ネクスト・イットは2012年9月6日、マルウエアの振る舞いをサンドボックスを使って検知/分析するソフト「GFI SandBox」(写真)を発表、同日販売を開始した。現実のWindows環境で実際にマルウエアを実行させ、分析結果をサーバーで一元管理する。価格(税別)は、同時に分析できるサンプルが1個の最小ライセンスで年額292万5000円。開発会社は、米GFI Software。
管理サーバー(Linux上のWebアプリケーション)とエージェント(Windows上のサンドボックス)で構成するソフトウエアである。Webブラウザーから管理サーバーに分析対象のファイルを投入して利用する。管理サーバーは、投入されたファイルをスケジュールに基づいてエージェント側に転送する。エージェントは、サンドボックス環境でファイルを実行し、実行結果を管理サーバーに返す。管理サーバーは、Webブラウザーで参照可能な分析レポートを生成する。
特徴は、現実のWindows環境をサンドボックスとして利用し、実際にマルウエアを実行させることである。マルウエアの振る舞い(レジストリーの書き換え、メモリー操作、外部Webサービスとの通信など)をキャプチャー(記録)し、この情報を収集する。
複数のサンドボックスを使い分けられる
複数のサンドボックス環境を用意し、これを使い分けることができる。例えば、OS/アプリケーションの種類やパッチ適用状況などが異なる環境を使い分けられる。なお、マルウエアを実行させてデータを収集した後は、スナップショット/リカバリ機能を利用して、マルウエアを実行する直前の状態に戻す仕組み。
また、ライセンスによって、同時に分析できるマルウエアの数を最小1個から複数個へと増やすことができる。これにより、複数のエージェントを同時並行で動作させ、単位時間当たりのマルウエア分析数を増やせる。
稼働環境は、以下の通り。管理サーバーは、LAMP(Linux/Apache/MySQL/PHP)スタック上で動作する(推奨ソフトウエア構成)。必要なソフトウエアを自動的にインストールして設定するインストーラースクリプトを用意している。ハードウエアの推奨構成は、MySQL(データベースサーバー)用に1台、Webアプリケーション用に1台の2台構成である。一方、エージェントを導入するサンドボックス側の構成としては、仮想サーバーではなくネイティブのWindows環境を推奨している。
