数年前からUTMにはサンドボックス機能が搭載されることが一般的となりました。サンドボックスとは、仮想環境で怪しいファイルを実行し、その振る舞いを元に悪意のあるソフトウェアか否かを判断できます。振る舞いから検知できるため、シグネチャベースで見逃したファイルを判定でき、仮想環境で実行しているため、たとえ悪意のあるソフトウェアであっても影響はなく、一見いいこと尽くめに聞こえますが、注意点があります。

【サンボドックス機能の注意点】

まず大前提としてサンドボックス機能は基本的に検知しかしません。マルウェアと判断しても除去はされず、それがメールの添付ファイルであればユーザのメールボックスに到達します。さらに、解析時間が必要なので検知から到達までにはタイムラグが発生し、場合によってはユーザに到達してからしばらくの間検知されません。検知時間はサンドボックスやファイル種別に依存し、一般的には数分～数十分、場合によっては数日かかるものも存在します。 

また、いたちごっこになってしまいますが、マルウェアも年々進歩しており、アンチサンドボックス機能を持っているものも多数存在します。たとえば以下のような機能を使ってサンドボックス環境を回避します。

・Macアドレスの検知

　VMwareやVirtualboxでは既知のMacアドレスが使用されます。

　このようなMacアドレスが使用されていた場合、マルウェアとしての振る舞いを

　停止します。

・プロセスの検知

　こちらものMacアドレス同様です、VmwareService.exeなどのプロセスが存在する

　場合、マルウェアとしての振る舞いを停止します。

・実行環境の確認

　たとえば一般的にインストールされているアプリケーションが存在しなかったり、

　通常使用しないような解像度が適用されている場合、サンドボックス環境のリソース

　消費率を下げている可能性が高いため、マルウェアとしての振る舞いを停止します。

  #一般的にサンドボックス機能のチューニングは実施できませんが、

　 トレンドマイクロ製品は個別チューニングが出来るようです。

【今後の対応】

サンドボックスはセキュリティ対策として有用ですが、それだけではセキュリティ対策としては不十分であり、たとえばクライアントにインストールするようなエンドポイントセキュリティを導入するなど、多層防御が必須です。エンドポイントセキュリティもなるべく多層化し、特にアンチウィルスとランサムウェア対策は別々に考えたほうが良いです。最近ではランサムウェアに特化した製品が存在し、たとえば一般的にランサムウェアが該当端末が最新/最古にアクセスしたファイルを暗号化するケースが多いです。そこにダミーファイルを用意し、ダミーファイルが暗号化されたことをトリガーに該当プロセスを停止するような機能もあります。また、一般的にランサムウェアはccサーバから暗号キーを取得し、暗号化を開始するため、ccサーバとの通信をブロックし、暗号化を防ぐことが出来ます。 

＃ファイル自体に暗号キーを含めてしまうと、解析/公表される可能性があるためです。