Written by 夏野ゆきか
目 次
サンドボックスとは、外部脅威や不審なプログラムを隔離された環境で安全に実行・検証するためのセキュリティ技術です。
マルウェア等の脅威を自由に動作させられる仮想環境であり、アンチウイルスなどのセキュリティ製品の機能として活用されています。
サンドボックスでは、通常の環境から隔離してプログラムの検証を行えるため、万が一不審なプログラムが動作してしまったとしても、PCやシステムに影響を与えることなく、安全に脅威をチェックすることができます。
具体的な利用例
- 1. メールセキュリティ:添付ファイルやリンクが不正なものでないか、サンドボックス内で実行して安全性を確認。
- 2. マルウェア解析:悪意のあるプログラムの動作をサンドボックス内で観察し、挙動のパターンを記録して対策を構築。
- 3. ゼロデイ攻撃への対応:未知の脆弱性を突いた攻撃をサンドボックスで捕捉し、対策する
さらに、サンドボックスには未知のマルウェアも検知できるという特徴があります。
従来のアンチウイルスソフトでは、過去に検出されたマルウェアの特徴をデータベース化し、データと一致したものをマルウェアとして検出する「パターンマッチン方式」が主流でした。
しかし、未知や亜種のマルウェアが多用される近年のサイバー攻撃では、既知のマルウェア検出のみ対応可能な従来のアンチウイルスソフトでは対応が不十分です。
一方、サンドボックスは実際に不審なプログラムを動作させてマルウェアであるかを確認できるので、未知のマルウェアも検知可能です。
ただし、仮想環境内でプログラムを実行する特性から、リアルタイム検知が難しいという課題があるため、 EDRやNDRなどのセキュリティソリューションと組み合わせることで、セキュリティ強化を図ることが重要です。
▼この記事を要約すると
- サンドボックスは「マルウェアなどの脅威の検証を安全にできる仮想環境」である
- サンドボックスという名称は周囲に砂を飛散させないよう隔離された「砂場」に由来する
- サンドボックスには、主に実際のPC端末など「仮想環境」を再現する機能、脅威を実行し検知する機能、レポート機能の3つの機能がある
- 新種のマルウェアが次々に登場する現在、未知のウイルスにも対応可能なサンドボックスの世界市場はますます拡大すると予想される
- ただしサンドボックスには「検知できないマルウェアも存在」「リアルタイム検知が難しい」というデメリットがある
- サンドボックスで防げないウイルスは、デメリットを補填する「エンドポイントセキュリティ」との併用がおすすめ
サンドボックスの知識を学び、セキュリティ対策を強化したいと考えている方は、ぜひご一読ください。
また万が一、マルウェアに感染した際にやってはいけないNG行為をまとめた、お役立ち資料もご用意しました。ぜひご活用ください。
サンドボックスとは?
