サンドボックスとは｜仕組み・マルウェア対策 | london3.jp

概要

サンドボックス（sandbox）とは、本番環境から隔離された安全な仮想環境で、疑わしいプログラムやファイルを実際に動かし、その挙動を観察することで、マルウェアかどうかを判定する仕組みです。「砂場」のように、外に影響を出さず安全に試せる場が名前の由来です。

既知のパターンに頼らず実際の振る舞いで判定するため、未知のマルウェアや標的型攻撃の検知に有効です。メールの添付ファイルの無害化（検査）などにも使われます。

詳細（仕組み・用途）

疑わしいファイル・プログラムを、隔離された仮想環境に送る。
その環境で実際に実行し、不審な動作（外部通信・ファイル改ざん等）を観察する。
悪性と判定されれば、本番環境への到達を遮断する。

用途：メール添付ファイルの検査、Webダウンロードの検査、未知マルウェアの分析など。

サンドボックスのキーワードは「隔離環境で実行し挙動を観察」「未知のマルウェア検知」。パターンマッチングでは検知できない未知の脅威に有効、という点が頻出です。

限界と対策

サンドボックスを検知して「おとなしく振る舞う」回避型マルウェアも存在する。
解析に時間がかかるため、他の対策（ウイルス対策・EDR）と組み合わせる。
検知後の対応（CSIRT）と連携させる。

サンドボックスは未知の脅威に強い一方、回避されることもあります。万能ではないため、ウイルス対策ソフト・EDR・教育などと組み合わせた多層防御の一枚として使うのが基本です。

関連例

標的型攻撃メールの添付ファイルをサンドボックスで検査し、未知のマルウェアを実行前に検知・遮断する運用が広がっています。一方、サンドボックスの存在を察知すると活動を止める高度なマルウェアもあり、検知技術と回避技術のいたちごっこが続いています。

試験での問われ方

「隔離環境で疑わしいプログラムを実行し挙動を観察する仕組みはどれか」→ サンドボックス。
「未知のマルウェア検知に有効な技術はどれか」→ サンドボックス・振る舞い検知。