10x
高速
従来型サンドボックス比
100x
大容量対応
ファイル解析性能
<1 Hour
初期セットアップ完了
即時保護を実現
25,000+
サンドボックススキャン
1日あたりServer
適応型脅威解析の時代の到来
詳細なレポートが必要な場合でも、最高水準の保護を求める場合でも、当社の適応型脅威解析テクノロジーは、スケーラブルなソリューション、柔軟な導入オプション、高いリソース効率を提供し、包括的なマルウェア解析を支援します。
現代の脅威管理における進化する課題への対応
エミュレーションベースの技術を活用し、SOCにおけるアラートの優先順位付けを効率化。セキュリティ基盤全体での動的かつリアルタイムなファイル解析を実現します。インフラへの過度な依存を排除し、リソース負荷を軽減。クラウドネイティブ環境とオンプレミス環境の両方に対応し、重要なシステム環境に最適化された展開をサポートします。
適応型脅威の増加
回避型の攻撃手法が従来の解析手法をすり抜けます
SOCでの対応遅延
非効率なアラート対応により脅威への対策が遅延します
リアルタイム解析の壁
ネットワークレベルでのファイルスキャンが実現できていない
リソース集約型の処理
大量ファイルの処理には大規模なインフラが必要
クラウドネイティブ対応の不足
クラウドとのシームレスな統合に最適化されていない
複雑な導入と保守
高い運用負荷と複雑なセットアップが現場を圧迫
OPSWATのエミュレーションベースサンドボックス技術
高速スキャンと簡単な導入
静的・動的の両面から脅威を解析
柔軟なシステム連携
シンプルな操作と自動化対応
従来型サンドボックスでは対応できない脅威があります
| 従来のサンドボックス | MetaDefender Sandbox | |
|---|---|---|
スピード
| 時間がかかる(1回の分析に5~10分)
| 従来のサンドボックスの最大10倍の高速性
|
スケーラビリティ
| クラウドネイティブではない、ハードウェア(VM)が必要
| 自動スケーリング機能を備えた完全なクラウドネイティブ
|
資源利用
| 高いリソース要件が求められ、変更が困難
| 非常に高いリソース効率で、従来比100倍の処理量に対応
|
検知回避
| デジタルによる識別とカスタム回避手法に対して脆弱
| 適応型実行環境により、高度な解析回避技術を無効化
|
最適なユースケース
| フォレンジック解析およびエクスプロイト攻撃の検出
| スクリプトや文書ファイルなどの最新型脅威に有効、高度な回避型・多層型攻撃への対抗に対応
|
マルウェア解析全体にわたる高速性と高精度を実現
マルウェア解析パイプラインに適応型脅威解析のレイヤーを追加することで、セキュリティ体制を強化し、進化する脅威への対応力を高めます。
脅威の検出
- レピュテーションチェック
- 数ミリ秒で完了
- 入力データを既知の悪性ハッシュやホワイトリストと高速照合
高度な静的解析
- 高速静的スキャン
- 処理時間:数秒以内
- 初期静的解析を1秒未満で実行し、改変手法を回避します。
動的高速スキャン
- 平均処理時間:約10秒
- 軽量な仮想化レイヤー上でエミュレーションを行い、迅速かつ適応型の脅威検出を実現します。
レピュテーションサービスとサンドボックスの高度な静的解析および動的高速スキャンを組み合わせることで、検出精度を最大99.7%まで向上
MetaDefenderのReputation Service APIは、ハッシュ、IP、ドメイン、URLを照合し、サンドボックスはIOC(攻撃指標)を抽出・動的に解析。これらの補完的なテクノロジーが連携することで、ほぼ100%に近い検出率を実現し、堅牢な防御体制を構築します。