セキュリティ用語での「サンドボックス」とは、「マルウェア等の脅威を自由に動作させられる仮想環境」を指します。コンピューター上に仮想環境(サンドボックス)を設け、マルウェアが疑われるプログラムを実際に動かすことで、それが悪意の脅威であるかを検証します。
サンドボックスを活用すれば通常の領域から隔離してプログラムの検証を行えるため、万が一悪意のあるプログラムであっても、他のシステムに悪影響を及ぼすことなく、安全に脅威を検出できるのが特徴です。
サンドボックスとは直訳すれば「砂場」を指す用語です。子供が遊ぶ安全な「砂場」という領域同様、コンピューター上に安全な仮想空間(=砂場)を作り、マルウェアの検証が行えるというわけです。
サンドボックスの身近な例でいえば、 Windows 10 Pro/Enterprise に提供される「Windowsサンドボックス」などが挙げられるでしょう。例えば、PCにアプリケーションをダウンロードする際、Windowsサンドボックスを使うことで、個人でも仮想環境を構築しアプリの安全性を検証することができます。
サンドボックスを構成する主な「3つの機能」
サンドボックスを構成する主な機能は以下の3つです。
- 1.実際のPC端末など「仮想環境」を再現する機能
- 2.脅威の実行・検知する機能
- 3.レポート機能
一つずつ解説していきます。
1.実際のPC端末などを模した「仮想環境」を再現する機能
サンドボックスは、実際のPC端末やシステムを模倣する仮想環境を再現します。
仮想空間でプログラムやファイルを実行するので、もし攻撃にあっても、外部に影響を与えずに済みます。
2.脅威の実行・検知する機能
サンドボックスの主たる機能とも言えるのが、悪意のあるプログラムやファイルを実行する際に、その活動を監視し、異常な挙動を検出する機能です。
サンドボックス環境でファイルを展開し、不審な動きがないかをチェック。検知しなかった場合、実環境へ移行します。
3.レポート機能
実行されたプログラムやファイルの活動に関する、詳細なレポートを生成する製品もあります。
システム管理者に攻撃のライフサイクルやマルウェアの動作内容などが提出され、問題の修正・セキュリティ向上を図ることができます。
サンドボックスがマルウェアを検知する仕組み
サンドボックスがマルウェアを検知する仕組み・流れについて、標的型攻撃メールのような「怪しい添付ファイルやURLが含まれたメール」を検証する事案を例に、見ていきましょう。
1.ユーザーが不審な添付ファイルやリンクが含まれているメールを受信します。
2.疑いのある添付ファイルやリンクがあるため、安全なサンドボックス領域で実行・展開し、動作の確認を行います。添付ファイルであれば、実際に開封してみる・URLであればクリックしてみる、という具合です。
3.仮に不正プログラムの場合、不審な挙動やサイト上でのスクリプトの実行が見られるため、ファイルの削除を行います。安全性が認められたもののみユーザーのコンピューターに転送します。
▼サンドボックスの仕組み
またサンドボックスでは、上記で説明したような「メール」の検証だけでなく、JavaScriptに組み込まれた不正なプログラムより、アプリケーションの安全性なども検証可能です。
実際、スマートフォンでもiOSやAndroidといったOSでは、アプリケーション経由でのマルウェア感染を防ぐため、アプリのダウンロード時にサンドボックス内で実行する設計を取っています。
サンドボックスの世界市場は右肩上がりで成長
今なお「サンドボックス」への注目度は高く、市場規模は今後も拡大が予想されています。
数々の市場調査を手掛けるマーケティング企業「Report Ocean」によれば、複数のサイバーセキュリティ主要企業が、高度なアンチウイルスソフトを開発した影響を受け、サンドボックスの世界市場規模は2020年の73億ドルから、2027年には150億ドルに成長する見込みと発表しました。
▼サンドボックスの世界市場規模・推定
出典:NEWS CAST|サイバーセキュリティ・サンドボックス市場は、2027年までに150億米ドルに達すると予測されています。
また株式会社グローバルインフォメーションによると、2022年におけるサンドボックスの世界市場の推定規模は44億米ドルでしたが、2030年までには112億米ドルと2倍以上に成長。年平均成長率は2022年から2030年にかけて12.4%との見込みです。
2023年現在、日本では以前ほどの注目度は無い印象を受ける一方、サンドボックスのニーズは世界的に高まっていることが伺えます。
「サンドボックス」がセキュリティ対策で重視された背景とは?
