サンドボックスとは
サンドボックスとは、挙動の不明なソフトウェアの実行環境として用意された、外部へのアクセスが厳しく制限された隔離領域のことです。
悪意のあるソフトウェアは実行した時点でネットワーク経由で感染を広げる可能性があり、ネットワーク隔離された状態で動作確認を行う必要があります。また、セキュア設計としてOSがあるプロセスが他のプロセスに依存しないように実行できることもこのように呼びます。
「このファイル怪しいけど実行するタイミングがない!」というときに、サンドボックス環境に持っていき実行して動作を確認します。
サンドボックスを回避する攻撃はある?
一見、確実とも思えるサンドボックスですが、これはあくまで実行できたらの話です。
サンドボックス環境は、テストのための一時環境であるためにそこまで大きな性能を持つ環境ではありません。もっと言うと、通常使われるパソコンの一部の性能を借りて動いている場合もあります。
そのため、とてつもなく大きな容量のマルウェアなどはそもそも実行できなかったり、悪さをするまですごい時間をかけてくるマルウェアは、検知から逃れる可能性があります。