2023-03-04 (土) 18:29:14

サンドボックス とは †

• 実環境から隔離・遮断されたセキュアな仮想環境のこと

• 仮想環境で不審なプログラムや不審なURLへのアクセスを実行して、その挙動を監視することでマルウェア等を検知する
  • 仕組み上プログラムに制約を設けることで、悪意のあるプログラムの攻撃により、実環境に被害が発生しないようにする

• 振る舞い検知型のマルウェア対策で使われる
  • パターンマッチング型による検知が難しいマルウェアの検知を試みる
  • 未知のマルウェアや既知のマルウェアの亜種等

• Webブラウザ等のセキュリティ対策として使われている

サンドボックスの種類 †

Web検査型 †

• サンドボックスでHTTP通信をミラーリングして、マルウェアのダウンロードやC＆Cサーバとの通信を検知する

メール検査型 †

• MTAとして動作して、電子メールに添付されているマルウェアを検知したら遮断する
• スイッチのミラーポートに接続する場合は、マルウェアの検知のみ（遮断はできない）
• Web検査型と連携することで、メール本文の不審なURLを検知する

ファイル検査型 †

• ファイルサーバを巡回検査してマルウェアを検知・隔離する

サンドボックスの課題 †

Web検査型 †

• 不審な通信を検知しても遮断はできない
• 暗号化通信HTTPSは検査できない

メール検査型、ファイル検査型 †

• 暗号化されたファイルは検査できない

フォールスポジティブとフォールスネガティブ †

• 「不正検知」参照

Webブラウザのサンドボックス †

プログラムの制約対象・範囲 †

• JavaScript
  • ローカル環境に保存されているファイルへのアクセス禁止
  • 外部接続デバイス等へのアクセス禁止
  • ネットワーク上のアクセス制限（SOP：同一生成元ポリシー）

• Javaアプレット
• Flash

HTMLのインラインフレーム要素 (iframe）のsandobox属性 †

• インラインフレームに表示するコンテンツ、表示しているページからのアクセスに制限を与えることができる。

OSSのライブラリ †

• Sandboxed API
  • Google
  • https://security.googleblog.com/2019/03/open-sourcing-sandboxed-api.html
  • https://github.com/google/sandboxed-api

アプリテスト用環境 †

• Windows Sandbox

関連用語 †

• モバイルコード
• マルウェア
• ファイアウォール
• 不正検知