先読み防御機能を備えた国産の標的型攻撃対策ソフトウェア「FFRI yarai」

先読み技術「CODE:F」とふるまい検知で未知の脅威を防御

　FFRIは2018年2月2日、次世代エンドポイントセキュリティ「FFRI yarai」の最新バージョン3.1をリリースした。FFRI yaraiは、通常のウイルス対策ソフトウェアでは検知できない未知の脅威の防御が可能なソフトウェアで、ここ数年問題となっている標的型攻撃やランサムウェアの対策に有効となっている。

　「CODE:F」という先読み技術を開発することで、サイバー犯罪につながる原因をとらえ、事前に、来るであろう攻撃技術を推定し、対策技術を開発して「先読み防御」が行えることが特徴となっている。また、ふるまい検知エンジンを搭載しており、端末上での悪意ある挙動をリアルタイムに検知・防御することが可能。既知の脅威はパターンマッチング型の製品を用いて確実に防御し、未知の脅威はFFRI yaraiのようなふるまい検知型の製品を用いることで、多層防御を実現している。

　バージョン3.1では、ユーザーやFFRI yarai月額版販売パートナーの声を反映し、複数企業のエンドポイントセキュリティ管理を行うためにマルチテナント化／クラウド化し、大規模管理に適した新しい管理コンソール「FFRI AMC」が提供されている。

　FFRI AMCでは、日本語版／英語版の一元管理が可能で、検知した検体収集機能の強化・ログ収集機能強化などの管理機能が向上。例外登録件数の拡大やクラウド上の例外リストへの問い合わせを可能にしている。

　さらに、環境構築時間と費用の削減も実現し、AMCのWeb UIを使った現行ツール（FFRI EMC）から移行ツールを提供することで、管理コンソールバージョンアップの負担を抑制できるという。FFRI AMCは、FFRI yaraiの購入ユーザーが無料で利用でき、サポート期間が2020年2月末までの現行製品（Management Console）からの移行ツールも無料で提供される。

　FFRI yaraiは、アプリケーションを脆弱性攻撃から防御する「ZDP」エンジンと、マルウェアを検出する「Static分析」「サンドボックス」「HIPS」「機械学習」の5つのエンジンを使ってウイルスの攻撃技術への先読みを行う。

　ZDPエンジンは、メールやWebページ閲覧時の攻撃など、既知・未知の脆弱性を狙ったウイルス攻撃を防御し、独自の「API-NX」技術で任意コード実行型脆弱性の攻撃を防御する。Static分析エンジンは、多彩な分析手法で、プログラムを動作させることなく分析することが可能となっている。

　サンドボックスエンジンは、PCに影響を与えない仮想環境でプログラムをテストし、独自の「U-Sandbox検知ロジック」で命令の組み合わせに基づいた検知ができる。HIPSエンジンは、実行中のプログラムの動作を監視し、他プログラムへの侵入、異常なネットワークアクセス、キーロガーやバックドア的動作などの挙動を独自の「DHIPSロジック」で検知する。機械学習エンジンは、ビッグデータ分析を基に悪意ある特徴的な動きをブロックすることができる。

　Version 3.1では、5つのエンジンの中で、ZDPエンジン、Static分析エンジン、HIPSエンジン、機械学習エンジンの4つのエンジンがアップデートされたという。特に、HIPSエンジンでは、コードインジェクション対策、ランサムウェア対策、マクロ／スクリプトマルウェア対策が強化されている。

図1：FFRI yarai の先読み技術「CODE:F」を支える5つのエンジン（出典：FFRI）