持続的標的型攻撃（APT：Advanced Persistent Threat）への有効な対抗策として最近、サンドボックスへの期待が高まっている。シグネチャベースの対策では防げないマルウェアを、隔離された仮想環境で実際に実行し、その振る舞いからマルウェアかどうかを判定するソリューションだ。

フォーティネットジャパンは2014年1月28日、このサンドボックス機能を提供するアプライアンス製品「FortiSandbox-3000D」の出荷を開始した。参考価格は2512万6000円（※当初、本記事内にて3058万8000円と紹介しておりましたが、正しくは2512万6000円でした。お詫びして訂正いたします）。

同社は以前からクラウドベースのサンドボックスソリューションを提供しているが、FortiSandbox-3000Dはユーザー企業のローカル環境に導入するアプライアンス製品だ。疑わしいファイルをクラウドに送信して判定するのではなく、自社内でサンドボックスを実行したいというニーズは大企業を中心に多い。

標的型攻撃の脅威が高まるなか、フォーティネットはサンドボックスソリューションの強化を図ったわけだが、来日したフォーティネット本社 グローバルセキュリティストラテジストのデレク・マンキー氏は「サンドボックスは有効だが、これだけでは標的型攻撃への対応は難しい」と語る。標的型攻撃から身を守るには、3つのステップが必要だという。

標的型攻撃（APT）対策に必要な3ステップ

サンドボックスの前で事前に脅威を防ぐFortiGuard

3つのステップの1つめは、UTM/次世代ファイアウォールによる「Mitigate（緩和）」である。標的型攻撃の特徴の1つは、その多くが未知の脆弱性やマルウェアを利用したゼロデイ攻撃であることだ。だからこそ、サンドボックスのような対策が必要なのだが、マンキー氏はその前段に「事前にプロアクティブな検知を行う緩和策」を導入しておくことの重要性を指摘する。

前段にもう1つ対策があれば、サンドボックスはそれでは防げなかった攻撃だけをブロックすればよい。実際にファイルを実行して振る舞いを調べるサンドボックスは検知に時間を要するが、緩和策を設けておけば、その間に攻撃／感染が拡大するリスクを抑えられる。また、サンドボックスでは検知が難しい攻撃をブロックできる確率も高まる。

ただ当然ながら、標的型攻撃を止めるには、既知の攻撃への対策だけでは不十分だ。ゼロデイ攻撃にも有効な緩和策でなければならない。そこで重要な役割を果たすのがマルウェア対策のオプションサービス「FortiGuardサービス」だという。

FortiGuardサービスの概要図

マンキー氏によれば、フォーティネットでは世界中に張り巡らしたセンサーが収集したマルウェアやスパムメール、ボットネットなどセキュリティに関するビッグデータを日々200名以上の研究者が分析。また、マイクロソフトやアドビ製品などの脆弱性を先に探し出すための特殊チームも存在する。

FortiGuardサービスは、こうした研究活動の成果を反映したセキュリティアップデートを同社のUTM/次世代ファイアウォールに自動配信するサービスで、これによりゼロデイ攻撃にもプロアクティブに対処できるという。その証明としてマンキー氏は、英国のセキュリティ専門メディア「Virus Bulletin」が2013年第4四半期に行ったテスト結果を紹介した。「標的型攻撃の検知率は96％。これはシングルエンジンのアンチウィルスの中でナンバー1だった」。また、2013年の1年間に18件のゼロデイ脆弱性を発見したという。