スライド 1 - FFRI

株式会社FFRI
簡単・迅速。マルウェアを自動分析
不審ファイル発見時の初動分析、ソフトウェア製品の出荷前マルウェア混入検査、
ハッキングによる情報流出対策など、さまざまなマルウェア解析シーンで活用可能。
近年、ハッカーは国際的に組織化され、攻撃のテクノロジーは急速に高度化。 ウイルス(マルウェア)は増加の一途を
たどっており、一日あたりの発生件数は数万とも数十万とも言われています。また、セキュリティ脆弱性を悪用したマル
ウェアも急増しており、近年では未修正(0-day)の脆弱性を悪用するケースも多発しています。このため、近年の新し
いマルウェアの多くは、既存の仕組みで検知できない状況が続いています。
よって、ソフトウェアを開発・出荷する工程において、既存の仕組みでマルウェア感染チェックが実施されていたとしても、
マルウェアが混入したままソフトウェアを出荷してしまうケースが発生しています。
FFR yarai analyzerは、既存の仕組みでは実現困難となってきているソフトウェア製品出荷時のマルウェアが混入
するリスクに対抗するためにもご利用いただけます。プログラムファイルや文書ファイル、各種データファイルを自動的に解
析し、マルウェア混入のリスク判定が可能な概要解析結果がレポートとして出力されます。
Step 1 : 検査対象ファイルの投入
検査を実施したいWindows実行ファイル
(exeファイル等)や、PDF等の文書ファイル、
各種データファイルをFFR yarai analyzer
に投入。
Step 2 : レポート閲覧
HTML形式の解析レポートがFFR yarai
analyzerのレポートフォルダーに生成。
Webブラウザーで閲覧。
FFR yarai analyzer の活用シーン
ソフトウェアやメディア(CD-ROM等)の製品出荷前のマルウェアチェック
マルウェアの種類は急増しており、従来の手法では検出困難です。製品出荷時にマルウェアが混入すると、
回収や周知等で大きなコストが発生します。製品出荷時のマルウェア混入を防ぎます。
初動マルウェア解析
マルウェアが組織内で発生した際、情報漏洩やシステム破壊が発生する可能性があるため、
適切な対応が求められています。マルウェアの被害を素早く分析し、対応方針の決定を支援します。
メール添付型マルウェア、標的型メール攻撃検知センサー
近年、ハッキングによる情報漏洩が相次いでいます。メール解析システムとの連携により、メール添付型
マルウェアや標的型攻撃を検知できます。メール経由でのハッキングによる情報漏洩を可視化します。
社内持込み外部デバイス検査
USBメモリなどを社内に持込む際に事前検査します。社外でマルウェアに感染した場合でも、
マルウェアの感染拡大を防止します。
SOC運用支援
スナップショット指定機能を活用することで、ゲストOSの状態を複数管理可能となります。
組織内で異なる環境下にて各端末が使用されている場合でも、解析対象となるゲストOSの状態を
指定することで、特定の環境下での解析を実施できます。
株式会社FFRI
入力されたファイルを自動解析、解析レポートはHTML形式で日本語出力(XML形式にも対応)
FFR yarai analyzerは入力されたファイルを解析したのち、解析
レポートを出力します。解析レポートは、対象ファイルを実行した際
にアクセスしたファイルシステム情報、レジストリ情報、ネットワーク情
報などを出力するサマリページ(図1)のほか、サマリページに表示さ
れる各プロセスをクリックすることで表示されるプロセス詳細レポート
(図2)の2種類存在します。
わかり易いサマリレポート
脅威を可視化する詳細レポート
図2の解析レポート(プロセス詳細)では、
検出した脅威の詳細説明のほか、各プ
ロセスから行われたファイルの更新情報
やネットワークアクセス情報などの各種更
新情報を日本語で出力し、インシデント
後の対応を支援。
図1の解析レポート(サマリ)ではシ
ステム情報や解析ファイル概要のほ
か、脅威検出プロセスサマリ、ネット
ワークのアクセスサマリなどの各種情
報が日本語で表示。
図1:解析レポート(サマリ)
ver.1.5新機能
■スナップショット指定機能の追加
ゲストOSの状況を変化させながらマルウェア解析するケースにも対応
・ゲストOSの状態を複数管理可能
・Controller.confにスナップショット名を指定することで、
指定のスナップショットにリバートし、解析を実行
■レポート・管理機能の強化
報情析解的動のみならず以下の静的解析情報も合わせて出力するほか
Virus Totalへのリンクを追記