※社内ベンチマークに基づくものであり、結果は環境により異なる場合があります。
包括的なサンドボックスレポート
サンプル解析、マルウェアの特定、逆アセンブル、類似性検索など、当社サイバーセキュリティソフトウェアの多彩な機能を網羅的に可視化します。
合成サンプル
このサンプルは、MetaDefender Sandboxの多彩な機能を紹介するために意図的に作成されたものです。
実際のサイバー脅威を模倣し、複数のファイルやファイル形式を相互に埋め込むことで、適応型脅威解析、挙動分析、先進的なセキュリティ機能における本ソリューションの対応力を効果的に示しています。
ジオフェンシング
ジオフェンシングを利用したマルウェア文書は、サイバーセキュリティ上の深刻な脅威となりつつあります。これらの悪意あるファイルは、位置情報に基づくトリガーを用いることで、検出や対策を困難にしています。 しかし、適応型脅威解析は、従来手法とは異なり、マルウェアが期待する位置情報を正確にエミュレーションし、偽装することで、こうした手口を無力化します。このアプローチにより、ジオフェンシング型の脅威に対する防御力を大きく高めることができます。
次のサンプルでは、特定の国でのみ実行を試みるジオフェンシング型マルウェアが確認されていますが、当社の革新的なソリューションは、要求される位置情報をエミュレーションすることでこの制限を回避し、ジオフェンシング型の攻撃に対する優れた対応力を実証しています。
フィッシング検出
不審なウェブサイトを実際にレンダリングし、高度な機械学習エンジンで解析することで、約300のブランドを識別可能です。次の例では、ロシアのウェブサイトが大手ゲームプラットフォーム「Steam」を装っている様子をご確認いただけます。当社のソリューションは、偽サイトの内容を正規URLと照合することで、このような詐欺的手口を迅速に特定し、デジタル資産や個人情報の保護を実現します。
オフラインURLレピュテーション
オフラインURL検出用の機械学習モデルは、悪意のあるリンクによる脅威を特定・軽減するための新たな防御レイヤーを提供します。信頼性の高いベンダーによって「安全」または「悪性」とラベル付けされた数十万件規模のURLデータセットを活用し、機械学習技術によって不審なURLを高精度に検出します。
この機能は、オンラインでのレピュテーション参照が利用できないエアギャップ環境において、特に有効です。
サンプルからのマルウェア設定抽出
次のサンプルは、UPXパッキング技術を用いて隠蔽されたマルウェアです。検出や防御の回避を試みていたものの、当社の解析により変換に成功し、その正体がトロイの木馬であることを突き止めました。さらに、マルウェアの設定情報を抽出し、その背後にある悪意の目的を明らかにするとともに、貴重なIOC(攻撃指標)も取得しました。
類似性検索
サンドボックスによる類似性検索機能を活用し、既知のマルウェアと極めて類似したファイルを検出しました。注目すべき点として、このファイルは以前「無害」と判定されており、セキュリティ評価における見逃しの可能性が明らかとなりました。この発見により、見過ごされていた脅威を特定し、対処することが可能になります。
類似性検索は、同一マルウェアや攻撃キャンペーンに関連するサンプルを特定するうえで非常に有効です。新たなIOCや脅威活動に関する重要な情報の取得が可能となり、脅威調査およびハンティングに大きく貢献します。
ネイティブ実行ファイル
Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.
