標的型攻撃対策のカギを握るサンドボックスマイナンバーの漏えいは、実際にはどのような形で起こり得るでしょうか。想定すべきは、大きく2つのパターンです。1つは、外部のハッカーによるサイバー攻撃を起因とした漏えいです。特に注意すべきは、標的型攻撃と言われるタイプの攻撃です。125万件もの個人情報が流出した日本年金機構のケースも標的型攻撃によるものでした。

マイナンバーを守るうえでは、標的型攻撃への対策をしっかり行う必要がありますが、「その大きなカギを握るのが、ゼロデイマルウェア対策だ」と語るのは、ウォッチガード・テクノロジー・ジャパン システムエンジニア部 プリセールスエンジニアの正岡剛氏です。

ターゲットの企業・団体の社内端末にマルウェアを感染させ、それを糸口に社内ネットワーク内での活動範囲をどんどん広げていき、最終的に目的の情報を奪取する——。これが、標的型攻撃の典型的な手口です。つまり、メールなどで送られてくるマルウェアを検知・ブロックできるかが、まず最初の大きなポイントになるわけですが、これが簡単ではありません。

標的型攻撃では、特定のターゲット専用に作られた未知のマルウェアであるゼロデイマルウェアが用いられることがほとんどだからです。

大半の企業はアンチウィルス製品を導入済みだと思いますが、そうしたアンチウイルス製品で検知できるのは既知のウイルスのみ。未知のウイルスであるゼロデイマルウェアは検知できないのです。

そこで導入したいのが、サンドボックスソリューションです。サンドボックスとは、隔離された仮想環境上で、実際にそのファイルを実行してみることで、マルウェアかどうかを判定するソリューションです。

標的型攻撃による被害の拡大を背景に、サンドボックスを導入する企業は急速に増えています。IDC Japanの調査によると、サンドボックス技術などを活用した「非シグネチャ型脅威対策」の導入率は、すでに59.0％に達しています。

サンドボックス（非シグネチャ型脅威対策）の導入率は6割近くに達している（2015年4月にIDC Japanが発表した「2015年 国内企業の情報セキュリティ対策実態調査結果」より）

また、ITRの調査でも、国内サンドボックス型ゲートウェイ・セキュリティ市場の2014年度の売上金額は47億円で、前年度比74.1％増という大幅な伸びを示しています。

サンドボックス型ゲートウェイ・セキュリティ市場規模推移および予測（ITR）

ITRによると現在、国内サンドボックス市場で高いシェアを持つのは、ファイア・アイとトレンドマイクロの2社で、参入ベンダーはさらに増えている状況です。具体的には前述の2社以外に、パロアルトネットワークス、Lastline、チェック・ポイント・ソフトウェア・テクノロジーズなどがサンドボックスを提供しています。

また、サンドボックスにはオンプレミス型とクラウド型の両方の導入形態があり、どちらか一方のみを用意しているベンダーもあれば、両方から選べるベンダーもあります。

検知回避型ゼロデイマルウェアに注意！このように標的型攻撃対策として有効なサンドボックスですが、ウォッチガードの正岡氏によると、実は最近、サンドボックスによる検知を回避する機能を備えたゼロデイマルウェアが登場しているそうです。

プログラムの実行後、一定時間は不審な動きは行わず、スリープ状態にとどまるなどの行動をとることで、サンドボックスによる検知を回避します。ゼロデイマルウェアも日々進化しているのです。

そこでサンドボックスの側でも、こうした回避行動も見破ることができる次世代サンドボックスといわれる技術が登場しています。例えば、APTBlockerというサンドボックスソリューションを提供しているウォッチガードの場合、Lastline社の次世代サンドボックス技術を採用しています。サンドボックスを選定する際には、こうした回避行動型のゼロデイマルウェアも検知できるかどうかをしっかり確認することが必要です。