特集

FFRI yarai 新バージョンの機能強化ポイント(Ver 3.3)

FFRI yarai の新バージョンVer 3.3 (2019年11月リリース)では、大きく2つの機能強化ポイントがあります。

  1. 防御エンジン強化により、最新の脅威に対するカバレッジの拡大
  2. 新機能「クラウド連携機能」で、検出精度の向上と同時に、検出後の運用負荷を低減

防御エンジン強化により、最新の脅威に対するカバレッジの拡大

まず、防御エンジンの強化内容についてですが、近年の攻撃手段として定着しつつある、ファイルレスマルウェアやランサムウェア対策のさらなる強化、脆弱性攻撃対策強化、巧妙な耐解析機能をもったマルウェアに対抗する検出ロジックなどの様々な新機能を搭載しています。
今回のエンジン強化のポイントとしては、脅威のトレンドとして存在感を増している正規プロセスに紛れるようなステルス性の高いマルウェア攻撃に対して、様々な視点での防御範囲を拡大していることです。
近年では、マルウェアがセキュリティ対策ソリューションの検知を逃れるために、攻撃プロセスを正規ツールに紛れ込ませたり、実行ファイルを使わない手法(ファイルレス)のように巧妙に攻撃を隠蔽することが増えています。こういった証跡を捕捉しにくい攻撃は、FFRI yaraiのようなリアルタイムに防御を行う対策が効果的です。
例えば、以下の機能追加・強化内容が正規プロセスの中で動くようなマルウェアの検知回避手法を検出し、防御します。

  • .lnkマルウェア対策強化
  • 監視対象の拡充(.iqyファイル, .slkファイル, .wizファイル)
  • スクリプトを利用するMicrosoft Office の脆弱性攻撃対策
  • コマンドラインの難読化(DOSfuscation)対策強化
  • DLLサイドローディング、DLLドロッパー対策強化
  • コードインジェクション対策強化

さらに、各防御エンジンの既存検出ロジックもブラッシュアップし、パフォーマンスの改善や検出精度を向上しています。

  • ZDPエンジン

    • 脆弱性攻撃対策強化

      Use After Free脆弱性対策強化
       

  • Static分析エンジン

    • ファイルレス
      マルウェアの対策強化

      .lnkマルウェア対策強化

  • 機械学習エンジン

    • 動作・検知性能
      安定性の向上

       

    HIPSエンジン

  • 監視対象の拡張子を拡充

    流行する攻撃に悪用される拡張子(.iqyファイル、.slkファイル、.wizファイル)を監視対象に追加

  • Office製品の保護強化

    スクリプトを利用する
    Microsoft Officeの脆弱性攻撃対策

  • 悪意ある挙動が難読化されたマルウェアの対策強化

    コマンドラインの難読化
    (DOSfuscation)対策強化

  • DLLを悪用する攻撃手法の対策強化

    DLLサイドローディング、DLLドロッパー対策強化

  • Internet Explorer、エクスプローラーを悪用する攻撃手法の対策強化

    コードインジェクション対策強化

  • ランサムウェア対策強化

    ロジックの見直しによる検出精度の向上

  • 耐解析機能を持つマルウェア対策

    解析に耐性があるマルウェアの対策強化

  • パフォーマンス改善

    Windows Defenderと同居時のパフォーマンス向上等

新機能「クラウド連携機能」で、検出精度の向上と同時に、検出後の運用負荷を低減

2点目は、新機能「クラウド連携機能」です。
本機能は、世界中から収集した脅威情報のデータベースを持つ、FFRIセキュリティ独自のクラウドと連携することにより、FFRI yarai の検出精度を高めることが可能になります。

そもそも、FFRI yarai はローカルの防御エンジンのみでマルウェアの検出が可能であり、オフライン環境であっても問題なく運用可能です。さらに、このクラウド連携機能を利用することで、ホワイトリストチューニングの対応コストを低減させられるメリットがあります。

FFRI yarai は振る舞い検知の特性上、導入の初期段階では通常業務で使用している正常なアプリケーションの振る舞いを過剰に検出しないかを見極め、必要に応じて例外リスト(ホワイトリスト)に登録する必要があります。
これまで、社内からの問合せやその確認作業を管理者の手で行う必要がありましたが、「クラウド連携機能」によって自動化させた事で初期構築時等の例外リスト登録作業負荷を大幅に低減させました。

パターンマッチングに依らない、いわゆる次世代エンドポイントセキュリティ製品を導入する際には、検出後の対応にかかるコストが一つの検討ポイントになります。例えば、EDRであれば、基本的には事後対応を前提としているため、それぞれの検知イベントに対して適切なレスポンス対応が求められることになります。
またNGEPP(NGAV)においても検出後のマルウェアが本当に悪性のマルウェアであるかの判断を行う必要があります。

FFRI yarai は新機能「クラウド連携機能」を含めて、以下のような検出後の対応コストを低減する仕組みが用意されています。

  • クラウド連携機能
    • マルウェアの検出精度を上げることにより、例外リスト登録作業を削減
  • 検体自動判定システム
    • 実際に検出されたマルウェアについても、管理コンソール上から自動でFFRIセキュリティのクラウドに問い合わせが可能
  • サポート体制
    • ご購入元の販売店にお問い合わせいただくことで、日本国内のFFRIセキュリティサポートでマルウェアの白黒判定を回答

次世代エンドポイントセキュリティ製品の導入選定においては、マルウェア検出範囲の網羅性を追求することと同時に、過検出の対応を含めた検出後の対応コストについても検討しておくことが必要です。
FFRI yarai は、未知マルウェアの検出能力向上と合わせて、運用性の向上についても同時に追求しており、コストメリットのあるエンドポイントセキュリティを実現します。

FFRI yaraiのお問い合わせ

関連記事

次世代エンドポイントセキュリティFFRI yarai製品概要

FFRIリソースページ

FFRIメールマガジン

お問い合わせ

特集一覧

特集一覧TOP

サプライチェーン上で埋め込まれるバックドア検査の必要性

FFRI yarai 3.5の新機能とは

FFRI yarai Home and Business Edition Version 1.4のポイント

いわゆる、CDM(Continuous Diagnostics and Mitigation)とは

FFRI yarai 3.4の新機能について

標的型・暴露型のランサムウェア

あなたの会社は大丈夫? 忍び寄るファイルレスマルウェア

テレワーク導入時に検討すべき次世代エンドポイントセキュリティとは

FFRI yarai 新バージョンの機能強化ポイント(Ver 3.3)

Windows 10における理想的なウイルス対策とは

エンドポイントセキュリティが大切な理由

事業停止のリスクも。再び活発化したランサムウェアに注意

マルウェアから保護するマルチエンジン型エンドポイントセキュリティとは

標的は中小企業!? サプライチェーン攻撃

今も潜んでいるかも? 標的型攻撃の脅威

政府が求める不正プログラム対策の要件とは?

MITB攻撃の脅威

ゼロトラストを支えるエンドポイントセキュリティ

標的型攻撃の脅威

人知を超えた検出ロジックで未知のマルウェアを検出する第5のエンジン

[CODE:F]未知の脅威の「先読み防御」技術

今までは守られていなかった「未知の脅威」の守り方

未知の脅威に対抗する「先読み対策」とは

特集

HOME »FFRIセキュリティ BLOG » FFRI yarai 新バージョンの機能強化ポイント(Ver 3.3)

pagetop