JPCERT/CC、カスタマイズした「YARA」のルールを用いてマルウェアの有無を調査するツール「YAMA」を公開

JPCERT/CCは8月9日、カスタマイズしたマルウェア解析ツール「YARA」のルールを用いてインシデントなどの対応の際にマルウェアの有無を調査するツール「YAMA」を公開した。

　YAMAは、動作中の「Windows」コンピューター上のメモリーでYARAによるスキャンを実施する。ユーザーがカスタマイズしたYARAルールを記述すれば、ユーザーニーズに合わせたマルウェアスキャンを実行できる。インストールが不要で、スキャン結果をテキストもしくはJSON形式で出力する。

　攻撃のファイルレス化やマルウェアの難読化が進むにつれて、ファイル単体で悪意の有無を判断することは難しくなっている。そのため、現在ではサンドボックスやAIなどを活用したマルウェア検知手法やEDRなどのマルウェア感染後の不審な挙動を検知する技術が一般化している。しかし、インシデントレスポンスの現場ではウイルス対策ソフトでは検知できないマルウェアが見つかることが多々あり、未知のマルウェアが見つかると、同種のマルウェアがネットワーク内部に潜伏していることを網羅的に調査することになる。しかし、ウイルス対策ソフトでは検知できないため、1台ずつ手動で調査する必要がある。

このような問題を解決するために、マルウェア検知をサポートする目的で「YAMA」を開発し、公開した。「YAMA」は、自身で作成したカスタム「YARA」のルールを用いてWindowsのメモリスキャンをすることが可能となっている。そのため、難読化されたマルウェアやファイルレス攻撃に対しても効果があるという。

YAMAは、GitHubから入手できる。

（川原 龍人/びぎねっと）

［関連リンク］
Blogによる記事