.NET実行ファイル
解析対象のサンプルは、.NET Frameworkを用いて構築されたものでした。CILの表示は行っていませんが、逆コンパイル処理により、文字列、レジストリ情報、APIコールなどの注目すべき情報を抽出・提示しています。
さらに、.NETメタデータを解析することで、.NET特有の関数やリソースを特定します。メソッドやクラス、埋め込みリソースなど、アセンブリ構造に関する詳細情報を取得でき、.NETアプリケーションの挙動や構造を解析するうえで重要な手がかりとなります。
シェルコードのエミュレーション
多くのアプリケーションエクスプロイトは、最終的なペイロードを生のバイナリ形式で送信しますが、これは通常のペイロード解析にとって障害となり得ます。当社のシェルコードエミュレーションにより、こうした最終ペイロードの挙動を特定・解析することが可能です。たとえば、広く悪用されているOfficeの数式エディタの脆弱性に関連するケースでは、関連するIOC(攻撃指標)の取得にもつながります。
高度に変換されたVBAマクロ
難読化されたVBAマクロは、アクティブな脅威に迅速に対応するうえで大きな課題となります。可読性の低いコードは、解析と脅威の理解を極めて複雑にし、時間と労力を大きく要します。当社の最先端VBAエミュレーション技術は、こうした課題を克服し、難読化されたVBAマクロを数秒で包括的に解析し、その機能に関する明確なインサイトを提供します。
今回解析したサンプルは、.NET DLLファイルとLNKファイルをドロップして実行する、高度に難読化されたVBAコードを含むExcel文書です。VBAエミュレーションを通じて、MetaDefender Sandboxは起動されたプロセスや主な復号関数を特定し、暗号化・埋め込みされていた文字列の抽出やドロップされたファイルの保存も自動で実行します。マルウェアの主目的が迅速に明らかとなり、さらなる脅威分析への足がかりとなります。
タスクスケジューラを悪用したサンドボックス回避
Windowsのタスクスケジューラを利用してマルウェアの実行を遅延させる手法は、近年の脅威において確認されているサンドボックス回避テクニックです。解析時間の短い従来のサンドボックス環境の特性を突いた回避手法であり、実行の遅延によって悪意ある挙動を検出させないことを目的としています。
次のサンプルは、難読化されたVBScriptで構成されており、マルウェアのペイロードをダウンロード後、67分後に実行するようスケジュールされたタスクを作成します。従来のサンドボックスでは数分程度しか実行が継続されないため、こうした挙動は検出されません。しかし、当社のVBScriptエミュレータはこの回避技術を検知・克服し、実行環境を適応的に維持することでさらなる解析を継続。12秒以内に完全なレポートを取得し、悪意ある挙動を確実に明らかにします。
.NET リフレクション
.NETリフレクションは、.NETフレームワークが提供する機能で、プログラムが実行時に.NETファイルの構造や挙動を動的に解析・操作できるようにします。アセンブリやモジュール、型の調査だけでなく、型のインスタンス化、メソッドの呼び出し、フィールドやプロパティへのアクセスも可能にします。
マルウェアはこの機能を悪用し、コンパイル時に参照されていないアセンブリからコードを動的に読み込み・実行することで、リモートサーバーやファイル内に隠された追加のペイロードをディスクに書き込むことなく実行し、検知されにくくなります。
本ケースでは、解析対象のVBScriptが、Windowsレジストリ内に格納されたバイト列から.NETアセンブリを直接メモリ上に読み込み、実行している様子が確認されました。
PEリソース内に格納されたXOR暗号化ペイロードの復号
この機能により、PEリソースに暗号化された隠れたアーティファクトを可視化することが可能になります。悪意あるアーティファクトは、検出回避や挙動の隠蔽を目的として暗号化されていることが多く、その中にはC2情報や追加ペイロードなど、極めて重要なデータが含まれているケースもあります。これを抽出することで、サンドボックスはより深いスキャンを実行し、価値の高いIOCを特定できる可能性が大幅に高まります。
本サンプルでは、XORアルゴリズムを用いてアーティファクトが暗号化されており、検出回避のためのシンプルながら有効な手法が使われています。暗号化データのパターンを解析することで、暗号鍵を推測し、隠された情報を復号することが可能になります。
