Officeマクロの静的検出機能の追加

マクロ付きOfficeファイルを送りつける攻撃手法はサイバー攻撃の初期段階に頻繁に利用されていますが、この攻撃を検出し防御できれば、後続の攻撃に発展することはありません。

• 動作前の検出機能

  Officeファイルに埋め込まれているマクロをFFRI yaraiのエンジンがスキャンし、動作する前に検出する機能が追加されます

• 悪意あるコードを検出

  マクロが難読化されている場合にも、難読化の特徴を抽出し、悪意があるコードを検出することが可能になります

• Emotet等の攻撃手法に有効

  Emotetや、それと類似した攻撃手段が今後台頭してくる場合にも有効な防御手段となります

ディープマクロ機能

Officeファイルからマクロを抽出し、一切動作させることなくスキャンすることで、より安全に検出することが可能となりました。また、サイバー攻撃に利用されるマクロは、ウイルス対策ソフトウェアによる検出を回避するため、ほとんどが難読化されています。そこで当社ではプログラムの記述から難読化の特徴を抽出し、悪意を検出する新たな解析技術を開発し、新機能として搭載しました。（特許出願中:特願2021-214691）

機械学習エンジンの機能強化について

これまでの機械学習エンジンは、OS上でプロセスが一定時間動作していた間に実行中のプログラムの特徴から、マルウェアかどうかを検出していました。 3.5.0では機械学習エンジンの検出方式がより洗練・強化されます。プロセスが動作する前に、FFRI yarai側のサンドボックス上でプロセスを仮想的に動作させる仕組みへ移行します。 この仕組みへ移行することで、FFRI yarai全体としてマルウェアが動作する前の検出能力が向上し、より安全な方法でマルウェアを検出することが可能となります。