FFRI yarai 3.6の新機能について
新機能「IOAレコード」機能
マルウェアを利用したサイバー攻撃では、実際にマルウェアが動作するまでいくつかのプロセスがあることがほとんどです。このような、サイバー攻撃者が攻撃を行う際の特徴的な行動や、マルウェアなどのプログラムの動作のパターン情報はIOA(Indicator Of Attack)と呼ばれ、IOA情報を把握・分析することは、攻撃を初期段階で検出・防御することに役立ちます。従来のFFRI yaraiは、マルウェアを検出した際の最後の動作がログとして出力されていましたが、IOAレコード機能を利用すると、サイバー攻撃として利用される特定の動作を記録し、マルウェアがどのようなプロセスで攻撃を行っていたのかを遡って把握することができます。これらの情報は、インシデントレスポンスに役立つだけでなく、セキュリティ体制の強化にも役立ちます。
WebAPI機能
現代社会においてセキュリティソリューションには多数の選択肢があり、複数の製品やサービスを導入しているユーザーも珍しくありません。こうした環境では、情報が複数箇所に分散しているため日々の運用やインシデントレスポンスが煩雑になりがちです。本バージョンで追加されたWebAPI機能では、従来のブラウザを介したクライアント及びマルウェア情報の操作・閲覧だけでなく、クライアント情報やマルウェア情報、IOAレコードの情報をAPIを使用して取得することが可能となりました。これにより、ユーザーは自社のセキュリティソリューションとの連携強化を図ることが容易となり、運用負荷を低減します。
不正停止検出機能
近年の標的型攻撃と見られるサイバー攻撃では、セキュリティ製品を強制的に停止・無効化することにより、その後の攻撃を容易にする手法も確認されています。強制停止には、より防御されにくいように正規のプログラムを装う攻撃もあり、十分な対策が必要となっています。FFRI yaraiは旧バージョンにおいても強制停止後の復旧機能を搭載していましたが、本バージョンでは、プログラムが正規・非正規か問わず、FFRI yaraiの強制停止を試みる動作を検出し、FFRI yaraiを不正停止から保護します。
各エンジンの強化
F検出ロジックの更新や、ATT&CKをカバーする検出ロジックを強化することで、静的検出・動的検出とも検出精度が向上しました。各エンジンにおける主な更新は以下のとおりです。
HIPSエンジン
脆弱性情報データベースを管理する米国のMITRE Corporationが提唱する、攻撃者の手口をまとめたナレッジベースであるATT&CKを新たにカバーすることで、検出精度が向上
Static分析エンジン
Static機械学習機能のモデル更新により、最新のマルウェアを含む多様なマルウェアに対応
Sandboxエンジン
エミュレーション精度が向上し、スキャンの速度・正確性が向上
機械学習エンジン
最新の検体を含むモデルへと更新したほか、他のエンジンとの連携により、更に精度が向上