IT社員3人組によるリレーブログ

某IT企業に勤める同期3人が、日常で思ったことを記録していきます (twitter: @go_mount_blog)

サンドボックス分析「WildFire」について

Kei サイバーセキュリティ 初心者向け

どうも、Keiです。

先日仙台で遊んで来ました!牛タン以外なにもありませんが、穏やかでいい街ですね。大学時代を思い出しました。

 

さて、ぼくは仙台でたまに家に鍵をかけずに、大学にいったりしてました。

今考えると(昔でも)セキュリティがばがばですね・・・よく何も盗まれませんでした。

仙台っていい街ですねえ。

 

さて、今回はセキュリティのお話です。

突然ですが、Paloalto社のWildFireというサービスはご存知でしょうか?

 

f:id:go-mount:20180820181037j:plain

 

Paloaltoを知らないと、「は?山火事か?」って感じかもしれませんが、これは最近流行っているサンドボックス分析型のセキュリティサービスです。

今回はこちらのWildFireとはどのようなサービスになっているかを、サンドボックス分析の説明もしつつ解析して行きます。

 

サンドボックス分析

まずはサンドボックス分析について説明します。

サンドボックス分析以前では、サイバー攻撃に対してシグネチャベースの対策を行っていました。

 

シグネチャ

シグネチャとは英語で「署名」という意味がありますが、サイバー攻撃のパターンを表しています。

つまり、今まで攻撃を受けたパターン(シグネチャ)を記憶して、それと同じ攻撃があれば、排除するいうものです。

 

シグネチャベースのセキュリティでは「ホワイトスト」と「ブラックリスト」の2つのフィルタのかけ方があります。

 

ホワイトリストでは、許可した通信(IPアドレスやポートなど)のみアクセスを許可するものです。

これに対してブラックリストは指定した通信(IPアドレスやポートなど)に対してアクセスを許可しないやり方です。

 

ブラックリストでは、ウィルスだと思われる通信の条件を全てリスト化しないと、条件に挙げていない通信は全部許可してしまうため、サイバー攻撃を受けてしまう可能性があります。

その点、ホワイトリストでは許可する通信の条件(IPアドレス、ポートなど)を厳しくすれば、不正な通信はアクセスできなくなります。

一方で、ホワイトリストで許可した通信へのなりすましなど、未知の攻撃にはブラックリスト同様リスクがあります。

 

未知の攻撃への対策!サンドボックス

さて、シグネチャベース型は既知のサイバー攻撃に対してはホワイトリストブラックリストでフィルタリングできますが、未知の攻撃に対しては弱いことがわかりました。

 

ここで登場するのがサンドボックス分析です。

サンドボックスとは英語で「砂場」という意味です。「砂場」、「山火事」と一見意味がわからないネーミングが多いですね笑

 

サンドボックスの考え方としては、未知の疑わしい攻撃を素通ししてしまうのではなく、隔離して他のサービスに影響が出ないような環境で、本当にウィルスかどうかいろいろ実験してみようというものです。

 

例えば、疑わしいメールがあり、そこに記載のあるURLをクリックしたり、添付ファイルを開けたりなどの行為を、サンドボックスという隔離空間で行ってウィルスがどのような動きをするか観察するというものです。

砂場で一回遊んでみる、みたいな感じですかね。

 

 WildFireについて

さて、それではサンドボックス分析の説明も行ったので、Paloalto社のWildFireについて話していきます。

 WildFireは先ほど説明したサンドボックス分析により、未知のサイバー攻撃を隔離してその挙動を分析することができます。また、分析結果を新たなシグネチャとして記憶、また、全世界へのシグネチャの共有や、逆に世界中のPaloalto社製品を扱っている企業からのシグネチャの共有を受け、より未知のサイバー攻撃に対して強くなることができます。

 

WildFireの便利な機能の1つで、未知の疑わしい通信を検知するPAシリーズはオンプレで持つのですが、疑わしい通信を自動でクラウドに送信して、サンドボックス分析はクラウド上で行うという「クラウド型」のサンドボックス分析があります。

 

下の図にもありますが、クラウドに上げることのできないクライアント情報が存在する場合はクラウド型だけでなく、「オンプレ型」も存在します。

図の右側のWF-500という装置をオンプレで持ち、ここでサンドボックス解析を行います。

 WildFireã¯ã©ã¦ãã¨WildFireã¢ãã©ã¤ã¢ã³ã¹ WF-500ã«ã¤ãã¦

Hitach solutionsのHPから引用

 

ここまで、 サンドボックス解析は未知のサイバー攻撃に対して非常に有効であるという話をしてきましたが、完璧なソリューションではありません。

サンドボックスに入ったファイルが、安全だと認識されて出ていくまでの時間はウィルス性の挙動を見せないような攻撃も存在します。

そのため、シグネチャサンドボックス解析は複合的に組み合わせて使っていくことが通常のやり方です。

 

また、サンドボックス解析ではウィルスの挙動を見るために時間がかかる場合が多いため、動的な対応とは言えません。

そのため、遅延が許されない通信に対してはサンドボックスで隔離するのでなく、動的な対応が必要となります。

 WildFireは、サンドボックス分析をするだけでなく、動的解析、ベアメタル解析などいくつかの手法を用いることでこれを解決しようとしています。

 

さて、今回はWildFireの代表的な分析方法であるサンドボックス分析について紹介しました。

機会があれば、他の分析方法についても解説したいと思います。

ではでは。