IT担当者は、未知のマルウェアがゲートウェイやエンドポイント保護を回避し、高度なサイバー攻撃が行われている実情を知っている。
これらの高度かつ執拗な攻撃は「APT」と言われ、狙いを定めてカスタム開発した攻撃を使ってネットワークにアクセスし、長い時間検出されることなく潜む。APT攻撃の成功はいかに長い間気が付かれずにネットワーク内に潜むことができるかに依存しており、回避的なコードテクニックを使い、これまでのセキュリティバリアをすり抜けて機密データを盗む。
APT攻撃への対応では、多くの企業が「次世代」のソリューションを加えて対策を取ろうと考えており、その1つがサンドボックス機能となる。サンドボックスはコンピューターシステムを模倣した環境で、隔離されており安全だ。サンドボックスの中で疑わしいプログラムを実行してその振る舞いをモニタリングしたり、目的を理解することができ、企業のネットワークを危険にさらすことはない。
では、本当にサンドボックスが本当に必要なのだろうか?
既知と未知の脅威から保護するためには、さまざまなセキュリティ技術が必要だ。サンドボックスによって、企業は通常のセキュリティ手段では検出が不可能な脅威を分析して理解し、さまざまな対策を講じることができる。高度で狙いを定めたマルウェアは検出を回避するよう設計されており、サンドボックス内で実行することで検出と遮断が可能となる。
また、通常の保護技術ではAPTは防げないことも多いとソフォスは指摘する。シグネチャベースのアンチウィルスは事後対応的で、こんにちの攻撃者はこれを上回る速度で攻撃をしかけてくる。リーダー的なセキュリティベンダーは悪意あるトラフィック検出機能やエミュレーションなどのアプローチを利用してシグネチャベースの検出を補完している。
しかし、データや証明書の重要度が高ければ、どのようなセキュリティ対策を講じているのかを調べ、検出を回避できるよう独自開発したマルウェアをテストしてくることが予想される。
また、米小売大手であるTargetを覚えている人も多いだろう。この攻撃は4000万件のクレジットカード情報流出という結果を招いたが、この事件で重要なポイントは「攻撃者がTargetの空調契約企業の証明書を盗んだ」という点だ。
この契約企業は規模が小さく、攻撃者にとっては格好のターゲットであり、大企業に入り込むのに簡単なルートだと見られていた。つまり、サンドボックス機能の利用はあらゆる規模の企業が検討すべき事案だといえる。
Targetのように"照準"を定めた攻撃を仕掛けられると重要な顧客を失うことになる。小規模企業の60%がデータ漏えい後6カ月以内でビジネスが立ち行かなくなっているというデータもあるため、中小企業であっても、セキュリティへの意識を保つ必要があると、ソフォスは指摘している。
この記事は、英Sophos Blogより転載しています
