこでプログラムが実行されると、分析中に攻撃されてしまいます。つまりサンドボックスだけでは、マルウェアへの対策としては不十分なのです。

つまり新しいマルウェア対策として、サンドボックスは他の検出方法と併用して使うことが重要になってくるのです。

まとめ

サンドボックスの仕組みと、メリット、デメリットについて解説しました。サンドボックスはコンピューターの中に安全な仮想環境を構築する技術のことですが、セキュリティ対策ソフトだけでなく、iPhoneなどのアプリを安全に動作させるためにも使われています。

サンドボックスはWindowsやMacで標準に備わっている機能ではありません。サンドボックスの恩恵を受けるためには、何らかのセキュリティ対策ソフトの導入が必要です。サンドボックスは決して万能ではありませんが、もはや当たり前と言ってもいいセキュリティ対策方法です。ほとんどのセキュリティ対策ソフトでは、サンドボックスだけでなく、他のマルウェアの検出方法も併用されています。

このようにセキュリティ対策ソフトの導入は重要ですが、完璧ではありません。コンピューターを安全に利用するためには、ユーザーにも最低限のセキュリティ意識が求められていることを忘れないでください。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。