・ハッシュ値・埋め込まれている文字列・パッカー情報・デジタル署名情報
・バージョン情報
図2:解析レポート(プロセス詳細)
動作環境
対応OS
■最小スペック
■推奨スペック
※YAController 1台、YACrawler 1台を動作させることを想定
※YAController 1台、YACrawler 3台を動作させることを想定
【ハードウェア】 YAController(ホストOS)
CPU:Intel Core2Quad 相当以上
メモリ:8GB以上
HDD:100GB以上の空きディスク容量
【リソース割当】 YACrawler(ゲストOS)
[Windows XP]
メモリ:512MB以上
HDD:16GB以上の空きディスク容量
[Windows Vista, 7, 8, 8.1, 10(32bitOS)]
メモリ:1GB以上
HDD:16GB以上の空きディスク容量
[Windows Vista, 7, 8, 8.1, 10(64bitOS)]
メモリ:2GB以上
HDD:20GB以上の空きディスク容量
[Windows Server 2003 SP2(32bitOS)
2003 R2 SP2(32bitOS)]
メモリ:2GB以上
HDD:20GB以上の空きディスク容量
【ハードウェア】 YAController(ホストOS)
CPU :Intel Xeon E5-2420(6コア)相当以上
メモリ :16GB以上
HDD:600GB以上の空きディスク容量
(RAID5, 6, 10を推奨)
【リソース割当】 YACrawler(ゲストOS)
[Windows XP]
メモリ :512MB以上
HDD :20GB以上の空きディスク容量
[Windows XPを除く32bitOS]
メモリ :1GB以上
HDD :20GB以上の空きディスク容量
[Windows XPを除く64bitOS]
メモリ :2GB以上
HDD :20GB以上の空きディスク容量
仮想環境
VMware
VMware
VMware
VMware
vSphere 5.0 + VIX API 1.11以上
vSphere 6.0 + VIX API 1.14以上
Workstation 11.x + VIX API 1.14以上
Workstation 12.x Pro + VIX API 1.15以上
■YAController(ホストOS)
Windows
Windows
Windows
Windows
Server
Server
Server
Server
2008
2008
2012
2012
x86 Edition 日本語版
R2 x64 Edition 日本語版
x64 Edition 日本語版
R2 x64 Edition 日本語版
■YACrawler(ゲストOS)
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Windows
XP SP2 以降 x86 Edition 日本語版
Vista SP1 以降 x86 / x64 Edition 日本語版
7 x86 / x64 Edition 日本語版
8 x86 / x64 Edition 日本語版
8.1 x86 / x64 Edition 日本語版
10 x86 / x64 Edition 日本語版
Server 2003 SP2以降x86 / x64 Edition 日本語版
Server 2008 x86 / x64 Edition 日本語版
Server 2008 R2 x64 Edition 日本語版
Server 2012 x64 Edition 日本語版
Server 2012 R2 x64 Edition 日本語版
※FFR yarai analyzer 専用に構築したシステムのみをサポート対象
※HDDの空きディスク容量について 最小スペック、推奨スペックに記載の空きディスク容量には、OSのインストールに必要な容量は含まれておりません。
最小スペック、推奨スペックに記載の空きディスク容量の他にOSのインストール用の容量が必要となります。
製品・サービスについてのお問い合わせは
株式会社FFRI
〒150-0013
東京都渋谷区恵比寿1-18-18 東急不動産恵比寿ビル4階
TEL:03-6277-1811 E-mail : [email protected]
本製品に関する情報はインターネットでもご覧いただけます。
http://www.ffri.jp/
■FFR yarai は、株式会社FFRIの登録商標です。
■このパンフレットの内容は改良のために予告無しに仕様・デザインを変更することが
ありますのでご了承ください。
2016年4月現在
Ver 2.00.11