サンドボックスが注目されている背景として、「標的型攻撃」のような、高度かつ複雑なサイバー攻撃が増加していることが挙げられます。
標的型攻撃とは、特定の組織や個人をターゲットにしたサイバー攻撃の手法です。
以前のサイバー攻撃は、不特定多数をターゲットにした無差別型の攻撃が主流でしたが、標的型攻撃ではターゲットに関する情報収集を行い、精密な計画に基づいて実施されるため、攻撃精度が非常に高いという特徴があります。
IPAが発表した2024年度の「情報セキュリティ10大脅威(組織編)」でも、「標的型攻撃による機密情報の窃取」が4位にランクインしており、近年注目を集めているサイバー攻撃です。
▼情報セキュリティ10大脅威 2024
| 順位 | 脅威の内容 | 前年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 2位 |
| 3位 | 内部不正による情報漏えい等の被害 | 4位 |
| 4位 | 標的型攻撃による機密情報の窃取 | 3位 |
| 5位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 6位 |
| 6位 | 不注意による情報漏えい等の被害 | 9位 |
| 7位 | 脆弱性対策情報の公開に伴う悪用増加 | 8位 |
| 8位 | ビジネスメール詐欺による金銭被害 | 7位 |
| 9位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 5位 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 10位 |
この標的型攻撃では、取引先や政府機関を装って、マルウェアを添付したメールを送信し、ターゲットをだまして感染させる「標的型攻撃メール」という手口がよく使われます。
標的型攻撃メールで使用されるマルウェアは日々進化しており、従来のパターンマッチング方式では対応できなくなっています。
※パターンマッチング方式…過去に発見されたマルウェアのコードをデータベース化し、そのデータと一致したものをマルウェアとして検出する方法
そこで、実際に不審なプログラムを動作させてマルウェアであるかを確認できるサンドボックスの仕組みが求められているのです。
関連ページサンドボックスとハニーポットの違い
ハニーポットとは、サイバー攻撃者をおびき寄せるために設置される「おとり」のようなシステムです。
ハニーポットとサンドボックスは、実際のシステムから隔離された仮想環境内で動作し、企業の業務環境や本番システムに影響を与えない点で共通しています。
しかしながら、ハニーポットの目的は攻撃者を引き寄せて、攻撃の種類や行動パターン手法を観察することです。一方サンドボックスは、隔離環境で疑わしいファイルやコードを安全に解析し、業務環境へのリスクを排除システムを守るために脅威を隔離し、攻撃の影響が実際のシステムに及ばないようにすることが目的です。
▼サンドボックスとハニーポットの違い
| 項目 | サンドボックス (Sandbox) | ハニーポット (Honeypot) |
|---|---|---|
| 目的 | 脅威の検証・分析を行い、本番環境を守る | 攻撃者をおびき寄せ、攻撃情報を収集 |
| 主な用途 | 疑わしいファイルやコードの実行 未知の脅威の検出 |
攻撃者の行動分析 攻撃パターンの収集 |
| 設置場所 | 内部環境 (隔離された仮想環境) | 外部環境 (攻撃を誘発する場所) |
| リアルな攻撃の収集 | 収集しない (主に解析のため) | リアルな攻撃データを収集 |
サンドボックスは、どんな脅威やサイバー攻撃に有効か
サンドボックスは、先述の通りマルウェアを含む攻撃と相性が良いとされています。
マルウェアの代表的な例として、以下のようなものが挙げられます。
| マルウェア名 | 特徴 |
|---|---|
| Emotet | 関係者等を装った不正メールを送り、添付ファイルを開封すると感染する。 |
| ランサムウェア | データを暗号化し、解除と引き換えに身代金を要求する。 |
| ウイルス | 他のプログラムに寄生して、悪意のある動作をさせる。 |
| トロイの木馬 | 無害なプログラムに擬態し、悪意あるプログラムを取り込ませる。きっかけを与えると個人情報の抜き取りやクラッシュなどを起こす。 |
| スパイウェア | コンピューター内に忍び込み、個人情報や閲覧履歴などのデータを勝手に外部へ送り出す。 |
