画面●FFR yarai analyzer Version 1.4の画面例(不審なレジストリーやファイル操作などをレポートファイル上でハイライト表示)
[画像のクリックで拡大表示]

 FFRIは2015年1月14日、任意のファイルがマルウエアかどうかを調べるソフトの新版「FFR yarai analyzer Version 1.4」(画面)を発表、同日出荷を開始した。新版では、利用方法を拡大し、Web APIを介してマルウエアを解析できるようにした。さらに、マルウエア検出エンジンをマルウエア対策ソフト現行版「FFR yarai Version 2.5」と同じものに刷新し、機械学習エンジンなどの新エンジンを搭載した。

 FFR yarai analyzerは、あるファイルがマルウエアかどうかを解析するソフトである(関連記事:FFRI、複数環境で並行解析できるマルウエア解析ツール新版を出荷)。Windows Server上の仮想環境で実際にマルウエアを動作させ、その振る舞いを調べることでマルウエアかどうかを判定する。エンドユーザーがUSBメモリーで社内に持ち込んだ文書ファイルを検査する使い方や、ソフトウエア製品の出荷前検査などに利用できる。

 新版ではまず、外部システムと連携しやすいように、Web APIを介して利用できるようにした。従来は、特定のフォルダーを介してマルウエアや解析結果を受け渡していた。具体的には、あらかじめ定めた入力フォルダーに任意のファイルを投入すると、これを自動的に解析し、解析結果をHTML/XML形式でレポート出力する。これに対して新版では、マルウエアをアップロードして解析開始するWeb APIや、解析結果をJSON形式で受け取るWeb APIなど、5種類のWeb APIを実装した。

 新版ではさらに、マルウエアを検出するエンジンを刷新した。具体的には、エンドポイント(社員のパソコン)の上で動作するマルウエア対策ソフトの現行バージョンで2014年8月に出荷したFFR yarai Version 2.5とエンジンのバージョンを合わせた(関連記事:FFRIが標的型攻撃対策ソフトに新版、機械学習のHIPSエンジンを追加)。これにより、既存の四つの検出エンジンに加えて、新たに第5のエンジンとして機械学習を利用した振る舞い検知エンジンを利用できるようになった。

 稼働環境は、以下の通り。FFR yarai analyzer自身は、Windows Server 2003/2008/2012上で動作する。解析環境となる仮想マシン環境は、VMware vSphere 5またはVMware Workstation 8/9/10/11。解析環境で動作するゲストOSは、Windows XP/Vista/7/8/8.1。価格(税別)は、サーバー1台当たり300万円で、サーバー1台で運用可能な仮想マシンは3台まで。次年度以降の保守費用はライセンス価格の20%。