サンドボックスとは？セキュリティを向上の仕組みと弱点

サンドボックスという言葉について、その意味がイマイチよく分からないとお感じではありませんか？特にiPhoneなどアップル製品をお使いの方にとっては身近に登場する言葉なので、「サンドボックスって何だろう？」と一度は思われたのではないでしょうか。

何となく「サンドボックスはセキュリティを高めるためにあるもの」という理解をされている方にとっても、サンドボックスがどんな仕組みで安全を守っているのかという理解を深めておいた方が良いのは言うまでもありません。
そこで、この記事ではサンドボックスについてその生い立ちや基本的な知識、仕組み、有効性などについて順を追って解説していきます。

なお、サンドボックスという言葉には、本来の意味である「砂場」にちなんで砂場のようにユーザー同士が遊ぶことができる「サンドボックス型ゲーム」のことを指す場合もありますが、ここでは「ノートンブログ」の主旨に沿ってセキュリティ用語のサンドボックスについて解説します。

1.攻撃されることが前提 の「砂場」

1-1.サンドボックスとは？

サンドボックスを直訳すると、「砂場」という意味になります。子供が安全に遊べるように砂場が設けられているのと同じように、コンピューター上に砂場のような仮想空間を設け、サンドボックス内での動作がサンドボックスの外側に影響を与えないようにする仕組みのことです。

サンドボックスの技術自体は特に新しいものではなく、その元となるコンセプトは弊社ノートンライフロックの前身であるシマンテックによって1997年に特許出願されており、2002年に認められています。

【参考】サンドボックスの基本コンセプト「Bloodhound」（英語）

1-2.システム上の「砂場」

サンドボックスの最大の特徴は、「攻撃されても影響が出ないように準備された空間」であることです。セキュリティ上設けられた「砂場」の中で未知のプログラムなどを動作させることで、もしそこにウイルスなどが含まれていたとしてもサンドボックス内での動作であればデバイスに感染することはなく、安全が守られます。

サンドボックスという「砂場」は外部との通信や命令の実行などに厳しい制限が設けられており、こうした環境が整備されたサンドボックス内での挙動をチェックすることにより、そのプログラムに悪意があるかどうかの判定が可能になります。

1-3.なぜ、サンドボックスなのか

最も初歩的なウイルス対策の技術として、パターンマッチングがあります。これは過去に発見、対策された攻撃をデータベース化し、それと合致するような攻撃パターンが発生したらセキュリティを発動するという考え方です。

指名手配犯の顔を街中に出しておいて「似た人がいたら通報を」というプロセスと同様、この手法はすでに知られている攻撃に対しては有効ですが、全く新しい攻撃(実際の例だと、まだ犯罪を犯していないが、これから初めての犯罪を犯す人)に対しては合致するものがないため、チェックをすり抜けます。事実、すでに出回っているマルウェアを少し変更して同じような挙動をする亜種が大量に出回りますが、これはパターンマッチングをすり抜けるための攻撃者による「工夫」です。

サンドボックスの中で未知のプログラムを動作させることにより、パターンマッチングでは発見できない攻撃も検知することが可能になります。パターンマッチングだけでは対応できなくなってきている昨今のセキュリティ環境では、サンドボックスの有効性が発揮されます。

1-4.iOS/iPadOSのサンドボックス構造

iPhoneやiPadで動作するアップル社の基本ソフト、iOS/iPadOSにはサンドボックス構造が採用されています。理由はもちろんセキュリティ向上のためで、iOS/iPadOSの中には外部から隔離された領域（つまりサンドボックスです）があり、そこでプログラムを動作させる仕組みがあります。

iOS/iPadOSのサンドボックスは隔離された空間として用意されており、インストールされているアプリはサンドボックス内で動作します。そのためアプリから生成された保存データもサンドボックス内に保存され、外部とは隔離されます。

iPhoneやiPad向けのマルウェア対策のセキュリティアプリが事実上存在しないことにお気づきの方も多いと思いますが、これはセキュリティアプリであってもサンドボックス内に隔離されているデータにアクセスすることができない(言葉を変えるとウイルススキャンできない)という理由があります。

iPhoneのセキュリティについては以下の記事もご参照ください。

他人事ではないiPhoneウイルス – 無料で出来る対策6つ

1-5.自分でサンドボックスを導入する方法

ここまでお読みになり、iOS以外のパソコンやスマートフォンなど、お使いのデバイスにサンドボックス構造を導入して安全を確保したいとお考えになった方も多いと思います。

