サンドボックス内のマルウェアは実環境を変えられる？

sandboxieでブラウザを仮想化してネットサーフィン中にブラウザの脆弱性が攻撃されると、ネットサーフィンを終了するまではマルウェアが活動を続け、パソコン内の情報が外部に流出する可能性があると教えていただきました。

ふと思ったのですが、このマルウェアの活動には、リバース接続でパソコンを自由に操作されサンドボックス外にウイルスを埋め込まれたり、外部に接続して悪意のあるファイルをサンドボックス外にダウンロードし実行されることも含まれるのでしょうか？

外部流出タイプなら、仮想化したブラウザを終了するとマルウェアも消滅しますが、リバース接続や外部接続でダウンロードし実行するタイプなら実環境も変えられてしまうのでは、と心配になりました。

実環境を変えられると、仮想化したブラウザを終了しても安全ではなくパソコンへの悪影響は続くことになります。

No.1 ベストアンサー 回答者： VDSL 回答日時： 2013/04/13 14:53

こんにちわ。

サンドボックス技術を利用したセキュリティ製品の評価を業務として行っている者です。

サンドボックスは、その上で動かされる実行ファイルがサンドボックスの外に出ることができないからサンドボックスなのであって、サンドボックス自体に致命的な欠陥がない限り、サンドボックスの外に直接影響を及ぼすことはありません。それはファイルの書き込みも例外ではなく、サンドボックス環境で動いている実行ファイルがファイルの読み書きを行う場合、必ずサンドボックス経由になります。

Sandboxieの場合、実行ファイルが書き込んだあらゆるファイルはSandboxieのインストールディレクトリの下に置かれ、その実行環境を削除すると当該ファイルが書き込んだすべてのファイルも削除されますので、Sandboxie自体に致命的な脆弱性があり、その脆弱性を意図的に攻撃するようなマルウェアでもない限りは、Sandboxie終了後にSandboxieの上で実行したファイルが書き込んだ何かが残るようなことはあり得ないはずです。

参考URLを見ても、サンドボックスの中からサンドボックスの外のプログラムにアクセスすることに対する対策は取っているとの記述があるので、安心して利用してください。

参考URL：http://www.sandboxie.com/index.php?FrequentlyAsk …

この回答へのお礼

プロフェッショナルの方に回答頂けるとすごい心強いです。

>参考URLを見ても、サンドボックスの中からサンドボックスの外のプログラムにアクセスすることに対する対策は取っているとの記述があるので、安心して利用してください。


マルウェアのタイプが外部に接続してダウンルードするタイプのものだと、新たにダウンロードされた悪意あるファイルもサンドボックス外ではなくサンドボックス内にダウンロードされるので問題はないというのは直感的に理解できます。


気になるのはマルウェアがリバース接続のタイプで、wikipediaのトロイの木馬-バックドア型の項目を見ると
http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD% …

操作する側はやりたい放題なのですが、これらの操作もすべてサンドボックス内のファイルの変更に終わり、サンドボックス外の実環境を変えることは出来ないのでしょうか？
これだけのことが出来るのに、実環境を変えることが出来ないということがどうも直感的に理解できない状態です。

お礼日時：2013/04/13 23:23