Malware

BCCモードのサンドボックス解析によるリスクとセキュリティ対策

2010年以降、新しいマルウェアの数は大幅に増加し、その後約5年で10倍にも膨れ上がりました。*1 攻撃者側のセキュリティ製品による検知を回避する技術が洗練され、既存のアンチウィルス技術では対応しきれなくなってきていました。その背景により、サンドボックス技術が登場しました。

マルウェアの解析は、セキュリティ技術者の間でも特殊な技術で、解析が必要な場合はベンダーに依頼することが一般的でした。しかし、サンドボックスの登場により未知のマルウェアを検知できるようになりました。また、OSの仕組みや関数の意味をある程度理解する必要はありますが、ユーザー企業だけでマルウェアの挙動を把握することができるようになり、防御側にとって大きな進展に繋がったといえます。

旧基準なBCCモード

メールのセキュリティ対策におけるサンドボックス技術の登場により、これまで検知が困難だった未知のマルウェアを検知できるようになりました。当初は、BCCモードによる導入がスタンダードになりました。BCCモードは、受信メールをそのままユーザーへ配信しつつ、サンドボックスにも転送して並行して解析する構成です。これは導入時点での技術的制約であり、誤検知の多さや既存システムへの影響が懸念される等の理由が原因だったと考えられています。

BCCモードにおけるリスク

一般的に、攻撃者は防御システムの調査を継続して行い、その脆弱性を見つけて攻撃しますが、このBCCモードによる運用にも同様のリスクが存在します。BCCモードによるセキュリティ対策では、サンドボックスで検知した際のレポートをアナリストが解析、マルウェアだと判断した場合にユーザーへ連絡して該当メールを隔離します。このプロセスは、多数の誤検知を発生させないためのやむを得ない運用ですが、これにより解析に15分程度、そしてユーザーへの対応とメール隔離に15分程度の時間を要してしまいます。これにより、30分程度のマルウェア感染、もしくはフィッシングサイトにアクセスしてしまう危険な時間が発生します。30分と聞くと時間としては長くはありませんが、スパイ映画で敵地へ潜入して核ミサイル発射のボタンを押し、脱出するまで十分な時間だと言えるかもしれません。防御側では、攻撃者がこの隙を狙って攻撃してくる可能性を想定する必要があります。

 

BCCモードのサンドボックスにおける残存リスク

 

プルーフポイントの調査では、メールボックスに届いた不正なURLをクリックしてしまうユーザーのうち、25.5%が10分以内にクリックしました。社内で標的型メールトレーニングを実施する際には、ユーザーがクリックするまでの時間もぜひ注意深く観測することをお勧めします。標的型メールのターゲットになった場合、どれくらいのユーザーがメールを開いてしまい、その中で30分以内に開いてしまうユーザーがどれ程いるのかを把握することによって、BCCモードの運用によるリスクが明確になります。

 

BCCモードの運用によるリスク

 

残存リスクの評価による対策の必要性検討

企業におけるセキュリティ対策では、すべての対策を一度に実施することはできません。さまざまな課題に対して評価をおこない、優先度の高いインシデントから順に対応することが効率的な運用に繋がります。BCCモードによるリスクについても、その他の対策で十分カバーすることができていれば、優先度を低くすることも可能ですが、重要なのはリスクの存在を認識しておくことです。脅威の動向は日々変化し、企業側の状況も常に変化しているため、認識しているはずのリスクもこれらに伴って変化します。タイミングを間違えて重大なインシデントが発生した後に穴を塞ぐことは避けるべきです。

 

残存リスクの評価による対策の必要性検討

 

インライン構成によるサンドボックス運用の懸念点

メールのセキュリティ対策においてサンドボックスをインライン構成にすると、30分間のリスクを伴う時間は発生しませんが、メール配信が遅延する等の運用上の懸念点を解決する必要があります。サンドボックス技術も登場して10年が経過しようとしています。その間に技術は大きく洗練され、プルーフポイントのサンドボックスをご利用頂いているユーザーにはすべてインライン構成で運用いただいています。誤検知も少なく、サンドボックス解析による遅延も柔軟に制御することができ、時には緊急対応の必要な障害検知メールはサンドボックスの解析対象外にする等、業務に合わせて柔軟にルールを設定することができるようになりました。

サンドボックスのセキュリティ対策

セキュリティの世界では、攻撃者の一歩先を進むことが重要ですが、1つのリスクに対して多くのリソースを費やし停滞してしまうのは適切であるとはいえません。確立した運用を自動化し、さらに脅威を先読みして対策を取るインテリジェンスベースのセキュリティ運用へ移行することが、次の大きな進展に繋がると考えています。プルーフポイントの高度サイバーセキュリティ対策 (Advanced Threat Protection)は、脅威の最大の侵入経路であるメールを高度な解析エンジンによって分析し、不正メールをブロックするだけでなく、配信してしまったメールの隔離まで自動化するソリューションを提供します。そのうえで、メールをAIによって分析し、脅威とリスクのある人物を可視化することによって脅威予測に必要なインテリジェンスを提供します。

サンドボックスは、より安全に、かつ効率的に運用できる時代になりました。今必要なのは、攻撃者の一歩先へ進むための次の一手を考えることではないでしょうか。

*1 AV-TEST:https://portal.av-atlas.org/malware/statistics

より詳しく解説したオンデマンドセミナーもこちらからご覧いただけます。

サンドボックス運用におけるリスクへの対応