現在リリースされている主要なセキュリティソフト（アプリ）はこのサンドボックスを実装しており、これらのソフトを導入することによりサンドボックスをセキュリティに役立てることができます。

1-6.サンドボックスの注意点

サンドボックスのメリットについてご理解いただけたと思いますが、セキュリティ上優れた仕組みであるサンドボックスとて万能ではありません。マルウェアの中にはサンドボックスで動作していることを検知して動作を止めるというものまで登場しており、サンドボックスがあるから100%安全とは言い切れないのが実情です。

サンドボックスの注意点については、「3.サンドボックスも万能ではない」で詳しく解説します。

2.サンドボックスの仕組みと有効性

2-1.サンドボックスの内外を遮断する

サンドボックスの存在意義は、そこが管理された安全な空間であることです。サンドボックスの中で何が起きてもデバイスに影響を与えることはなく、しかもサンドボックス内で悪事を働こうとしたら挙動を検知され、未知のマルウェアであっても警戒の対象として処理されます。

同じデバイス内であってもサンドボックスは隔離された空間であることに、セキュリティ上の有効性があります。その隔離された空間でプログラムがどんな動作をするかを観察することによって、未知のマルウェアであると判定することも可能になります。

2-2.サンドボックスは標的型攻撃に有効性

サンドボックスが有効性を発揮すると言われているのが、標的型攻撃です。標的型攻撃とは無差別なものとは異なり、特定の企業や機関などを対象として侵入を試みる攻撃のことです。「侵入できれば誰でも良い」という目的とは異なり、対象が特定されており、攻撃手法も攻撃対象者に合わせ最適化されているため相対的な危険度はこちらの方が高くなります。

ターゲットが特定されている以上、攻撃者はあの手この手を使って侵入を試みるでしょう。すでに知られているマルウェアの亜種を使ってくるかもしれません。その場合、防御層がパターンマッチングのみだと未知のマルウェアを通過させてしまう可能性がありますが、サンドボックスだとそこで悪意のある動作を検知できる可能性が高くなります。

マルウェア感染を目的とした怪しげなメールを送り付けた後に電話をしてメールの添付ファイルを開かせるなど手口はさまざまですが、不用意に不正なファイルを実行してしまったとしてもサンドボックス内での挙動によって攻撃を水際で防げるかもしれません。

3.サンドボックスも万能ではない

3-1.サンドボックスを検知するマルウェアが存在

あえて動作をさせて悪意の有無を観察することができるサンドボックスですが、セキュリティの方法論としてはすでに20年以上前にコンセプトが確立されているものです。つまり攻撃者にも知られているため、サンドボックスの中では挙動を止めるマルウェアも多く登場しています。

攻撃者の立場になって考えてみると、これは当然の流れと言えます。実際にサンドボックスによる検知を回避しようとするマルウェアが続々と登場していると考えられるため、サンドボックスが万能であると思い込むのは危険です。

サンドボックスと言えども完璧ではないという認識で、「怪しげなリンクにアクセスしない」「不用意に添付ファイルを開かない」といったようにセキュリティ意識を向上することで自分を守る姿勢も重要です。

3-2.サンドボックスと「ふるまい検知」

前項で述べたように、サンドボックス内であることを検知して挙動を止めるマルウェアも存在します。サンドボックスで安全であると判定されたにも関わらず、実際の環境で悪事を働かれてしまうのは最悪のパターンです。

それを防ぐため、ノートンセキュリティ製品には「SONAR」というふるまい検知機能が実装されています。これはサンドボックスではなく、実環境上で怪しい挙動をしていないかどうかを監視する機能で、1,400種類以上の条件から挙動に悪意があるかどうかを判定しています。

4.まとめ

 サンドボックスが持つ役割や仕組み、その有効性や限界までを含めて解説してきました。サンドボックスとは何かという概要をご理解いただけたと思います。個人ユーザーの方がそれを導入するには、セキュリティソフトを導入するのが最も早道です。

しかし、だからといってセキュリティソフトが入っているから何をしても大丈夫と過信することなく、最も大切なのはご自身のセキュリティ意識であることを忘れずに大切な情報やデバイスを守ってください。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。