JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月9日、「カスタマイズ可能なマルウェア検知ツールYAMA - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、カスタマイズ可能なマルウェア検知ツール「YAMA(Yet Another Memory Analyzer for malware detection)」を公開したと報じた。

  • カスタマイズ可能なマルウェア検知ツールYAMA

    カスタマイズ可能なマルウェア検知ツール「YAMA」

昨今のマルウェアは難読化などの技術によりファイル単体からの検出が難しくなっているとされる。これに対処するため、さまざまな新しい検出手法が出てきているが、それでも検出できないマルウェアが多々見つかっているという。JPCERT/CCはこのような未知のマルウェアが見つかった際に、ネットワーク内部に潜伏したマルウェアの検出作業をサポートするソフトウェアとしてYAMAを開発したとしている。

YAMAは次のWebサイトで公開されている。

YAMAは主に次のような機能を持っているとされる。

  • 動作中のWindowsマシンのメモリにYARAスキャンを実施
  • カスタムYARAルールを記述することで、ユーザーのニーズに合わせたマルウェア検出が可能
  • ツールのインストール不要(ログをEvent Logに出力する際は、実行時にEvent Message Fileをインストールする必要あり)
  • 検出結果をテキストまたはJSON形式で出力

YAMAはVirusTotalが開発したYARAの仕組みを利用している。YARAはマルウェアの調査や解析に使われるツールで、YARAツールに基づいて、マルウェアについて記述してシグネチャを作成する。通常のファイルや特定のプロセスに対してはYARAでも検出作業が可能だが、YAMAはすべてのプロセスに対して一括処理が可能となっており、ダイナミックリンクライブラリ(DLL: Dynamic Link Library)を使ってシステムにロードされた場合などの偽装したプロセスでも検出が可能とみられる。

JPCERT/CCはYAMAに関するリクエストや要望などを受け付けている。また、オリジナルのYARAルールを同梱したYAMAスキャナのリリースも予定しているとしており、公開が期待される。