FFRI yarai 新バージョンの機能強化ポイント(Ver 3.3)

FFRI yarai の新バージョンVer 3.3 (2019年11月リリース)では、大きく2つの機能強化ポイントがあります。

防御エンジン強化により、最新の脅威に対するカバレッジの拡大

まず、防御エンジンの強化内容についてですが、近年の攻撃手段として定着しつつある、ファイルレスマルウェアやランサムウェア対策のさらなる強化、脆弱性攻撃対策強化、巧妙な耐解析機能をもったマルウェアに対抗する検出ロジックなどの様々な新機能を搭載しています。
今回のエンジン強化のポイントとしては、脅威のトレンドとして存在感を増している正規プロセスに紛れるようなステルス性の高いマルウェア攻撃に対して、様々な視点での防御範囲を拡大していることです。
近年では、マルウェアがセキュリティ対策ソリューションの検知を逃れるために、攻撃プロセスを正規ツールに紛れ込ませたり、実行ファイルを使わない手法(ファイルレス)のように巧妙に攻撃を隠蔽することが増えています。こういった証跡を捕捉しにくい攻撃は、FFRI yaraiのようなリアルタイムに防御を行う対策が効果的です。
例えば、以下の機能追加・強化内容が正規プロセスの中で動くようなマルウェアの検知回避手法を検出し、防御します。

  • .lnkマルウェア対策強化
  • 監視対象の拡充(.iqyファイル, .slkファイル, .wizファイル)
  • スクリプトを利用するMicrosoft Office の脆弱性攻撃対策
  • コマンドラインの難読化(DOSfuscation)対策強化
  • DLLサイドローディング、DLLドロッパー対策強化
  • コードインジェクション対策強化

さらに、各防御エンジンの既存検出ロジックもブラッシュアップし、パフォーマンスの改善や検出精度を向上しています。

  • ZDPエンジン

    • 脆弱性攻撃対策強化

      Use After Free脆弱性対策強化
       

  • Static分析エンジン

    • ファイルレス
      マルウェアの対策強化

      .lnkマルウェア対策強化

  • 機械学習エンジン

    • 動作・検知性能
      安定性の向上

       

    HIPSエンジン

  • 監視対象の拡張子を拡充

    流行する攻撃に悪用される拡張子(.iqyファイル、.slkファイル、.wizファイル)を監視対象に追加

  • Office製品の保護強化

    スクリプトを利用する
    Microsoft Officeの脆弱性攻撃対策

  • 悪意ある挙動が難読化されたマルウェアの対策強化

    コマンドラインの難読化
    (DOSfuscation)対策強化

  • DLLを悪用する攻撃手法の対策強化

    DLLサイドローディング、DLLドロッパー対策強化

  • Internet Explorer、エクスプローラーを悪用する攻撃手法の対策強化

    コードインジェクション対策強化

  • ランサムウェア対策強化

    ロジックの見直しによる検出精度の向上

  • 耐解析機能を持つマルウェア対策

    解析に耐性があるマルウェアの対策強化

  • パフォーマンス改善

    Windows Defenderと同居時のパフォーマンス向上等

新機能「クラウド連携機能」で、検出精度の向上と同時に、検出後の運用負荷を低減

2点目は、新機能「クラウド連携機能」です。
本機能は、世界中から収集した脅威情報のデータベースを持つ、FFRI独自のクラウドと連携することにより、FFRI yarai の検出精度を高めることが可能になります。

そもそも、FFRI yarai はローカルの防御エンジンのみでマルウェアの検出が可能であり、オフライン環境であっても問題なく運用可能です。さらに、このクラウド連携機能を利用することで、ホワイトリストチューニングの対応コストを低減させられるメリットがあります。

FFRI yarai は振る舞い検知の特性上、導入の初期段階では通常業務で使用している正常なアプリケーションの振る舞いを過剰に検出しないかを見極め、必要に応じて例外リスト(ホワイトリスト)に登録する必要があります。
これまで、社内からの問合せやその確認作業を管理者の手で行う必要がありましたが、「クラウド連携機能」によって自動化させた事で初期構築時等の例外リスト登録作業負荷を大幅に低減させました。

パターンマッチングに依らない、いわゆる次世代エンドポイントセキュリティ製品を導入する際には、検出後の対応にかかるコストが一つの検討ポイントになります。例えば、EDRであれば、基本的には事後対応を前提としているため、それぞれの検知イベントに対して適切なレスポンス対応が求められることになります。
またNGEPP(NGAV)においても検出後のマルウェアが本当に悪性のマルウェアであるかの判断を行う必要があります。

FFRI yarai は新機能「クラウド連携機能」を含めて、以下のような検出後の対応コストを低減する仕組みが用意されています。

  • クラウド連携機能
    • マルウェアの検出精度を上げることにより、例外リスト登録作業を削減
  • 過検出判定機能
    • 実際に検出されたマルウェアについても、管理コンソール上から自動でFFRIのクラウドに問い合わせが可能
  • サポート体制
    • ご購入元の販売店にお問い合わせいただくことで、日本国内のFFRIサポートでマルウェアの白黒判定を回答

次世代エンドポイントセキュリティ製品の導入選定においては、マルウェア検出範囲の網羅性を追求することと同時に、過検出の対応を含めた検出後の対応コストについても検討しておくことが必要です。
FFRI yarai は、未知マルウェアの検出能力向上と合わせて、運用性の向上についても同時に追求しており、コストメリットのあるエンドポイントセキュリティを実現します。

FFRI yaraiのお問い合わせ

次世代エンドポイントセキュリティ特集一覧

次世代エンドポイントセキュリティ特集


法人向け 次世代エンドポイント製品

Yarai Yarai

エンドポイントでの多層防御により未知の脅威をブロック

FFRI yaraiは、パターンファイルに依存しない「先読み防御」技術を徹底的に追及した次世代エンドポイントセキュリティです。 標的型攻撃のトリガーとなる未知の脆弱性攻撃や、未知のマルウェア攻撃からシステムを保護します。

次世代エンドポイントセキュリティ
FFRI yarai製品詳細

お問い合わせ

個人・小規模事業者向け 次世代エンドポイント製品

FFRI yarai Home and Business Edition FFRI yarai Home and Business Edition

「先読み防御」技術で仕事もプライベートも保護

次世代エンドポイントセキュリティFFRI yarai Home and Business Editionは、従来のパターンマッチング型ウイルス対策ソフトでは防御することが難しかった未知の脅威を、独自の「先読み防御」技術を用いた多層構造の検出エンジンで防御する個人・小規模事業者向けセキュリティソフトです。

次世代エンドポイントセキュリティ
FFRI yarai Home and Business Edition
製品詳細

pagetop