サンドボックスとは?その仕組みやメリットデメリットについて徹底解説

サンドボックスという言葉をご存知でしょうか。セキュリティ業界では重要なキーワードでもあり、iPhoneなどのApple製品にも取り入れられている技術ですので、言葉くらいは聞いたことがあるかもしれません。

しかし、サンドボックスがセキュリティを高めるためのものであることを知っていても、詳細な仕組みやメリットまで知っている人は少ないのではないでしょうか。セキュリティ対策ソフトでは古くから使われているだけでなく、最近話題の標的型攻撃への対策方法として技術として注目を浴びています。

今回はサンドボックスについて、その仕組みや、シグネチャ型との違い、そしてメリットとデメリットについて紹介します。

サンドボックスとは

サンドボックスとはコンピューター上に設けられた「安全な仮想環境」のことです。日本語で直訳すると「砂場」になります。砂場で遊んでいる子供が安全であるように、サンドボックスはコンピューターの中で構築された安全な仮想環境です。サンドボックスの中であれば、万が一、実行されたプログラムが悪意のあるものであったとしても、コンピューターそのものを守ることができるのです。

つまりサンドボックスとは、攻撃されることを前提とした仮想環境であり、たとえ悪意のあるプログラムが実行されても、コンピューターをマルウェアからの感染を防ぎ、安全が守られる仕組みなのです。

サンドボックスの仕組み

サンドボックスの目的は、検査したいプログラムがある時、コンピューター上で安全な仮想環境を設けて、その中でプログラムを動作させて分析することです。サンドボックス内は安全なので、もし実行されたプログラムが悪意のあるものだったとしても、コンピューターの安全は保たれるというわけです。

サンドボックスで実行されたプログラムは隔離された環境内で実行され、詳細に分析されます。

例えばメールに記載されていたURLへのアクセスや、添付ファイルの実行をサンドボックス内で行うとします。もしそれらが悪意のあるプログラムであった場合、システムのファイルを変更しようとしたり、外部と怪しい通信を試みたりすることがあります。サンドボックス内で実行されたプログラムが、そのような不審な活動をしていると検知できたとき、セキュリティ対策ソフトは、そのプログラムに悪意があると判断するのです。

シグネチャ型との違い

サンドボックスが登場する前は、悪意のあるファイルであるかどうかの判定に「シグネチャ」と呼ばれる仕組みを使ってマルウェアの検出されることが一般的でした。

シグネチャとは、悪意のあるファイル特有の攻撃パターンをデータベース化し、検査対象のファイルと攻撃パターンが一致するかどうか調査する方法です。

シグネチャは現在でもマルウェアの検出手段として使われています。しかしシグネチャ型で検出できるのは、既存のマルウェアの攻撃パターンと一致するものだけです。つまり未知のマルウェアに対しては、シグネチャを使った検出方法は無力です。

セキュリティ対策ソフトがそうであるように、マルウェアも日々進化しています。全くの新しいマルウェアや、既存のマルウェアを変更したものに対しても、できるだけ正確にマルウェアと判断するため、サンドボックスが使われるようになったのです。

サンドボックスのメリット

マルウェアの検出方法として、サンドボックスは大きく2つのメリットがあります。

1. 標的型攻撃対策として有効

サンドボックスが有効に機能する例として、標的型攻撃の検出があげられます。標的型攻撃とは、無差別にマルウェアを送信するのではなく、特定の企業や個人などを標的として、侵入を試みたり、マルウェアに感染させたりしようとする攻撃です。

特定の攻撃対象を持つ標的型攻撃では、攻撃者は様々な手段を使って、ターゲットに対して侵入やマルウェアを感染させようとします。その際、防御する側の対策として、パターンマッチングやシグネチャ型のセキュリティ対策ソフトだけでは、未知のマルウェアの感染から防げない可能性があります。

そこでサンドボックスのような仮想環境を構築し、その中でメールに含まれているリンクにアクセスしたり、不審なプログラムを実行したりすることで、コンピューターの安全性を維持したまま、検査できるのです。

2. 未知の不正プログラムに有効

未知の不正プログラムの検出に対してもサンドボックスは有効に機能します。

悪意のあるプログラムは、プログラムそのものが未知のものでも、動作にはある程度の特徴があります。サンドボックスを導入することで、実際にプログラムを実行して、プログラムそのもの特徴ではなく、プログラムの動作に注目して分析できます。つまり未知のプログラムであっても、サンドボックス内での動作を調べることで、未知の不正プログラムの検出が可能です。

サンドボックスのデメリット

これまで紹介してきたメリットから、万能に思えるサンドボックスですが、デメリットもあります。ここでは大きく2つのデメリットについて紹介します。

1. サンドボックスを回避する攻撃もある

サンドボックスの歴史は古く、概念自体は20年以上前から存在するものです。つまりマルウェアの開発者にとってもサンドボックスは既知の防御方法です。

マルウェアにとっては、サンドボックスは回避したい対策方法です。そこで、マルウェアの中には、自分がサンドボックスの中にいることを検知できるものがあります。このようなマルウェアは、サンドボックスの中で実行されているときには、悪意のある行動を停止して、マルウェアであると検出されることを免れる機能を備えています。

またマルウェアには特定の時間帯でのみ動作するものもあります。つまり検査する時間帯によっては、悪意のあるプログラムがマルウェアであると検出されないこともあるのです。進化したマルウェアはこのような特徴を持つものがあり、サンドボックスによる検知がうまく働かないものがあることを押さえておきましょう。

安全と思われるサンドボックスでも、完璧ではありません。セキュリティ対策ソフトに頼るだけでなく、もし不審なメールを受信した時に、よくわからないURLには不用意にアクセスせず、安易に添付ファイルを実行しない、といった基本的なセキュリティ意識を持ち、自分の身を自分で守る習慣を持つことが、何よりも大切です。

2. 分析中に攻撃されてしまう可能性も

サンドボックスでは検査対象のファイルをいったん実際に動作させるため、検出に時間がかかることもネックとなります。実際にサンドボックスでファイルを分析する時には、ファイルをサンドボックス上へコピーして検査を行います。つまりサンドボックス内での検査対象のファイルは「コピー」なのです。

このためオリジナルのファイルはターゲットとなるコンピューターのエンドポイントに到達してしまいます。そこでプログラムが実行されると、分析中に攻撃されてしまいます。つまりサンドボックスだけでは、マルウェアへの対策としては不十分なのです。

つまり新しいマルウェア対策として、サンドボックスは他の検出方法と併用して使うことが重要になってくるのです。

まとめ

サンドボックスの仕組みと、メリット、デメリットについて解説しました。サンドボックスはコンピューターの中に安全な仮想環境を構築する技術のことですが、セキュリティ対策ソフトだけでなく、iPhoneなどのアプリを安全に動作させるためにも使われています。

サンドボックスはWindowsやMacで標準に備わっている機能ではありません。サンドボックスの恩恵を受けるためには、何らかのセキュリティ対策ソフトの導入が必要です。サンドボックスは決して万能ではありませんが、もはや当たり前と言ってもいいセキュリティ対策方法です。ほとんどのセキュリティ対策ソフトでは、サンドボックスだけでなく、他のマルウェアの検出方法も併用されています。

このようにセキュリティ対策ソフトの導入は重要ですが、完璧ではありません。コンピューターを安全に利用するためには、ユーザーにも最低限のセキュリティ意識が求められていることを忘れないでください。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?