JPCERT/CC、カスタマイズできるマルウェアスキャンツールを公開

今回は「JPCERT/CC、カスタマイズできるマルウェアスキャンツールを公開」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 JPCERT コーティネーションセンター(JPCERT/CC)は、カスタマイズした「YARA」(マルウェア解析、検知ツール)のルールを使って、インシデント対応などの際にマルウェアの有無を調査できるツール「YAMA」をGitHubに公開した。難読化されたマルウェアやファイルレス型にも対応するという。

 YAMAは、動作中の「Windows」コンピューター上のメモリーでYARAによるスキャンを実施する。ユーザーがカスタマイズしたYARAルールを記述すれば、ユーザーニーズに合わせたマルウェアスキャンを実行できる。インストールが不要で、スキャン結果をテキストもしくはJSON形式で出力する。

 JPCERT/CCは、現代のサイバー攻撃では、ファイルレスマルウェア(ファイル形式ではない不正プログラム)や、暗号化技術を複雑に多用するなどの方法で難読化したマルウェアが使われ、ファイル単体で悪意の有無を判断することが難しいと解説。こうした不正プログラムの検出には、AIやサンドボックス(仮想コンピューティング環境)、EDR(エンドポイント脅威検知・対応)などのツールで不審な挙動を確認する方法が一般的だが、コンピューターを1台ずつ手動で調査する必要があり、ネットワーク内部に潜伏している可能性があるマルウェアの有無を網羅的に調査するには手間がかかるとする。

 また、YARAルールを使ってファイルやコンピューターの個別のプロセスをスキャンすることができるものの、現状のツールではライブメモリー全体を調査することができないという。JPCERT/CCは、こうしたことを踏まえてインシデント対応時におけるマルウェア調査を効率的に行えるようYAMAを公開したという。

 使い方は、まずGitHubでYAMAのリポジトリーをフォークし、「GitHub Actions」からYAMAスキャナーをコンパイルする。次に、「rsrc/ioc/rule.yara」のファイルでYARAルールをカスタマイズし、コミットする。この後、ビルドされたYAMAスキャナーをダウンロードする。

 ユーザーが作成するYAMAスキャナーはシングルバイナリーのため、調査対象のコンピューターにコピーするだけで使用できる。なお、管理者権限で動作しているプロセスをスキャンするには、YAMAスキャナーを管理者権限で実行する必要がある。また、ログをEvent Logとして出力する場合は、別途「Event Message File」をインストールしておく。

 JPCERT/CCは、YAMAの開発に協力した谷知亮氏に謝辞を表明し、今後はJPCERT/CC独自のYARAルールを搭載するYAMAの公開も予定しているという。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Zホールディングス、LINEのデータアクセス問題で特別委員会を立ち上げ
IT関連
2021-03-20 21:33
Beaconsが「リンクインバイオ」のモバイルウェブサイトビルダーを発表、クリエイターの収益化を支援
ソフトウェア
2021-03-11 10:26
大震災の教訓 災害時もつながる通信へ 技術革新やAI活用も
IT関連
2021-03-12 21:53
日本では半数以上の組織が未登録デバイスで業務プラットフォームにログイン–シスコ調査
IT関連
2023-01-14 11:38
「業務スーパー」がAI導入、カートが商品をおすすめ ソフトバンクが協力
ロボット・AI
2021-06-22 03:20
SOMPOひまわり生命保険と日立、がん検診レコメンドサービスを実証
IT関連
2022-04-05 12:21
Contentsquareが日本法人設立–「顧客体験分析市場の認知を高めたい」
IT関連
2022-05-25 20:30
丸亀製麺を運営するトリドールHD、サイト多言語化で「WOVN.io」導入
IT関連
2023-02-16 00:21
GitLab、日本法人のリーダーとして小澤正治氏を任命
IT関連
2023-11-08 03:46
リコー新社長に専務の大山氏–デジタル企業化への総仕上げを表明
IT関連
2023-02-01 11:26
Google、日本でNestブランドのホームカメラとドアホン発売へ
製品動向
2021-08-06 21:59
AMD、ゲーミングノート向けGPU「Radeon RX 6000M」シリーズ発表 :COMPUTEX TAIPEI 2021
製品動向
2021-06-02 19:57
SAPジャパン鈴木社長に聞く、顧客と社員の満足度を推進する中期変革プログラムの狙い
IT関連
2024-03-26 08:32
アリババ、経営体制を刷新へ–現CEOはクラウド事業に専念
IT関連
2023-06-22 08:36