ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企業や組織(zhi)のセキュリティ事(shi)故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談(tan)は予約不要、24時間対応(ying)

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

スレットインテリジェンス

無料調査ツール「FalconNest(ファルコンネスト)」

Solutions & Products

サイバー攻撃の痕跡確認やマルウェアの判定を支援する無料調査ツール

ラックが開発(fa)した「FalconNest」はサイバー攻撃の発(fa)見やマルウェア判定の調査を手(shou)軽に行える無料ツールです。迅速な問題(ti)把握(wo)と対処を可能にし、緊急時でも平常(chang)時でも専用ウェブサイトの登録を行うことで簡単に利(li)用できます。

サービスの強み

サイバー攻(gong)撃の痕跡調査を、いつでも無料で簡(jian)単に

専用(yong)のウェブサイトへ必要(yao)なデータをアップロードするだけで、PC内に標的型攻撃(ji)やマルウェアの痕跡(ji)があったのか、メールで送られてきたファイルが不(bu)審ファイルかどうかなど、いつでも簡単に調査できます。これにより、企業のセキュリティ対応部門が独自(zi)でサイバー攻撃(ji)の痕跡(ji)確認や、マルウェア判定を手(shou)軽に行え、被害(hai)の深(shen)刻度を迅(xun)速に把握することが期待できます。

組織のセキュリティ運用負荷を軽減

  1. 高い精度でサイバー攻撃の痕跡確認
    によりマルウェア判定を支援
    ラックのセキュリティ監視、緊急事故対応、研究部門が入手した攻撃情報など、国内における膨大な脅威情報を活用することで、標的型攻撃の痕跡や、不審ファイルの判定などを高い精度で行えます。
  2. インシデント調査コスト削減に貢献
    専用ウェブサイトからの登録で無料で利用できます。専門的な知識がなくてもサイバー攻撃の痕跡確認やマルウェアの判定が行え、コスト削減に貢献します。既に導入しているセキュリティ対策製品との併用で、より多面的で精度の高い調査が可能になります。
  3. 緊急時から平常時の定期監査まで
    幅広く活用可能
    Active Directory環境における定期的なイベントログ監視や、マルウェア感染が多発している時期に自組織の被害状況を調査することまで、幅広い場面で活用できます。

「FalconNest」の2つの機能

「FalconNest」には、大きく2つの機能があります。1つ目は、標的型攻撃の痕跡やマルウェア感染の痕跡がないかを調査する「侵害判定(Live Investigator:LI)」、2つ目は、"疑わしいファイル"がマルウェアかを調査する「マルウェア自動分析(Malware Analyzer:MA)」です。以下でそれぞれをご説明します。

侵害判定(Live Investigator:LI)

"ログ取(qu)得ツール"により取(qu)得したデータを、FalconNest(LI)へアップロードすることで、自動的にWindowsのイベントログ等を分析し、調査を支(zhi)援する為(wei)の情報をレポートします。サイバー救(jiu)急センターが過(guo)去に対応した標(biao)的型攻撃(ji)の知見(jian)(IOC)を利用(yong)し、一致する痕跡があればレポートします。

LI:ログ取得ツールでファイルをアップロードした画面
LI:ログ取得ツールでファイルをアップロードした画面(サンプル)
FalconNest上での分析結果のレポート画面
FalconNest上での分析結果のレポート画面(サンプル)
(「標的型攻撃の痕跡あり」の場合)

マルウェア自動分析(Malware Analyzer:MA)

"疑わしいファイル"をFalconNest(MA)へアップロードすることで、サンドボックスによる分析が行われ、マルウェア判(pan)定が行われます。

Intezer社のIntezer Analyze®を利用したコードDNA解析*1 によるマルウェア判定を行(xing)えます。

サンドボックスから得(de)られた通(tong)信先情報をレポートします。レポートから得(de)られた通(tong)信先情報により、攻撃(ji)者のサーバ(C2:Command and control)との通(tong)信遮断(duan)による被害拡大の防止(zhi)、影響範囲の確認を支援します。