標的型攻撃の一例である、2021年~22年に大流行した「Emotet(エモテット)」は、関係者を装った攻撃メールを特定の標的に送り、添付ファイルを開封させることで感染させる手口でした。
こういった大手企業や外部パートナーを装う巧妙な標的型攻撃メールであっても、サンドボックスでメール開封を行い添付ファイルを実行することで、感染を防ぎながらマルウェアの駆除・対策のための分析などを行うことができます。
サンドボックスのメリット
サンドボックスのメリットとしては、以下が挙げられます。
- ・ 未知のマルウェアも検知できる
- ・ 業務環境に影響を与えず、安全なリスク分析が行える
- ・ 標的型攻撃にも有効
- ・ システム導入のハードルが比較的低い
未知のマルウェアも検知できる
サイバー攻撃者は攻撃のたびに新種のマルウェアを使用するケースも多く、従来のパターンマッチング方式では検知できないという課題がありました。
しかしサンドボックスであれば、パターンファイルを用いることなく、実際に動作させることで不正なプログラムかを判断するため、仮に過去発見されていない未知のマルウェアであっても検知が可能です。
業務環境に影響を与えず、安全なリスク分析が行える
普段の業務環境や本番システムに影響を及ぼすことなく、隔離環境で安全に脅威の検証を行える点が強みです。
サンドボックスでの脅威検証の具体例として、以下のようなものがあります。
- ・ メールの添付ファイルを安全に開く
- ・ 怪しいURLを安全に確認する
- ・ サンドボックス内で脅威シナリオ(実際の攻撃手法)を再現し、効果検証する
標的型攻撃にも有効
先述の通り、サンドボックスは標的型攻撃と相性の良いセキュリティソリューションといえます。
というのも、通常の領域から隔離してプログラムの検証を行えるので、標的型攻撃メールのような怪しいメールの添付ファイルを実際に開封して、マルウェアかどうかを検証できます。
仮にマルウェアだったとしても、外部に影響を与えることはないので、安全です。
システム導入のハードルが比較的低い
サンドボックスの提供形態には、オンプレミス型とクラウド型がありますが、近年はクラウド型が主流です。
クラウド型は既存のシステムを刷新する必要がないことから、導入のハードルが低く、管理・運用もしやすいというメリットがあります。
サンドボックスの弱点・デメリット
ここまで述べたように、サンドボックスは「未知のマルウェアを含む攻撃も対応できる、優秀なセキュリティソリューション」である一方、デメリットも存在します。
ここでは、あらためて知っておきたい「サンドボックスの弱点・デメリット」を紹介します。
1.サイバー攻撃の高度化により「検知できない」マルウェアも発生している
近年ではサンドボックスをすり抜けられるか、テストできる開発環境も存在するなど「サンドボックスの対策をしたマルウェア」が攻撃に用いられる場合も少なくありません。
攻撃者は「仮想環境で動作の確認を行う」というサンドボックスの特性を逆手に、仮想環境内でプログラムが実行された場合のみ、マルウェアを動作させない仕組みを施します。
また、マルウェアの中には決められた時間でしか動作しないものも存在するため、不正な動作が確認できずブロックの対象とはならないケースも存在します。
2.リアルタイム検知が難しい(タイムラグの発生)
サンドボックスは仮想環境内でプログラムを実行することから「検証にタイムラグが発生」し、リアルタイムでマルウェアを検知することが困難という課題があります。
検証に時間を要せば、その最中にマルウェアが動作し、PCやモバイル端末へ感染してしまう恐れもあるでしょう。
このようなサンドボックスの課題を改善するためには、サンドボックスと併用でき、なおかつサンドボックスの弱点を補填できる、高精度なセキュリティツールの導入が必要となります。
サンドボックスの使い方
ここでは、「Windows サンドボックス」を例に、使い方を簡単に解説します。
Windows サンドボックス とは、Windows 10 Pro および Enterprise に搭載される、アプリケーションを安全に実行することを目的とした仮想環境の機能です。アプリ内にマルウェアなどの脅威が含まれていないかを、無料で検証することができます。
Windows サンドボックスを使用するためには、まずWindows サンドボックスの有効化を行う必要があります。
有効化する際は以下の手順で進めましょう。
- ・ コントロールパネルを開いて「プログラム」を選択
- ・ 「プログラムと機能」の中の「Windows の機能の有効化または無効化」を選択
