サンドボックス†
サンドボックス とは†
- 実環境から隔離・遮断されたセキュアな仮想環境のこと
- 仮想環境で不審なプログラムや不審なURLへのアクセスを実行して、その挙動を監視することでマルウェア等を検知する
- 仕組み上プログラムに制約を設けることで、悪意のあるプログラムの攻撃により、実環境に被害が発生しないようにする
- 振る舞い検知型のマルウェア対策で使われる
- パターンマッチング型による検知が難しいマルウェアの検知を試みる
- 未知のマルウェアや既知のマルウェアの亜種等
サンドボックスの種類†
Web検査型†
- サンドボックスでHTTP通信をミラーリングして、マルウェアのダウンロードやC&Cサーバとの通信を検知する
メール検査型†
- 電子メールに添付されているマルウェアを検知する
- Web検査型と連携することで、メール本文の不審なURLを検知する
- MTAとして動作することで、検知したマルウェアを遮断することが可能
- スイッチのミラーポートに接続する場合は、マルウェアの検知のみで遮断はできない
ファイル検査型†
- ファイルサーバを巡回検査してマルウェアを検知・隔離する
サンドボックスの課題†
Web検査型†
- 不審な通信を検知しても遮断はできない
- 暗号化通信HTTPSは検査できない
メール検査型、ファイル検査型†
フォールスポジティブとフォールスネガティブ†
Webブラウザのサンドボックス†
プログラムの制約対象・範囲†
- JavaScript
- ローカル環境に保存されているファイルへのアクセス禁止
- 外部接続デバイス等へのアクセス禁止
- ネットワーク上のアクセス制限(SOP:同一生成元ポリシー)
HTMLのインラインフレーム要素 (iframe)のsandobox属性†
- インラインフレームに表示するコンテンツ、表示しているページからのアクセスに制限を与えることができる。
OSSのライブラリ†
アプリテスト用環境†
関連用語†
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
