サニタイザーでは判別できないファイルをさらに詳細に解析するために サニタイザーサンドボックスオプション(SSBOP) を用意しています。
お使いのパソコンを再現した隔離環境の中で実際にファイルを動作させ、その挙動を確認してリスクを判断します。

サニタイザーサンドボックスオプション(SSBOP)とは


サンドボックスとは

外部から受け取ったプログラムを保護された領域で動作させることによって、システムが不正に操作されるのを防ぐ情報セキュリティ技術のひとつです。
マルウェア解析の分野では、この解析手法を「動的解析」と呼びます。

実際のパソコンを再現した隔離環境で解析

この技術を応用して、サニタイザーでファイルを受け渡す前に、隔離環境で実際に動かし解析することで、 そのファイルにマルウェアが含まれていないかどうか、確認することができます。
そのため、これまで解析しづらかったCADファイルや、一太郎形式ファイル等も解析対象にすることができます。


サニタイザーと連携

サンドボックスオプションをサニタイザーと連携することで、通常の無害化処理と同じ感覚で動的解析することができます。
操作方法は、解析したいファイルをanalyzeフォルダにドラッグ&ドロップするだけです。
解析後はresultフォルダにレポートを出力します。
このレポートを見ながら、ファイルを受け渡すか判断します。

解析結果はレポートファイルとして出力


実際に動作させた時の画面の様子も 掲載

左の図はランサムウェア「WannaCry」の解析結果です。身代金要求画面が表示され、実際にランサムウェアが起動していることがわかります。
(隔離環境で実行しているので、外部へ拡散されるおそれはありません。 また解析終了後、この隔離環境は初期化されます。)


リスクに応じて10点満点のスコアを 付与

左の図は脆弱性 CVE-2017-11882が含まれるファイルの解析結果です。
外部との通信を試みており、マルウェアスコアは5.8となっています。