サンドボックス

Sandbox

さんどぼっくす

不審なプログラムやファイルを隔離された仮想環境で安全に実行し、その挙動を観察・分析する技術。マルウェアの動的解析に使用され、ファイル操作、レジストリ変更、ネットワーク通信などの振る舞いを記録する。マルウェア対策ソフトの検知を回避する解析妨害手法への対処も重要となる。

情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること > マルウェア対策

他の資格での定義

不審なプログラムやファイルを隔離された仮想環境で安全に実行し、その挙動を分析する仕組み。マルウェアの検知や未知の脅威の分析に活用される。

不審なファイルやプログラムを隔離された仮想環境で実行し、その振る舞いを分析するセキュリティ技術。未知のマルウェアの検出に有効で、次世代ファイアウォールやメールセキュリティ製品に搭載される。実環境への影響なく安全に検体を分析できる。

検体となるマルウェアの動作・目的・影響範囲を調査する技術。サンドボックスで実際に動作させる動的解析と、逆アセンブルなどでコードを読み解く静的解析がある。解析結果はインシデントの被害範囲の特定やIoCの抽出、再発防止策の立案に活用される。

実行可能形式のバイナリファイルを機械語からアセンブリ言語に変換し、プログラムの処理内容を解読する技術。マルウェアの静的解析で用いられ、コードの機能・通信先・暗号化ロジックなどを特定する。逆コンパイル（デコンパイル）と合わせて活用される。

システムに対する潜在的な脅威を体系的に特定・評価する手法。STRIDE分析やアタックツリーなどの手法を用いて、システムの企画・要件定義段階で脅威を洗い出し、セキュリティ要件の定義に反映する。

感染したPCやサーバのファイルを暗号化したり、画面をロックして使用不能にし、復旧と引換えに身代金（ランサム）を要求するマルウェア。データのバックアップ、3-2-1ルール、イミュータブルバックアップなどが対策として重要。

攻撃者のC&Cサーバからの指令で遠隔操作されるマルウェア。感染した多数の端末でボットネットを構成し、DDoS攻撃やスパムメール送信などに悪用される。マルウェアMiraiはIoT機器を標的としたボットネットの代表例。

特定の組織や個人を狙い、巧妙に細工されたメールやWebサイトを用いてマルウェアに感染させるサイバー攻撃。長期間にわたり潜伏して情報を窃取するAPT（持続的標的型攻撃）が代表的。水飲み場型攻撃やスピアフィッシングが手口として使われる。