今週のキーワード
「サンドボックス」の用語解説、ゼロデイ攻撃や標的型攻撃にも有効
2021/11/30 18:33
週刊BCN 2021年11月29日vol.1901掲載
サイバーセキュリティに用いられる技術の一つ。システム上の隔離された領域内でプログラムを実行することで、悪意のあるプログラムや問題のあるプログラムであっても領域外に影響を及ぼさない仕組み、または隔離領域そのものを指す。仮想化技術によって構築され、領域外のファイルへのアクセスなどは厳しく制限される。語源は「砂場」。
例えばマルウェアが疑われる怪しいメールやファイルが送られてきた場合に、サンドボックス内で動かすことで問題がないことを確認でき、感染を防げる。既存のウイルス対策ソフトなどでは、ファイル内にマルウェア自体や感染したファイルに見られるパターンが存在するかを確認する「パターンマッチング法」が使われてきたが、未知のマルウェアの検出は難しいという課題があった。その対抗策としてサンドボックスの活用が効果的だとされ、システムの脆弱性を狙ったゼロデイ攻撃や標的型攻撃にも有効と言われている。
ただし、マルウェアかどうかはファイルを開いてみないと分からないため、分析の完了までに一定の時間を要するほか、サンドボックスを検知して回避するマルウェアも報告されている。導入コストが高額となりがちでもある。単独で利用するだけでなく、他の検出方法との併用や、不審なファイルを安易に開かないなど基本的なセキュリティ意識を浸透させることも重要だ。
例えばマルウェアが疑われる怪しいメールやファイルが送られてきた場合に、サンドボックス内で動かすことで問題がないことを確認でき、感染を防げる。既存のウイルス対策ソフトなどでは、ファイル内にマルウェア自体や感染したファイルに見られるパターンが存在するかを確認する「パターンマッチング法」が使われてきたが、未知のマルウェアの検出は難しいという課題があった。その対抗策としてサンドボックスの活用が効果的だとされ、システムの脆弱性を狙ったゼロデイ攻撃や標的型攻撃にも有効と言われている。
ただし、マルウェアかどうかはファイルを開いてみないと分からないため、分析の完了までに一定の時間を要するほか、サンドボックスを検知して回避するマルウェアも報告されている。導入コストが高額となりがちでもある。単独で利用するだけでなく、他の検出方法との併用や、不審なファイルを安易に開かないなど基本的なセキュリティ意識を浸透させることも重要だ。
- 1
