全2252文字
PR

 企業や組織によっては、マルウエアの侵入を防ぐために「サンドボックス」を使っている。サンドボックスとは、仮想マシンなどの保護された環境でプログラム(ファイル)を実行し、その挙動を調べる技術のこと。サンドボックスを備えた機器(サンドボックス機器)は仮想マシンの上でネットワークを流れるファイルを実行し、問題がなければ通過を許可する。不審な点が見つかれば遮断したり保管したりする(図1)。

図1●仮想マシン上でファイルを実行するサンドボックス機器
図1●仮想マシン上でファイルを実行するサンドボックス機器
サンドボックスでは仮想マシンの上でファイルを実行して挙動を見る。挙動に問題なしと判断すればファイルの通過を許可する。不審な挙動を見つければファイルを廃棄したり、機器の内部に保管したりして通過させない。
[画像のクリックで拡大表示]

 仮想マシンとはVMwareやVirtualBoxといったソフトウエアが作り出す、仮想的なコンピューターである。サンドボックスは「砂場」を意味する英単語が基になったセキュリティー用語。実行したファイルがマルウエアであっても外部に影響を与える心配がない。

 サンドボックスは機器としてだけではなく、オンラインのサービスとしても提供されている(図2)。サービスによっては無償で利用できる。それらを利用すれば、サンドボックス機器を導入したり、仮想マシンを用意したりしなくてもマルウエアを手軽に解析できる。

図2●オンラインで提供されるサンドボックスサービス
図2●オンラインで提供されるサンドボックスサービス
ファイルをアップロードすると実行して危険性や挙動を表示してくれる。サービスによっては仮想マシンの環境をカスタマイズできる。
[画像のクリックで拡大表示]

 ファイルをアップロードするだけで危険性や挙動を示してくれる。ファイルを動かす仮想マシンのOSの種類やインストールするアプリケーションなどを選択できるサービスもある。

 サンドボックスは、調査対象のファイルがマルウエアかどうかを判定したり、マルウエアの挙動を解析したりするのに適している。裏を返せばマルウエアにとって脅威である。そこでマルウエアは、自分が仮想マシンで実行されていると判断したら、不正な挙動を止めて正体を隠す(図3)。

図3●挙動を止めて解析されるのを防ぐ
図3●挙動を止めて解析されるのを防ぐ
マルウエアは実行されている環境が仮想マシンだと判断すると、不正な挙動を止める。それにより、サンドボックスや研究者などに解析されるのを防ぐ。
[画像のクリックで拡大表示]