*1 マルウェアと信頼できるソフトウェアに関するデータベースと実(shi)行(xing)ファイルに含(han)まれるコードDNAを大規模に比(bi)較することで、実(shi)行(xing)ファイルの素性(プロファイル)を高(gao)速かつ正確に判別するクラウドサービス。

MA:「悪性ファイル」を検知した時の画面
MA:「悪性ファイル」を検知した時の画面(サンプル)

「FalconNest」の使い方

「FalconNest」は専用ウェブサイトから利(li)用者登(deng)録を行うことで、無料で利(li)用できます。

「ユーザ登録」をクリック

ステップ1
ログインページにアクセスして「ユーザ登録」をクリック

メールアドレスを入力後、「同意する」にチェックをいれ、「登録」ボタンを押してください

ステップ2
利用(yong)規約・プライバシーポリシーをご確認のうえ、メールアドレスを入力後(hou)、「同意する」にチェックをいれ、「登録」ボタンを押してください。

緊急時や平常時における定期監査の利用方法

下記は、Active Directory環境における定(ding)期(qi)的なイベントログ監視(shi)からの事(shi)案(an)検知、初動対応までを想定(ding)したFalconNestのご利用方法(fa)の一例です。

ドメインコントローラ上でFalconNestのログ収集ツールを実行し、収集データをLive Investigator(LI)へ定期的にアップロードします。
  • ドメインコントローラ上でFalconNestのログ取得ツールを実行し、取得データをLive Investigator(LI)へ定期的にアップロードします。LIにより疑わしいアカウント利用が検出された場合、該当アカウントと疑わしいコンピュータがレポートされます。
検出された疑わしいアカウントの機器上でログ収集ツールを実行し、収集データをLIへアップロードします。
  • ①で検出された疑わしいコンピュータ上でログ取得ツールを実行し、取得データをLIへアップロードします。
    LIにより自動的に起動するプログラムなどが調査され、"疑わしいファイル"がレポートされます。
LIによりレポートされた疑わしいファイルが正規ファイルであるか、更にMalware Analyzer(MA)による分析が必要なファイルかを確認します。
  • LIによりレポートされた"疑わしいファイル"が正規ファイルであるか、更にMalware Analyzer(MA)による分析が必要なファイルかを確認します。
    "疑わしいファイル"をMAへアップロードし、マルウェア判定を行います。
    MAによりマルウェアと判定された場合は、通信先(ドメイン名・IPアドレス)から攻撃者のサーバ(C2サーバ)であるかを確認します。

マルウェアと判定されたら...

  • C2サーバと疑われる通信先をFW/PROXYで遮断し被害拡大を防止します。
  • 他にC2サーバと通信していた機器が無いか、FW/PROXYログなどから影響範囲を確認します。
  • 他にC2サーバと通信していた機器を発見した場合は、該当機器でLIによる調査を実施し、侵害範囲の特定と復旧を行います。(②に戻る)

緊急事故対応が必要な場合はこちら

サイバー119

よくあるご質問

分析結果は保存されますか?
ユーザごとに保存されます。 第6条(情報の保持)も、あわせてご覧ください。
分析結果はダウンロードできますか?
LIの分析結果はダウンロードできません。
MAの分析結果はJSON形式でダウンロードが可能です。
保存された分析結果はどのような目的で利用しますか?
お客様からの情報であることを特定されない状態とした上で、統計情報や脅威情報として利用いたします。 第7条(情報の利用)も、あわせてご覧ください。
サービスの利用にお金はかかりますか?
本サービスは無料でご利用いただけます。ただし、本サービスの利用にかかる通信料等の諸費用は、お客様がご負担ください。
サービスについての問い合わせ先を教えてください。
本サービスは無料サービスであり、お問い合わせには対応しておりません。予めご了承ください。

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top