ラックは2019年7月11日、無料のセキュリティ調査ツール「FalconNest」に、PCのメモリー領域を調査してマルウェアを検知する機能「Phantom Seeker」を新たに追加し、公開した。ファイル検査では確認できないコンピューターのメインメモリー(揮発領域)に潜んだマルウェアの検知も可能になり、マルウェア感染の初期調査対応を概ねカバーできる。
FalconNestは、一般的にマルウェアが保存されるハードディスク内の痕跡や不審ファイルを判定できる、クラウド上の調査ツールである(画面1)。2018年11月に公開した。
画面1:FalconNestの画面(出典:ラック)拡大画像表示
一方で、ラックの緊急対応組織であるサイバー救急センターでは、攻撃者の手口が、ハードディスクにファイルを保存せず、マルウェアの主な機能をメインメモリー内に巧妙に潜ませる手法に移りつつあることを確認しているという。このようなマルウェアは検知が困難であり、また、検知が可能な場合でも、検体の保全や動作の解析については高度な技術が必要になる。
発表したPhantom Seekerは、一般の技術者でも検知・追跡できるようにコンピューターのメインメモリーに展開するプログラムおよびデータ領域を自動で調査し、簡易的にマルウェアの侵害判定ができる機能である。ラックが提供するWindowsの「メモリ取得ツール」により収集したデータを「自動分析エンジン」にアップロードすることで、メモリー潜伏型のマルウェアの痕跡を調査し、結果を表示する。
FalconNestで提供する調査ツールは、セキュリティ監視センターやサイバー救急センターなどの現場から得られる最新の脅威情報を活用することから、優れた精度を確保している。企業のセキュリティ担当部門は、FalconNestに搭載している標的型攻撃の侵害判定「Live Investigator」と不審ファイルの判定「Malware Analyzer」に加え、メモリー領域の検査を行うPhantom Seekerを活用することで、マルウェア感染で必要となる初期調査対応を概ねカバーできる。
FalconNestを利用しマルウェアの感染を確認した場合は、ラックのサイバー救急センターに問い合わせのうえ、対処方法を相談することもできる。その際、ユーザーの許可を得たあとにラックも同ツールを活用することで、感染状況を把握でき、迅速に適切な対応を行える。なお、ユーザーから提供されたデータや分析結果などは、匿名化した状態で統計情報や脅威情報として活用する。それ以外で外部に出ることはない。
ラックは今後、FalconNestで、マルウェアに関連するそのほかの脅威についても検知できるように、ログ収集プログラムや自動分析エンジンへの機能追加を予定しているという。
