Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 963

サンドボックス / エミュレータ検知

サンドボックス / エミュレータ検知 とは何ですか?

サンドボックス / エミュレータ検知実行環境が解析サンドボックスやエミュレータ、仮想マシンであることを検知し、ペイロードを発火させずに解析を回避するためのマルウェアの反解析技術。

サンドボックス/エミュレータ検知は、マルウェアが自動解析環境(Cuckoo、Joe Sandbox、ANY.RUN、Hatching Triage、FireEye AX、VMware ベースの商用サンドボックス等)を識別し、検出時に静止したり良性に見せかける defense-evasion 行動の一群です。代表的なチェックは VirtualBox/VMware の MAC レンジ、virtio ドライバ、Hyper-V CPUID "Microsoft Hv"、少なすぎるディスク・メモリ、少ない CPU コア、単一ユーザー、最近のファイルが少ない、加速されたマウスの不動、Wireshark/x64dbg/OllyDbg の存在、時間遅延などです。MITRE ATT&CK の T1497(Virtualization/Sandbox Evasion)に体系化されています。防御側は実ユーザー活動を模した強化サンドボックス、ランダムホスト名、長めの検知ウィンドウ、ベアメタルでのデトネーションなどで対抗します。

  1. 01

    プロセス一覧に vmware.exe がある、または Hyper-V CPUID "Microsoft Hv" を読んだ場合に静かに終了するローダー。

  2. 02

    サンドボックスの短い実行枠を超過するため、ランサムウェアが 20 分待ってから悪意ある挙動を始める例。

よくある質問

サンドボックス / エミュレータ検知 とは何ですか?

実行環境が解析サンドボックスやエミュレータ、仮想マシンであることを検知し、ペイロードを発火させずに解析を回避するためのマルウェアの反解析技術。 サイバーセキュリティの 防御と運用 カテゴリに属します。

サンドボックス / エミュレータ検知 とはどういう意味ですか?

実行環境が解析サンドボックスやエミュレータ、仮想マシンであることを検知し、ペイロードを発火させずに解析を回避するためのマルウェアの反解析技術。

サンドボックス / エミュレータ検知 はどのように機能しますか?

サンドボックス/エミュレータ検知は、マルウェアが自動解析環境(Cuckoo、Joe Sandbox、ANY.RUN、Hatching Triage、FireEye AX、VMware ベースの商用サンドボックス等)を識別し、検出時に静止したり良性に見せかける defense-evasion 行動の一群です。代表的なチェックは VirtualBox/VMware の MAC レンジ、virtio ドライバ、Hyper-V CPUID "Microsoft Hv"、少なすぎるディスク・メモリ、少ない CPU コア、単一ユーザー、最近のファイルが少ない、加速されたマウスの不動、Wireshark/x64dbg/OllyDbg の存在、時間遅延などです。MITRE ATT&CK の T1497(Virtualization/Sandbox Evasion)に体系化されています。防御側は実ユーザー活動を模した強化サンドボックス、ランダムホスト名、長めの検知ウィンドウ、ベアメタルでのデトネーションなどで対抗します。

サンドボックス / エミュレータ検知 からどのように防御しますか?

サンドボックス / エミュレータ検知 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

サンドボックス / エミュレータ検知 の別名は何ですか?

一般的な別名: アンチ VM, アンチサンドボックス, VM 認識マルウェア。

関連用語