JPCERT/CC、カスタマイズできるマルウェアスキャンツールを公開

ZDNET Japan Staff

2023-08-14 13:17

 JPCERT コーティネーションセンター(JPCERT/CC)は、カスタマイズした「YARA」(マルウェア解析、検知ツール)のルールを使って、インシデント対応などの際にマルウェアの有無を調査できるツール「YAMA」をGitHubに公開した。難読化されたマルウェアやファイルレス型にも対応するという。

 YAMAは、動作中の「Windows」コンピューター上のメモリーでYARAによるスキャンを実施する。ユーザーがカスタマイズしたYARAルールを記述すれば、ユーザーニーズに合わせたマルウェアスキャンを実行できる。インストールが不要で、スキャン結果をテキストもしくはJSON形式で出力する。

 JPCERT/CCは、現代のサイバー攻撃では、ファイルレスマルウェア(ファイル形式ではない不正プログラム)や、暗号化技術を複雑に多用するなどの方法で難読化したマルウェアが使われ、ファイル単体で悪意の有無を判断することが難しいと解説。こうした不正プログラムの検出には、AIやサンドボックス(仮想コンピューティング環境)、EDR(エンドポイント脅威検知・対応)などのツールで不審な挙動を確認する方法が一般的だが、コンピューターを1台ずつ手動で調査する必要があり、ネットワーク内部に潜伏している可能性があるマルウェアの有無を網羅的に調査するには手間がかかるとする。

 また、YARAルールを使ってファイルやコンピューターの個別のプロセスをスキャンすることができるものの、現状のツールではライブメモリー全体を調査することができないという。JPCERT/CCは、こうしたことを踏まえてインシデント対応時におけるマルウェア調査を効率的に行えるようYAMAを公開したという。

「YAMA」のコマンドラインインターフェース(GitHubより)
「YAMA」のコマンドラインインターフェース(GitHubより)

 使い方は、まずGitHubでYAMAのリポジトリーをフォークし、「GitHub Actions」からYAMAスキャナーをコンパイルする。次に、「rsrc/ioc/rule.yara」のファイルでYARAルールをカスタマイズし、コミットする。この後、ビルドされたYAMAスキャナーをダウンロードする。

 ユーザーが作成するYAMAスキャナーはシングルバイナリーのため、調査対象のコンピューターにコピーするだけで使用できる。なお、管理者権限で動作しているプロセスをスキャンするには、YAMAスキャナーを管理者権限で実行する必要がある。また、ログをEvent Logとして出力する場合は、別途「Event Message File」をインストールしておく。

 JPCERT/CCは、YAMAの開発に協力した谷知亮氏に謝辞を表明し、今後はJPCERT/CC独自のYARAルールを搭載するYAMAの公開も予定しているという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]