![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/uploads/2019/06/logo.png){kind=logo}
なぜ、セキュリティ対策で「サンドボックス」が脚光を浴びているのか
1秒に4種以上、激増する新種マルウェア
140,000,000――。いきなりですが、クイズです。この大きな数字は何を示しているものでしょうか?すぐにピンときた方は、情報セキュリティの分野でかなりの事情通と言えるでしょう。
数字の正体は、2015年に発見された新種のマルウェアの数です。セキュリティ製品の評価などを手掛けるドイツの独立系機関AV-TESTの調査によると、2015年1年間で実に1億4,000万種を超えるマルウェアが新たに見つかりました。1日換算で38万種以上。今この瞬間にも、1秒当たり4.5種類のマルウェアが新たに誕生している計算です。
このところ、新種のマルウェアの発見数はどんどん増えています。2011年に2,000万種未満だった新種は、2013年に8,000万種を突破。2014年には一気に1億4,000万種を超えました。2015年は前年比微増にとどまりましたが、減少する兆しはまったく見えません。
1年間に発見される新種マルウェアの傾向概要
近年は年間1億4000万種あまり、1日換算で38万種超の新種が生まれている
従来の延長線上でのセキュリティ対策に限界
ご存じのとおり、アンチウイルスやゲートウェイ型セキュリティツールをはじめとする情報セキュリティ製品は、次々と登場する脅威に対応するため、日々進化しています。同時に、それらの導入が着実に広がることで、水際でパソコンや社内システムへのマルウェア侵入を防ぐ環境が多くの企業や団体で整い、一定のセキュリティ対策効果を上げています。
少し前のデータになりますが、情報処理推進機構(IPA)がまとめた「コンピュータウイルス・不正アクセスの届出状況および相談状況」によると、同機構へ2014年1月から3月の3ヵ月間に寄せられた届け出件数は、前年同期比で400件減の1,400件あまり。そのうち実際にパソコンに感染したケースは1件にとどまっています。
一方で、これまでの延長線上で強化してきたセキュリティ対策は万全と言い難い状況になってきたことも事実です。前述した通り、従来と比較にならない勢いでマルウェアが増え続けているからです。
1日38万種を超える新種のマルウェアが発生している現状から、攻撃と対策のイタチごっこは以前に増して激しくなっていることは想像に難くありません。過去に検出したマルウェアを分析し、同様のパターンの攻撃を発見して封じるシグネチャーベースの対策では、とてもシステムを守り切れない。そうした理由から、従来のセキュリティ対策の限界説を唱える声も強くなってきています。
「限界」を端的に示す例の1つが標的型攻撃です。日本年金機構の例を出すまでもなく、標的型攻撃に端を発したセキュリティ事故の例は枚挙にいとまがありません。警察庁が把握しただけでも2014年下期に1,507件、2015年上期に1,472件の標的型攻撃が発生しています。
当然ですが、標的型攻撃を受けるような名の知れた企業や団体の多くは、シグネチャーベースのセキュリティ対策を講じてきたはずです。しかし、どんどん手口が巧妙化する攻撃は、いつ対策の網の目をすり抜けてマルウェアを送り込んでくるか分かりません。
下の画面は、標的型攻撃メールの実例を基に、IPAが「標的型攻撃メールの例と見分け方」と題するレポートの中で用意したサンプルです。雑誌の取材や製品の問い合わせを装い、通常の業務関連メールだとうっかり信じ込んでしまいそうな内容になっています。メールに添付したマルウェアのアイコンを、WordやPDFのアイコンに偽装する例も確認されています。
情報処理推進機構(IPA)がレポートで例示した標的型攻撃メールのイメージ
取材依頼や製品問い合わせを装い、パッと見ただけでは攻撃だと判断しにくい内容になっている
周囲と隔離した安全な「砂場」で危険の有無を検証
いかがでしょう。このサンプルメールを見て、「騙されてしまいそうだ」と感じた方もいるのではないでしょうか。そもそも相応のセキュリティ対策を講じた状況下では、ほとんどのシステム利用者が安全だと信じがちで、マルウェアの感染リスクを認識するのは難しいでしょう。
こうした現状を受けて脚光を浴び始めているのが、サンドボックスです。ここで言うサンドボックスとは、シグネチャーベースの対策をすり抜けてしまう未知のマルウェアの実害を回避することを狙った、新手のセキュリティ対策ソリューションです。
子供のころに遊んだ公園の「砂場」をイメージすると分かりやすいかもしれません。周囲との境界が設けられた内側で、砂を盛り、溝を掘り、仮想的な山や川を作って水を流してみるなど、様々なことを試しましたね。
サンドボックスでは社内システムに影響を与えない仮想環境を用意し、例えば受信したメールの添付ファイルを実行。悪意のあるプログラムが起動するようなマルウェアが含まれていないかどうか、利用者にメールを配信する前に検査します。その上で危険なメールを隔離し、最終的に安全が確認できたメールだけを利用者に届けます。ゲートウェイ型セキュリティを介してWeb経由でダウンロードされたプログラムの挙動をサンドボックス内で解析し、マルウェアが社内で猛威を振るう前に通信を遮断するなどの対策を講じるといった使い方もできます。
年間1億4,000万種も作り出されるマルウェアの中には、脆弱性に対する修正ファイルが提供される前の"空白期間"を狙ったゼロデイ攻撃をしかけるものや、特定のシステム環境でしか動かないようステルス化が施されものも少なくありません。しかも、マルウェアの侵入経路は、ビジネスパーソンが日常的に業務で利用するWebとメールが全体の約9割を占めると言われています。そうした中、現時点で考え得る新種マルウェア対策の現実解として、サンドボックスを導入する企業や、導入の検討を本格化させる企業が増えています。
