写真●FFR yarai analyzerが出力したHTMLレポート画面
写真●FFR yarai analyzerが出力したHTMLレポート画面
[画像のクリックで拡大表示]

 FFRI(旧フォティーンフォティ技術研究所)は2013年8月7日、任意のファイルがマルウエアかどうかを調べるソフトの新版「FFR yarai analyzer Version 1.3」(写真)を発表、同日出荷を開始した。新版では、設定が異なる複数の解析環境を使って検査する機能や、解析中に発生した通信データを取得する機能などを追加した。

 FFR yarai analyzerは、あるファイルがマルウエアかどうかを解析するソフト。あらかじめ定めた入力フォルダーに任意のファイルを投入すると、自動的に解析して、解析結果をHTML/XML形式でレポート出力する。エンドユーザーがUSBメモリーで社内に持ち込んだ文書ファイルを検査する使い方や、ソフトウエア製品の出荷前検査などに利用できる。

 マルウエアの検出エンジンは、メール添付ファイルを介したマルウエア感染を防止するセキュリティーソフト「FFR Yarai」と同じ(関連記事:FFRIが標的型攻撃対策「FFR yarai」に新版、DLLプリロードを検知)。4つのエンジン(メモリー破壊攻撃を検知するZDP、静的分析のStatic分析、動的分析のSandbox、振る舞い検知のHIPS)を使い、アプリケーションの脆弱性を突くように仕組まれたファイルの挙動や、パターンファイルでは検出できない未知のマルウエアの挙動を検知する。

 今回の新版では、特定の環境下でしか動作しない脆弱性攻撃やマルウエアを想定し、複数種類の解析環境を使って並列で検査する機能を追加した。また、解析中に発生した通信データをPCAP形式でパケットキャプチャーする機能も追加している。さらに、検出エンジンを先行するFFR Yaraiに合わせてアップデートした。これにより、Static分析において.NET Frameworkアプリケーションの検知能力が高まった。

 稼働環境は以下の通り。FFR yarai analyzer自身は、Windows Server 2003/2008上で動作する。解析環境となる仮想マシン環境は、VMware vSphere 5またはVMware Workstation 6/7/8/9。解析環境で動作するゲストOSは、Windows XP/Vista/7/8。価格(税別)は、サーバー1台当たり300万円で、サーバー1台で運用可能な仮想マシンは3台まで。次年度以降の保守費用はライセンス価格の20%。