合法マルウェアで実感「リアルとサンドボックスの違い」：マルウェアの視点で見るサンドボックス（3/3 ページ）

[凌 翔太（マクニカネットワークス），＠IT]

サンドボックスを構築・導入する上での注意事項

　これらを踏まえて、サンドボックスを構築またはサンドボックス製品を導入する上での注意事項を整理したいと思います。

　既存のサンドボックス製品を分類すると以下の２パターンがあります。

仮想環境がインターネットに出られるサンドボックス

　仮想環境がインターネットからも見られる場合、仮想環境の情報は全て攻撃者に渡ることを前提に、仮想環境を構築する必要があります。その際のポイントは以下の通りです。

• サンドボックスと見抜かれないための工夫
  • 人間らしい環境
    • 壁紙、ガジェットなど
    • デスクトップやドキュメントフォルダにファイルを複数置いておく
    • ドメインに参加させる
    • ブラウザー、メーラー、オフィス系アプリなどを起動させておく
  • 仮想環境の隠ぺい
    • メーカー、モデル名、BIOSバージョンなどから仮想環境の目印を隠ぺいする
    • MACアドレスの擬装
    • システム稼働時間の擬装
• 見抜かれても回避をしにくくさせる工夫
  • 以下のパラメーターのランダマイズ
    • ホスト名、ユーザー名、ローカルIPアドレス、MACアドレス
    • シリアルキー、GUIDなどの内部固有ID
  • 上記固有値に対するアクセス（WindowsコマンドやAPI経由）の検知

　これらを実装するためには、仮想環境のカスタムイメージの利用は必須となります。

仮想環境がインターネットに出られないサンドボックス

　この場合は、攻撃者に仮想環境の情報が渡ることはありません。本記事で上げたリスクに対しては最も強力なソリューションといえます。

　しかし、その弊害として、C＆Cサーバーと通信ができないと動きを止めてしまうマルウェアや、1次検体が「暗号化された2次検体」をダウンロード、復号して実行するマルウェアの振る舞いの場合、2次検体の振る舞いは追えなくなってしまいます。

　一部のサンドボックス製品はインターネットの出入り口のトラフィックをキャッシュし、仮想環境がインターネットに出られなくても、仮想環境上にそのキャッシュされたデータをダウンロードさせることで、この弊害を克服しているものもあります。

サンドボックス対策の“対策”が必須な時代に

　サンドボックスは、未知のマルウェアを検知するためのソリューションとしては間違いなく有効であり、これからも市場は伸びていくものと思われます。

　しかし、使い方を誤ってしまうと簡単に攻撃者（特に標的型攻撃を行う攻撃者）にサンドボックス検知回避のヒントを与えてしまうため、くれぐれもご注意の上、ご利用ください。

著者プロフィール

凌 翔太

マクニカネットワークス　セキュリティ研究センター

　2004年よりクライアントセキュリティ対策製品（HDD暗号化、検疫、DLPなど）のテクニカルサポート、プロフェッショナルサービスに従事する。

　2009年より、IPS／IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。

　2013年度より同センターにて、最新の攻撃の研究に携わる。