- ・ 「Windows サンドボックス」にチェックを入れてOKを押す
OKを押すとコンピューターを再起動するよう求められるので、指示に従って再起動します。
再起動後、スタートメニューから「Windows サンドボックス」を見つけて選択し、実行します。
「Windows サンドボックス」の使い方は以下の通りです。
1.実行可能なファイルをコピーし、Windows サンドボックスに貼り付ける
2サンドボックス内で実行可能ファイルまたはインストーラーを実行する
3.検証が完了したら、サンドボックスを閉じる
※この際、ダイアログ ボックスに、すべてのサンドボックス コンテンツが破棄され、完全に削除される旨のメッセージが表示されるので「OK」を選択する
4.コンピューターに、Windows サンドボックスで行った変更が含まれていないことを確認する
これにより、ソフトウェアや添付ファイルを安全に開くことができます。
参考: Microsoft Learn│Windows サンドボックス
サンドボックスと併用して実施すべきセキュリティ対策
サンドボックスと併用して実施すべきおすすめのセキュリティ対策は以下の4つです。
- 1.OSアップデートとセキュリティパッチ適用
- 2.情報セキュリティ教育
- 3.ファイアウォールやIDS/IPSの導入
- 4.アンチウイルス・EDRなどエンドポイントセキュリティの導入
ここでは、4つのセキュリティ対策について解説します。
1.OSアップデートとセキュリティパッチ適用
セキュリティを強化するために欠かせないのが、OSの定期的なアップデートとセキュリティパッチの適用です。OSのバージョンを古いままにしておくと、セキュリティプログラムの更新が行われないので、新たな脆弱性(システム上の弱点)へ対応ができません。放置された脆弱性は「攻撃者の恰好の的」となってしまうため、小まめにOSの更新プログラムを確認して定期的にアップデートしましょう。
またセキュリティパッチは、OSやソフトウェアの脆弱性や問題を改善するための修正プログラムです。適用をすると、既知の脆弱性に対処し、悪意ある攻撃からシステムを保護できます。
2.情報セキュリティ教育
企業・組織における「情報セキュリティ教育」は、サイバー攻撃を防ぐ環境構築において欠かせない項目の1つです。
従業員のセキュリティに関する知識習得は、「不審な添付ファイルを開封する」「怪しいソフトウェアをダウンロードする」といった、インシデントに繋がる行動を防止することに繋がります。不正アクセス、フィッシング詐欺、標的型攻撃などからのリスクを軽減できるでしょう。
手法としては「怪しいメールの取り扱い」や「社内システムのログイン方法」など、明確な社内ルールを策定し、職員への周知を図ります。
またセキュリティ意識向上のために、定期的に社内で研修を実施するのも良いでしょう。実際、過去にあったセキュリティ事故などを紹介すると、具体的に危険性がイメージできるのでおすすめです。
3.ファイアウォールやIDS/IPSの導入
ネットワーク上で不正なプログラムを検知する、ファイアウォールやIDSおよびIPSといった製品の導入も有効です。
ファイアウォールは、ネットワーク層に対する攻撃に特化しており、許可された通信のみを通過させ、不正なアクセスをブロックする「防御壁」の役割を果たします。
また、IDSおよびIPSはOS層やミドルウエア層に向けた攻撃に特化しているのが特徴です。IDSは侵入検知システムのことを指し、不正なアクセスがあった場合は管理者へアラートで通知します。IPSは通知機能に加え、不正アクセスの通信を遮断する侵入防止システムとして働きます。
また昨今はネットワーク全体を広く監視し、AI機能により不正アクセスを効率的に検知できる「NDR」というネットワークソリューションもあります。
4.アンチウイルス・EDRなどエンドポイントセキュリティの導入
「サンドボックスのデメリット」の章でもお話しした通り、近年では1つのセキュリティソリューションで全てのマルウェアを防止することは困難とされているため、アンチウイルスやEDRを併用する「多層防御」が望ましいとされています。
併用が推奨されるエンドポイントセキュリティの例として「パターンマッチング方式に頼らないアンチウイルス製品」があります。
近年では、人工知能による機械学習や振る舞い検知を用いたものなど、高精度かつリアルタイム検知が可能なアンチウイルス製品が登場しています。
「次世代型アンチウイルス(NGAV)」と称される製品は、未知のマルウェアにも有効です。
