猛威を振るう標的型攻撃。ばらまき型も急増。しかし、サンドボックス製品には課題が…防御する方法はあるのか?

止む気配のない標的型攻撃、不特定多数へのばらまき型も急増

2015年5月、政府系機関にて約125万件の情報漏洩事件が発生したことは記憶に新しい。2016年6月にも大手旅行代理店のグループ企業が標的型攻撃に見舞われ、顧客情報の流出が危ぶまれている。

このように一向に止む気配のない標的型攻撃。2015年10月頃からは、不特定多数の企業・組織へウイルス/マルウェアをばらまく、いわゆる「ばらまき型」の攻撃パターンも増え始め、更に12月に入ると「身代金ウイルス」と呼ばれるランサムウェアも流行。2016年2月には金融機関を詐称したメールを皮切りに、ばらまき型メールの流量は爆発的に増加。ランサムウェアと組み合わせた攻撃も出現し、サイバー攻撃は多様化、巧妙化しつつ、増加の一途を辿っている。

こうした、未知のウイルス/マルウェアを利用したサイバー攻撃への対策に有効だとして注目されているのが、サンドボックス(ファイルを仮想環境で実行しその「振る舞い」によって危険なファイルかどうかを判定する仕組み)と呼ばれるソリューションだが、ここに来て早くもサンドボックスの仕組みをすり抜けるマルウェアが出現しているという。

主なインシデント発生状況 多様化/巧妙化するサイバー攻撃

話題のサンドボックスが抱えた3つの課題

課題1:サンドボックスの動的解析に課題が…仮想環境では何も動作しないというコードを持つマルウェアが出現

攻撃者が利用するのは、新種/亜種のウイルス/マルウェアが大半。アンチウイルスや迷惑メールフィルタなどのパターンマッチングにはかからず「未知」と判定して通してしまうウイルス/マルウェアを攻撃者は利用する。

そこで登場したのが、添付ファイルを仮想環境で一旦実行しその「振る舞い」によって危険なファイルかどうかを判定する「動的解析」の仕組みを持つ「サンドボックス」と呼ばれるセキュリティ製品。だが、この動的解析をもすり抜けるマルウェアが出現した。

「これで未知の脅威も検知できる」と期待されたサンドボックスを、なぜそのマルウェアは簡単にすり抜けられたのか? 攻撃者が利用したそのマルウェアは、仮想環境をかいくぐるコードを持っていたことが、後の検査で判明している。

課題2:運用にも課題が…初めての攻撃ファイルはそのまま配送し、後からアラート。検知するだけで「防御」はできない?

2つ目の課題は、サンドボックス製品の運用に潜んでいる。サンドボックス製品には、初めての攻撃ファイルが送られてきた場合、ユーザへそのまま配送してしまう構成を取ることが多い。インラインで防御することも製品によっては可能だが、冗長化することが必須となり、メールシステムの見直しなど手間やコストが大きくかかることから、やむを得ず「検知」のみを行う構成が一般的となっている。

そのためユーザへの配送と、検知のためのシグネチャ検査や振る舞い検査(動的解析)は同時並行で行われ、もし危険と判明した場合は、後からアラート。管理者は即座に対応を行う必要に迫られる。

つまり、検知するだけで「防御」することなく、未知の脅威の侵入を許してしまう構成になっているサンドボックス。もし検査している間にユーザが、届けられた危険なファイルをそれと知らずに開封してしまったら…甚大な被害を被ってしまうことは想像に難くない。

課題3:Web経路からの侵入にも抜け穴が…未知のマルウェアを利用した“ゼロディ攻撃”は通過させてしまう?

攻撃者の侵入経路はメールばかりではない。ユーザが普段利用するWebサイトが改ざんされ…

この続きをホワイトペーパー(PDF)でお読みいただけます

資料目次

  • 話題のサンドボックスにある3つの課題とは?
  • 導入したくてもできない!サンドボックス導入を塞ぐ3つの壁とは?
  • サンドボックスの課題も壁も越える!IIJのサンドボックスはここが違う

形式:PDF(8ページ)