サンドボックスとフォレンジング

サンドボックスとフォレンジング

サンドボックス

サンドボックスは、不審なソフトウェアを自身の環境で実行する際に影響範囲を限定するための仕組みです。子供が遊ぶ砂場も「サンドボックス」と呼はれることがありますが、これと同様に、砂場の中ではどのような処理であっても許されますが、砂場の外には一切の影響を及ぼさないように作られます。

「仮想マシン環境」はサンドボックスを実現する仕組みの1つ

サンドボックスを実現するための「専用の仕組み」といったものは特にありません。一般的に、外部に影響を及ぼさないような技術や機能を用いて、処理内容を確認できるように作られた実行環境のことを「サンドボックス」と呼びます。

たとえば、仮想マシン環境はサンドボックスの一例です。仮想マシンを利用すれば、外部(仮想マシンの外)には一切影響を及ぼすことなく、仮想マシン内でさまざまなソフトウェアを実行し、様子を詳細に観察できます。悪意のあるプログラムを意図的に実行することも可能です。実行したことによって生じたあらゆる出来事は、 仮想マシンの中に留めることができます(製品によって仕様が異なる部分もあるので実際にテストする際は事前に必ず十分に確認してください)。

未知のマルウェアに対抗する手段

サンドボックスを実現する技術や機能をまとめて「サンドボックス製品」 として販売/配布されているものもあります。サンドボックス製品の中には、Webアクセス時にダウンロードされたファイルや、受信メールに添付されてきたファイルを検査するための機能が備わっているものもあります。なお、サンドボックス製品はデータをサンドボックス内で実際に動作させるため、大量のデータを効率的には処理できません。

セキュリティソフトウェアなどで判定済みのデータを機械的に隔離できるような仕組みを配置したり、明らかに無害なテータを通過させるような仕組みを併用し、サンドボックス製品で検証するデータを限定するようにすることが効率的な運用のポイントとなります。|サンドボックス製品は高価で強力ですが、サンドボックス検知と回避を行うマルウェアもあります。過信せずに、通過したマルウェアが動作した場合の対応を考えることも必要です。

フォレンジック

フォレンジック(コンピューターフォレンジック)とは、コンピューターに残存している情報を収集し、そのコンピューターで何が行われていたかを示す情報を特定し、その内容を調査する作業の総称です。そのため、フォレンジックを行うには、OS やアプリケーションの「基本的な仕様」や「情報の存在場所」を知っておく必要があります。フォレンジックを行う際に最初に考えるべきことフォレンジックを行う際に、第一に考えるべきことは、コンピューターの保全です。

保全とは「被害にあったコンピューターの電源を切り、被害が発覚したときの状態のまま置いておき、触れないこと」です。コンピューターの電源を入れたままにしておくと、記憶装置に不必要な改変がかかる可能性があるため、必ず最初に電源を切って、被害対象のコンピューターに意図しない改変が生じないようにしてください。そのうえで、フォレンジックをはじめていきます。

フォレンジックはとにかく時間がかかる

フォレンジックでは通常、対象のコンピューター上の記憶装置を直接調査することはありません。いったん別の調査用 HDD に複製してから調査を行います。また、実際の調査工程においては、記憶装置の内容をとにかく細かく調査します。たとえば、コンピューターに残っているログ類の調査、各種設定の調査、削除されたファイルの調査などにより、詳細な被害内容がわかることがあります。

このため、「数TBのHDDはあたりまえ」の昨今では、実被害のない調査目的の場合であっても、フォレンジックを行うには非常に時間がかかります。まず記憶装置の複製に時間がかかり、続く調査にも時間がかかるという状況です。このため、フォレンジックを行う際は、実作業を自分でやるにせよ、他社に依頼するにせよ、この「とにかく時間がかかる」ということはあらかじめ承知したうえで行うようにしてください。このことを理解しておかないと調査スケジュールなどを選切に検討することはできません。

セキュリティカテゴリの最新記事