特定の企業を狙い撃ちする標的型攻撃が重大な脅威となり、巧妙化するマルウエア対策が急務となっている。
近年注目されているのが、「サンドボックス」を使った動的解析によるゼロデイマルウエア対策だ。外部から受け取ったファイルを保護された仮想環境で実際に動作させ、振る舞いを分析し、脅威が内在していないかを見極めるのである。
ただし、過信は禁物だ。「サンドボックスが有益なマルウエア対抗策の一つであることは間違いありませんし、動作を確認できる点など活用すべきです。しかし、その一方で検知を回避しようとするマルウエアや、サンドボックスが不得意なケースには注意が必要です」と警鐘を鳴らすのは、マカフィーの中村穣氏である。
「通常、サンドボックスは仮想環境に用意されるのですが、自分が今いる環境が実環境なのか仮想化環境なのかをマルウエアが判断するタイプもあります。また、サンドボックスによる検知や解析を想定して、特定条件がそろわなければ動作しなかったり、動作を変更してチェックをかいくぐったりするケースもあるのです」(中村氏)
マルウエア開発者も常に最新のセキュリティ技術を学習しており、検知を回避するための工夫を盛り込んでくる。さらに、標的型攻撃はその名のとおり特定の組織やユーザーをターゲットにすることから、マルウエアの利用範囲が極めて限定的で、サンプル検体が広く共有されにくい。このため、マルウエアの一部の特徴だけで検知する技術では十分に検知できない。また、解析によって得られるマルウエアの詳細情報が限定的になる理由なのである。
マルウエア対策において、できる限り早い段階で脅威の「白黒を見極める」ことが重要だ。したがって、まずは次ページのような処理が高速な検知手段を使ってマルウエアを排除することが基本となる。