株式会社レインフォレストが発表したマルチCPU対応の動的解析システムの全貌

株式会社レインフォレストが開発したマルチCPU対応動的解析システム

2021年11月8日、株式会社レインフォレストは新たにマルチCPUに対応した動的解析システムを発表しました。このシステムは、OSS（オープンソースソフトウェア）と同社の独自開発ツールを駆使して、インシデントレスポンスや出入り口対策に役立つ情報を効果的に収集・分析することを目的としています。

システムの特徴

具体的には、Microsoft社のLinuxに移植されたSysmonと、出入り口対策に使用されるSuricata（IDS/IOS）、さらに同社独自のツールが連携し、マルチCPU対応のDocker環境内でマルウエアを実行。そしてそれに関する情報を効率的に収集する仕組みが構築されています。

収集情報の種類

このシステムによって収集される情報は以下の通りです：

- Sysmon: マルウエアに関連するファイルやネットワークへのアクセス情報
- Suricata: マルウエアに関連する通信のアラート
- 自社開発ツール1: マルウエアに関連するシステム変更の情報
- 自社開発ツール2: マルウエアに関連するシグネイチャの情報

Sysmonログの詳細

Sysmonログでは、特にEventID:11（ファイル生成）やEventID:3（コネクション）を通じて、時系列に生成される情報や通信情報を収集することが可能です。このデータは、マルウエアの動作解析における貴重な手段となります。

Suricataログの利用

Suricataにおいては、事前に登録されたシグネイチャを利用することで、マルウエアが行う通信を迅速に検知し、その情報を収集します。これにより、システム全体のセキュリティが強化されます。

自社開発ツールの詳細

自社開発ツールにおいては、Linuxなどのシステム構成が保存されているディレクトリやファイルにおける変更情報を詳しく収集します。また、マルウエアが実行されているメモリを調査することによって、シグネイチャの候補情報も取得することができます。

今後の展望

今後は、横浜国立大学が提供しているデータセットを使い、大量のIoTマルウエアに対する性能評価を行う予定です。この評価により、収集したデータの可視化を検討するだけでなく、動的解析の外部提供も視野に入れています。これにより、サイバーセキュリティにおける最新技術をより多くの企業や組織に届けることができるでしょう。

会社情報

株式会社レインフォレストは、2018年に設立され、東京都杉並区に本社を構えています。サイバーセキュリティ技術の研究開発を主な業務としており、代表取締役は岡田晃市郎氏です。公式ウェブサイトはこちらです。

今回の新しい動的解析システムは、サイバーセキュリティの重要性が増す中で、企業や組織にとって大きな助けとなることでしょう。これからの展開にも目が離せません。