もう一つのEDRは、エンドポイント内を常時監視し、怪しいプログラムの侵入・動作を検知して、管理者にアラートで通知を行います。
未知のマルウェアに対処できる「アンチウイルス」や「EDR」と併用することで、サンドボックスの弱点をカバーしながら、より強固なセキュリティ体制を構築できます。
未知のマルウェア対策なら、LANSCOPE サイバープロテクションにお任せ
弊社ではAIによる自動学習で未知のマルウェアを検知する、業界最高峰のアンチウイルスを提供しています。
▼強みの異なる2種類のアンチウイルスソリューション
- 1.アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「CylanceMDR」
- 2.各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」
1.アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「CylanceMDR」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。 しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。
- ・アンチウイルスとEDRを併用したい
- ・なるべく安価に両機能を導入したい
- ・しかし運用面に不安がある
そういった方におすすめしたいのが、未知のマルウェアも検知する最新のアンチウイルス「CylancePROTECT(サイランスプロテクト)」 とEDR「CylanceOPTICS(オプティクス)」を併用でき、かつ運用監視をセキュリティのプロにお任せできる
3点セットで利用可能なセキュリティサービス「CylanceMDR」です。
高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
またお客様のニーズに応じて、アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど柔軟に導入頂くことも可能です。侵入前・侵入後のマルウェア対策を両立することで、バックドアの設置リスクを大幅に軽減。お客様の大切な情報資産を守ります。
2.各種ファイル・端末に対策できるNGAV「Deep Instinct(ディープインスティンクト)」
- ・PC,スマートフォンなどOSを問わず、対策をしたい
- ・サンドボックスだけでは対策困難な「実行ファイル以外の様々なファイル」に対処できる
そういった方には、AIによるディープラーニング機能で、未知の脅威を高精度にブロックする、NGAV 「Deep Instinct(ディープインスティンクト)」がおすすめです。
攻撃者はサンドボックスなど検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。
また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。
サンドボックスのデメリットでもあげた「リアルタイム検知」にも対応しているため、不正なプログラムを見逃すことなく、侵入前で着実に検知・ブロックを行うことができます。
まとめ
本記事では「サンドボックス」について紹介しました。
本記事のまとめ
- サンドボックスは「マルウェアなどの脅威の検証を安全にできる仮想環境」である
- サンドボックスという名称は周囲に砂を飛散させないよう隔離された「砂場」に由来する
- サンドボックスには、主に実際のPC端末など「仮想環境」を再現する機能、脅威を実行し検知する機能、レポート機能の3つの機能がある
- 新種のマルウェアが次々に登場する現在、未知のウイルスにも対応可能なサンドボックスの世界市場はますます拡大すると予想される
- ただしサンドボックスには「検知できないマルウェアも存在」「リアルタイム検知が難しい」というデメリットがある
- サンドボックスで防げないウイルスは、デメリットを補填する「エンドポイントセキュリティ」との併用がおすすめ
サンドボックスは、未知のマルウェア対策を安全に行うのに有効な手段です。ただし、サンドボックスだけではカバーできない脅威・弱点もあるためので、補填できるセキュリティツールの導入も検討しながら最適な方法を検討してみてください。
LANSCOPE サイバープロテクションでは、マルウェア対策に有効なセキュリティソリューションを提供しています。また「マルウェアに感染した際、やってはいけないNG行為」をまとめた、お役立ち資料もご用意しました。ぜひご活用ください。
おすすめ記事
