チェック・ポイント・ソフトウェア・テクノロジーズの「SandBlast」は、マルウエア対策を目的としたサンドボックス製品である。振る舞い検知によって検体がマルウエアかどうかを調べるサンドボックス機能「Threat Emulation」と、メール添付ファイルから危険なマクロスクリプトを削除するファイル無害化機能「Threat Extraction」を提供する。クラウドサービスまたはアプライアンスの形で利用できる。

Check Point SandBlastのハードウエアアプライアンスモデルの1つ
[画像のクリックで拡大表示]

 サンドボックス機能は、エミュレーション型で動作する。一般的なOSレベルのエミュレーションを行うだけでなく、CPUベースの命令フローを監視し、OSやハードウエアのセキュリティ機能をすり抜けようと試みる攻撃を検出するとしている。エクスプロイト自体を検出できるので、悪意のある実行コードが動く前に防御することが可能としている。

 エミュレーションする環境は、OSがWindows XP/7。オフィスソフトがOffice 2003/2009/2010。PDF閲覧ソフトがAdobe Reader 9。エミュレーションの対象となるファイルは、オフィス文書、PDF、実行形式、アーカイブ形式、Flash、Javaアプレット、PIFなど40種類以上。

 ファイル無害化機能は、悪意のあるファイルを無害化する。オフィス文書ファイルなどに含まれるマクロプログラムやスクリプトを除去したり、ファイル形式をPDF文書に変換する。オフィスソフトの脆弱性を突いた不正な攻撃を防止できるので、マルウエア感染などの心配をせずに添付ファイルを開けるようになる。

 ファイル無害化の対象となるファイルは、Office文書(Office 2003-2013)およびPDF。ファイル無害化の負荷は、ユーザー8000人の環境でスループットの低下が1%以下としている。

 SandBlastと連携するソフトとして、Webダウンロードを介したマルウエア感染を防止する「SandBlast Agent for Browsers」も用意している。Webブラウザにプラグインとして組み込んで使うソフトで、Webサイトからダウンロードしたファイルを、ローカル環境に保存する前にSandBlastに転送する仕組み。

Check Point SandBlastの概要
用途と機能マルウエア対策の2機能(サンドボックスとファイル無害化)を搭載したアプライアンス製品
提供形態ハードウエアアプライアンスまたはクラウドサービス
サンドボックス機能の概要エミュレーション型で動作する。CPUベースの命令フローを監視することにより、悪意のある実行コードが動く前にこれを検出できるとしている
ファイル無害化機能の概要オフィス文書ファイルなどに含まれるマクロプログラムやスクリプトを除去したり、ファイル形式をPDF文書に変換する。オフィスソフトの脆弱性を突いた不正な攻撃を防止できるので、マルウエア感染などの心配をせずに添付ファイルを開けるようになる
関連製品SandBlastと連携してWebダウンロードを介したマルウエア感染を防ぐ「SandBlast Agent for Browsers」(Webブラウザのプライグインモジュール)などがある
価格SandBlast Agent for Browsersとクラウドサービス型のSandBlastの利用料を合わせた場合で、1ユーザー当たり年額3000円程度
発表日2016年9月2日(関連製品のSandBlast Agent for Browsers)
出荷日2016年第3四半期(関連製品のSandBlast Agent for Browsers)