JPCERT/CC、カスタマイズできるマルウェアスキャンツールを公開

今回は「JPCERT/CC、カスタマイズできるマルウェアスキャンツールを公開」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 JPCERT コーティネーションセンター(JPCERT/CC)は、カスタマイズした「YARA」(マルウェア解析、検知ツール)のルールを使って、インシデント対応などの際にマルウェアの有無を調査できるツール「YAMA」をGitHubに公開した。難読化されたマルウェアやファイルレス型にも対応するという。

 YAMAは、動作中の「Windows」コンピューター上のメモリーでYARAによるスキャンを実施する。ユーザーがカスタマイズしたYARAルールを記述すれば、ユーザーニーズに合わせたマルウェアスキャンを実行できる。インストールが不要で、スキャン結果をテキストもしくはJSON形式で出力する。

 JPCERT/CCは、現代のサイバー攻撃では、ファイルレスマルウェア(ファイル形式ではない不正プログラム)や、暗号化技術を複雑に多用するなどの方法で難読化したマルウェアが使われ、ファイル単体で悪意の有無を判断することが難しいと解説。こうした不正プログラムの検出には、AIやサンドボックス(仮想コンピューティング環境)、EDR(エンドポイント脅威検知・対応)などのツールで不審な挙動を確認する方法が一般的だが、コンピューターを1台ずつ手動で調査する必要があり、ネットワーク内部に潜伏している可能性があるマルウェアの有無を網羅的に調査するには手間がかかるとする。

 また、YARAルールを使ってファイルやコンピューターの個別のプロセスをスキャンすることができるものの、現状のツールではライブメモリー全体を調査することができないという。JPCERT/CCは、こうしたことを踏まえてインシデント対応時におけるマルウェア調査を効率的に行えるようYAMAを公開したという。

 使い方は、まずGitHubでYAMAのリポジトリーをフォークし、「GitHub Actions」からYAMAスキャナーをコンパイルする。次に、「rsrc/ioc/rule.yara」のファイルでYARAルールをカスタマイズし、コミットする。この後、ビルドされたYAMAスキャナーをダウンロードする。

 ユーザーが作成するYAMAスキャナーはシングルバイナリーのため、調査対象のコンピューターにコピーするだけで使用できる。なお、管理者権限で動作しているプロセスをスキャンするには、YAMAスキャナーを管理者権限で実行する必要がある。また、ログをEvent Logとして出力する場合は、別途「Event Message File」をインストールしておく。

 JPCERT/CCは、YAMAの開発に協力した谷知亮氏に謝辞を表明し、今後はJPCERT/CC独自のYARAルールを搭載するYAMAの公開も予定しているという。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ヤマハ、「Oracle Cloud HCM」で従業員の自律的なキャリア開発を支援
IT関連
2025-02-12 17:49
富士通の福田CIOが語ったServiceNowとの戦略的提携と社内の成果
IT関連
2024-05-29 12:39
三菱UFJ信託銀行、働き方改革とDX推進めざしSalesforce Platformを導入
IT関連
2021-07-21 10:14
NICTが2025年大阪・関西万博に向けて開発中の「多言語同時通訳」とは
IT関連
2024-07-05 13:20
Facebookの「MySQL 8.0」への移行作業、エンジニアが詳細をブログに
IT関連
2021-07-29 02:49
AWSジャパン、代表執行役員社長に白幡晶彦氏が就任
IT関連
2024-11-03 19:07
NEC、AIで商品棚の在庫量を可視化する新サービス–東急ストアで先行採用
IT関連
2022-03-03 14:34
コードのコメントやドキュメントなどのテクニカルライティングを生成AIが提案、補完、校正など支援するツール「Grazie」、JetBrainsが提供開始。日本語は未対応
JetBrains
2024-07-16 20:41
テラスカイら3社、「ERP Cloud 360コンソーシアム」を設立–中堅企業向けにERPの促進を目指す
IT関連
2024-09-28 07:07
ITインフラはシンプルに、ITとOTも融合–シスコのネットワーク幹部が語る方向性
IT関連
2023-04-13 13:15
リモートワーク時代のための高速で直感的なドキュメントエディター「Almanac」
ソフトウェア
2021-06-10 08:07
「技術と製品で日本のビジネスを再成長させたい」–カスペルスキーのCEO
IT関連
2024-06-26 13:07
真のキャッシュレス社会実現のために必要な5つの改革
フィンテック
2021-01-12 17:08
「Python」の登録商標、米Python Software Foundationが再出願 登録済みの企業に不使用取消審判の請求も
くわしく
2021-07-17 05:48