Sandboxってのは、
例えばメールに添付された怪しいファイルを検知し、
仮想環境の中でファイルを実行させ、
どういった振る舞いをするかを調べるためのセキュリティデバイス
(合ってるのかな)
悪意ある攻撃者が、日本のある企業にマルウェアを感染させようと考えたときに、
その企業の従業員に向けて、一見怪しげの無い内容のメールを送りつけ、
それを受信した人がうっかり開いてしまえば、攻撃者の思うつぼ
Sandboxはそういう怪しいファイルを検知して、危険かどうかを判断するために(遮断もしてくれるのかな?)多くの企業で導入されている
しかしこのSandbox怪しいファイルを伴う通信を検知してしまうもんだから
例えば「failure notice」とか「Unreachable」といった件名に添付されているファイルも
検知してしまう
上記の件名の場合、ほぼほぼ「配信不能通知」として送り主に送り返されているはずだ。
なので例えば海外の攻撃者が悪意あるメールを送りつけて、該当する宛先がターゲットに無い、もしくは指定ドメイン以外のアドレスが拒否されている場合は送り主に「配信不能」として送り返されるはず。
海外の送り主:200.XX.XX.1
標的メールサーバ:192.168.1.1
もちろん海外からのメール通信だからグローバルIPアドレスから送られてくる
200.XX.XX.1 → 192.168.1.1
そして配信不能の場合はその逆
192.168.1.1 → 200.XX.XX.1
(返送先メールサーバの宛先IPアドレスが異なることもある)
そしてSandboxの配置と設定によっては、後者の通信を検知してしまうこともある!
その通信自体に危険性はないのに!
しかもまだあるよ
この不審なファイルが添付された配信不能のメール通信がプライベートIP間で
行われていることもある
DMZメールサーバ:192.168.1.25
社内メールサーバ:192.168.2.25
192.168.1.25 (不審なファイルを伴う配信不能メール) → 192.168.2.25
そしてもちろん、Sandboxはその通信も検知してしまう!
なんで!?!?
配信不能なのに!
てか
1.なんでそもそも配信不能メールに不審なファイルが添付されたままなのか
2.不審ファイルを伴う配信不能メールの通信がプライベートIPアドレス間で発生しているのはなぜなのか
分からんだらけや
まぁメールサーバの構築なんて、LPICの試験範囲内でしかやったことないし、実際の詳しい挙動は分からないし、誰に聞けば正しい答えが返ってくるのかも分からない
この謎が解決できる日はくるのだろうか