FFRI yarai 3.5の新機能とは
エンジンの強化
Officeマクロの静的検出機能の追加
マクロ付きOfficeファイルを送りつける攻撃手法はサイバー攻撃の初期段階に頻繁に利用されていますが、この攻撃を検出し防御できれば、後続の攻撃に発展することはありません。-
動作前の検出機能
Officeファイルに埋め込まれているマクロをFFRI yaraiのエンジンがスキャンし、動作する前に検出する機能が追加されます -
悪意あるコードを検出
マクロが難読化されている場合にも、難読化の特徴を抽出し、悪意があるコードを検出することが可能になります -
Emotet等の攻撃手法に有効
Emotetや、それと類似した攻撃手段が今後台頭してくる場合にも有効な防御手段となります
ディープマクロ機能
Officeファイルからマクロを抽出し、一切動作させることなくスキャンすることで、より安全に検出することが可能となりました。また、サイバー攻撃に利用されるマクロは、ウイルス対策ソフトウェアによる検出を回避するため、ほとんどが難読化されています。そこで当社ではプログラムの記述から難読化の特徴を抽出し、悪意を検出する新たな解析技術を開発し、新機能として搭載しました。(特許出願中:特願2021-214691)
機械学習エンジンの機能強化について
これまでの機械学習エンジンは、OS上でプロセスが一定時間動作していた間に実行中のプログラムの特徴から、マルウェアかどうかを検出していました。 3.5.0では機械学習エンジンの検出方式がより洗練・強化されます。プロセスが動作する前に、FFRI yarai側のサンドボックス上でプロセスを仮想的に動作させる仕組みへ移行します。 この仕組みへ移行することで、FFRI yarai全体としてマルウェアが動作する前の検出能力が向上し、より安全な方法でマルウェアを検出することが可能となります。
検出マルウェアの可視化機能
- FFRI yaraiが検出・ブロックしたマルウェアによって何が発生したのか、管理者がグラフィカルな画面で確認し、より簡単に追跡することができる機能を追加します
- 動的エンジンで検出した場合、マルウェアのファイルのオブジェクト情報、マルウェアが生成したプロセスの情報、マルウェアの通信先の情報などが表示されます
- この機能によりマルウェアの詳細な調査、問題の状況説明や資料作成といった運用業務を、より効率的に支援します
FFRI AMCの外部連携機能(syslog)の強化
FFRI yaraiの検出したマルウェアの情報を出力する機能(Syslog送信機能)を強化し、FFRI AMCの通知設定にsyslogを送信する機能を追加します。 これにより、既存SIEM(※)へFFRI yaraiの検出情報をスムーズに連携することが可能となります。
※Security Information and Event Management。PC端末やエンドポイントセキュリティや、ファイアーウォール、IDSなどのセキュリティ情報を集約し、分析・異常検知などを行う仕組み動画紹介(登録が必要です)
※すでにリソースページに登録されている方はメールに記載されているURLから閲覧できます。
「FFRI yarai エンジン開発部長が解説!検出から対処まで。FFRI yarai でできるサイバー攻撃対策」
FFRI yarai Ver3.5の各種新機能をご紹介し、検出から対処までの機能メリットをお伝えします。 当社のエンジン開発部長が昨今のサイバー攻撃に対し、FFRI yarai でどのように対応していくのか、より深くより分かりやすくお話しいたします。