ラックは、さまざまなセキュリティ調査ツールを無料で提供するウェブサイト「FalconNest」を公開した。これにより、企業のセキュリティ対応部門が独自にサイバー攻撃の痕跡確認やマルウェアの判定を手軽に行えるようになり、被害の深刻度を迅速に把握することが期待される。
「FalconNest」のトップページ
同サイトで提供する調査ツールは、ラックの脅威情報を活用することで高い精度を確保しており、ユーザーが導入している市販のセキュリティ対策製品と合わせ活用することで、より多面的で精度の高い調査を行える。調査ツールは主に日本組織の利用を想定し、提供された情報や調査によって得られた分析結果が別のユーザーと共有されることはない。
今回は、主に「侵害判定」と「マルウェア自動分析」の2つの機能を提供。今後も追加し、同社ではシステム販売も検討している。
侵害判定サービスの「Live Investigator」は、「ログ収集プログラム」により収集したログを「自動分析エンジン」にアップロードすることにより、標的型攻撃の痕跡を調査し、結果を表示する。Windowsのイベントログに不審な点がないかを調査し、不審な認証ログが含まれていれば確認ポイントとともに結果を表示する。また、フォレンジック調査が必要かどうかを簡単に判断可能だ。
マルウェア自動分析サービス「Malware Analyzer」は、「不正と思われるファイル」をアップロードすることで、サンドボックス環境で自動的に挙動を追跡し、当該ファイルがマルウェアかどうかを判定する。マルウェアの場合には、マルウェアの通信先を提示しインシデント初動対応を支援する。
Malware Analyzerでは、オプション機能としてイスラエルのIntezerが提供する「Intezer Analyze」サービスを用いて、ファイルの詳細分析も可能。Intezer Analyzeは、クラウド上のマルウェア分析サービスで、マルウェアと信頼できるソフトウェアに関するデータベース(Genome Database)と実行ファイルに含まれるコードDNAを大規模に比較することで、実行ファイルの素性(プロファイル)を高速かつ正確に判別できる。なお、このオプション機能の利用を選択した場合には、ラックの分析システムだけでなくIntezer Analyzeにもファイルがアップロードされ、コード分析が実行される。アップロードされたファイルの取り扱いは、Intezerのプライバシーポリシーに則って取り扱われる。