見出し画像

そのリンゴちょっと待った!白雪姫を救うセキュリティ技術

Cyber NEXT

こんにちは、駆け出しセキュリティエンジニアの浅羽です。前回に引き続き#例えて学ぶセキュリティシリーズを執筆します。今回はグリム童話の人気作、白雪姫に例えてセキュリティ技術を学んでいこうと思います。
それでは、参りましょう。
※今回のブログでは原作のグリム童話を題材にしています。

白雪姫を襲った脅威

森の中で、王妃に命を狙われながらも、一緒に暮らす小人たちの支援で何とか生き延びてきた白雪姫。ある日のこと、りんご売りに扮した王妃から貰った毒リンゴを食べてしまい、白雪姫は今度こそ命を落としてしまいます。

さて、ここでの白雪姫の痛恨のミスは、何度か死にかけていたにもかかわらず、今回も怪しいりんご売りに貰ったりんごを信じそのまま口にしてしまった点にあります。
怪しい老婆の怪しい食べ物を美味しそうだからと言って口にするのは危険です。衛生的な観点も含め色々な意味でNGです。注意が必要です。

普通に考えると「そりゃ言われなくても疑うよ」と思うところですが、この毒りんごを用いた手口は実際、サイバー攻撃の中で「トロイの木馬」という呼称で存在しており、被害が多い有名な脅威の1つでもあります。
この「トロイの木馬」とは、無害なファイルに擬態し、利用者を騙して感染させるマルウェアです。トロイ戦争でギリシャ軍がトロイ軍をあざむき攻略した故事が名前の由来となっています。
一見美味しそうな毒りんごを食べさせられてしまった白雪姫の物語に似ていますね。

名前の由来、神話「トロイア戦争」
トロイ(トロイア)軍との戦争中にオデュッセウスさんが発案した作戦のお話より。
大勢の兵士を隠した木馬を戦地に残して撤退し、陣地まで運ばせて攻撃を仕掛ける「トロイの木馬作戦」を実行したギリシャ軍。見事戦利品と勘違いしたトロイ軍は陣地に木馬を運びこみ宴ムードに、みんな酔っぱらってしまい警備も手薄になっていました。その間に木馬の中に潜んでいた兵士に襲撃され、トロイ軍は壊滅してしまいました。

白雪姫を救うセキュリティ技術

Q.白雪姫のような無垢な少女には気がつけないこの脅威からどうやって彼女を守ればいいのでしょうか?
A.リンゴを口にする前に、食べられるリンゴかどうかを確かめる!
ここで、セキュリティ技術の1つ、サンドボックスの出番です!
サンドボックスは、実際の環境を模した仮想環境(ここでいうクローン白雪姫)で悪意のある(ここでいう毒りんご)ものかどうかを確かめます。
クローン白雪姫でりんごの検証を行った結果、白雪姫が貰ったりんごは毒りんごだと判定されました。
これで危険を防ぐことができましたね。めでたしめでたし・・・🍎

そもそもサンドボックスって?

さて、今回白雪姫を救ったサンドボックスですが、これは一体どのようなものなのでしょうか。
サンドボックスは直訳すると砂場。馴染みのある公園の砂場よりも、ここでは室内用の砂場を想像してみてください。セキュリティにおけるサンドボックスはこの室内向け砂場を由来としており、
1.保護者の目の届くところに置ける点(外から動きを観察できる)
2.砂は外に出さない想定である点(隔離された空間)
が室内用の砂場とセキュリティにおけるサンドボックスの共通の特徴です。

サンドボックスのここがすごい!

そんなサンドボックスには大きなメリットがあります。それは「実際にファイルを実行させ、マルウェアかどうかを判断できる点」です。
具体的には…

  • 標的型攻撃の検知
    標的型攻撃では、ターゲット企業に特化したマルウェアを使用されるケースがあり、通常の汎用的なマルウェアと比較してセキュリティ製品による検知が難しい傾向にあります。    
    一方サンドボックスでは、実際の環境を模してシミュレーションができるためより高度な検知・対応が可能です。

  • 未知のマルウェアの検知
    未知のマルウェアの場合、パターンマッチング型検知※ではすり抜けてしまいますが、サンドボックスでは実行されたファイルの動きを見てマルウェアであるか判断するため、検知が可能です。

パターンマッチング型検知
検知する際、「既知のマルウェアを基にした一覧」と比較して一致したものをマルウェアとして検出する手法のこと。

サンドボックスの弱点

そんなすごいシステムであるサンドボックスですが、一方で弱点も存在します。

  • 標的型攻撃の検知
    怪しいものをそのまま検証環境にぶち込むわけではなく、コピーをして検証を行います。その後に起動して、動きを見て評価…という流れになるため短時間での判断はできません、よってサンドボックスのみでは検証~対処までが遅くなってしまうことがあります。

  • 未知のマルウェアの検知
    守る側の技術が上がると同じように攻撃する側の技術も進化します。マルウェアによってはサンドボックス環境であることを見破り、本来の動作をしないものもいるためこちらも注意が必要です。

さいごに

高性能なサンドボックスですが、これ1台だけでセキュリティ対策が完結するわけではありません。
白雪姫を守るためには、大前提として、毒りんごをもらってこない、本当に食べられるか疑うことが重要です。
これをセキュリティに置き換えると

  • むやみにファイルをダウンロードしない

  • 怪しいファイルは迂闊に起動しない

ということになります🍎

しかし、世の中には白雪姫のようにうっかり毒りんごを食べてしまう方も多くいらっしゃいます。そんなときのためにサンドボックスで白雪姫(皆さんのPC)を守りましょう。

ライター:浅羽