サンドボックス活用の新たな可能性を解き放つ
OPSWATは、適応型脅威解析に基づくサンドボックス技術をセキュリティセンターの枠を超えて、ネットワークの境界領域まで拡張しています。
ICAPとサンドボックス
ICAP経由でのWebアクセスおよびファイル転送に対するマルウェアスキャン
Kioskとサンドボックス
ユーティリティ、医療、防衛分野における周辺機器・リムーバブルメディア由来の脅威から環境を保護
ストレージセキュリティとサンドボックス
ネットワーク上で転送されるすべてのファイルをスキャン・無害化し、未知の脅威に対応
あらゆる分野に最適化された専用ソリューション
MetaDefender Sandbox に関する詳細情報はこちら
MetaDefender Sandbox よくあるご質問
エミュレーションベースの優位性
MetaDefender Sandboxは、適応型サンドボックス技術を採用しており、従来の仮想マシンに依存したサンドボックスに比べて高速かつリソース効率に優れています。多くの従来型サンドボックスが高コストかつ保守が複雑であるのに対し、MetaDefender Sandboxはクラウドネイティブ設計により柔軟なクラウド展開にも対応しています。
エミュレーションベースの適応型アプローチにより、MetaDefender Sandboxは必要な環境や条件に応じて実行経路を柔軟に変更し、通常は検出されないマルウェアの挙動も安全に可視化できます。ジオフェンシングのようにコードが位置情報を参照する場合でも、限定的な仮想マシンとは異なり、複数の位置情報を動的にエミュレートすることで、こうした回避技術を突破します。
導入オプション
MetaDefender Sandboxは、オンプレミス、クラウド、エアギャップ環境など、柔軟な導入形態に対応しており、さまざまなセキュリティ要件やコンプライアンスに対応可能です。
クラウド環境での導入により、組織は迅速なスケーリングとリアルタイムな脅威対策の統合が可能になります。サンドボックスをネットワークの境界領域に展開できるため、SOC内に限定されがちな従来型サンドボックスとは異なり、高速かつインラインでの脅威対応が可能となり、全体のセキュリティ対応力が向上します。
はい。MetaDefender Sandboxは高セキュリティ環境向けに設計されており、オフラインでのアップデートや構成変更をサポートすることで、エアギャップ環境でも効果的に運用できます。
統合とユーザビリティ
この統合により機能性が強化され、より広範な脅威インテリジェンスの活用が可能になります。さらに、ICAPやメールスキャンなどの各種セキュリティプロトコルやサービスとの連携にも対応し、総合的なセキュリティ対策を実現します。
MetaDefender Sandboxは、Webセキュリティ向けのICAP連携、メール添付ファイルの安全性を確保するためのメール統合など、幅広いセキュリティインフラとのシームレスな統合に対応しています。
はい。MetaDefender Sandboxは多様な構成オプションを備えており、組織のセキュリティ要件や運用ワークフローに応じた柔軟なカスタマイズが可能です。
コストと投資
導入規模やお客様のニーズに応じて価格は変動します。サブスクリプション契約およびサブライセンス(OEM)オプションの両方をご用意しています。
はい。MetaDefender Sandbox導入は、高度なマルウェア検知と対応能力により、セキュリティ侵害による多大な損失を未然に防ぎ、大幅なコスト削減につながります。
従来型サンドボックスに比べて維持管理コストは低く、脅威検知エンジンやソフトウェアの定期的なアップデートのみで運用可能です。クラウド導入の場合は、この更新は自動で管理されます。
テクニカルサポートと保守
OPSWATは、エアギャップ環境向けにカスタマイズされたインストール手順を含む、専門的なサポート体制を提供しています。
有効な脅威検出を維持するため、定期的なアップデートが必要です。OPSWATは、オンプレミスやエアギャップ環境向けにも最適化された更新手順を提供し、効率的な保守を支援します。
OPSWATでは、オンラインチュートリアル、ウェビナー、詳細なユーザーガイドなどを提供し、スタッフの習熟と運用定着を支援しています。
はい。MetaDefender Sandboxには試用期間が設定されており、すべての機能にアクセス可能です。導入前に自社環境との適合性を確認することができます。
