チェック・ポイント・ソフトウェア・テクノロジーズの「SandBlast」は、マルウエア対策を目的としたサンドボックス製品である。振る舞い検知によって検体がマルウエアかどうかを調べるサンドボックス機能「Threat Emulation」と、メール添付ファイルから危険なマクロスクリプトを削除するファイル無害化機能「Threat Extraction」を提供する。クラウドサービスまたはアプライアンスの形で利用できる。
サンドボックス機能は、エミュレーション型で動作する。一般的なOSレベルのエミュレーションを行うだけでなく、CPUベースの命令フローを監視し、OSやハードウエアのセキュリティ機能をすり抜けようと試みる攻撃を検出するとしている。エクスプロイト自体を検出できるので、悪意のある実行コードが動く前に防御することが可能としている。
エミュレーションする環境は、OSがWindows XP/7。オフィスソフトがOffice 2003/2009/2010。PDF閲覧ソフトがAdobe Reader 9。エミュレーションの対象となるファイルは、オフィス文書、PDF、実行形式、アーカイブ形式、Flash、Javaアプレット、PIFなど40種類以上。
ファイル無害化機能は、悪意のあるファイルを無害化する。オフィス文書ファイルなどに含まれるマクロプログラムやスクリプトを除去したり、ファイル形式をPDF文書に変換する。オフィスソフトの脆弱性を突いた不正な攻撃を防止できるので、マルウエア感染などの心配をせずに添付ファイルを開けるようになる。
ファイル無害化の対象となるファイルは、Office文書(Office 2003-2013)およびPDF。ファイル無害化の負荷は、ユーザー8000人の環境でスループットの低下が1%以下としている。
SandBlastと連携するソフトとして、Webダウンロードを介したマルウエア感染を防止する「SandBlast Agent for Browsers」も用意している。Webブラウザにプラグインとして組み込んで使うソフトで、Webサイトからダウンロードしたファイルを、ローカル環境に保存する前にSandBlastに転送する仕組み。
| 用途と機能 | マルウエア対策の2機能(サンドボックスとファイル無害化)を搭載したアプライアンス製品 |
|---|---|
| 提供形態 | ハードウエアアプライアンスまたはクラウドサービス |
| サンドボックス機能の概要 | エミュレーション型で動作する。CPUベースの命令フローを監視することにより、悪意のある実行コードが動く前にこれを検出できるとしている |
| ファイル無害化機能の概要 | オフィス文書ファイルなどに含まれるマクロプログラムやスクリプトを除去したり、ファイル形式をPDF文書に変換する。オフィスソフトの脆弱性を突いた不正な攻撃を防止できるので、マルウエア感染などの心配をせずに添付ファイルを開けるようになる |
| 関連製品 | SandBlastと連携してWebダウンロードを介したマルウエア感染を防ぐ「SandBlast Agent for Browsers」(Webブラウザのプライグインモジュール)などがある |
| 価格 | SandBlast Agent for Browsersとクラウドサービス型のSandBlastの利用料を合わせた場合で、1ユーザー当たり年額3000円程度 |
| 発表日 | 2016年9月2日(関連製品のSandBlast Agent for Browsers) |
| 出荷日 | 2016年第3四半期(関連製品のSandBlast Agent for Browsers) |
