JPCERT/CC、新しいリアルタイム脅威検出ツール「YAMAGoya」をリリース

「YAMAGoya」v1.0.0

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は11月18日、新しい脅威ハンティングツール「YAMAGoya」を発表した。「GitHub」でホストされているオープンソースプロジェクトで、ライセンスは「3条項BSD」（3-Clause BSD）。現在、リリースページよりx64バイナリを無償でダウンロードできる。

　近年、マルウェアの難読化やファイルレスマルウェアの登場により、ファイル単体をスキャンするだけでは不審なアクティビティを検知することは難しくなっている。そこでセキュリティ研究者やマルウェアアナリストは「Sigma」や「YARA」といったツールに対応するマルウェア検出ルールを積極的に作成・公開している。

　しかし、独自の検知エンジンを備えた既存のエンドポイントセキュリティツールの多くは、こうした「Sigma」「YARA」ルールをサポートしていないことが多いのが現状だ。そこで、こうしたエンドポイントセキュリティツールを補完するツールとして、JPCERT/CCが開発したのが「YAMAGoya」（Yet Another Memory Analyzer for malware detection and Guarding Operations with YARA and Sigma）だ。

　「YAMAGoya」の特徴は、以下の通り。

• ユーザーランドで動作：カーネルドライバーのインストールは不要。OSリスクを最小限に抑えられる
• リアルタイム監視：「ETW」（Event Tracing for Windows）を活用してファイルI/O、プロセス作成/終了、レジストリイベント、DNSクエリ、ネットワークトラフィック、「PowerShell」スクリプトなどを監視
• マルチフォーマット検知ルール：「YAML」と「Sigma」をサポート
• YARAによるメモリスキャン：ファイルレスまたはステルスマルウェアを検知
• GUI/CLIインターフェース：コマンドラインでもGUIでも利用できる

「ETW」によるリアル監視

設定画面

　リリースページから書庫ファイルをダウンロードして適当な場所へ展開し、「install.bat」ファイルを実行してセットアップすれば、「YAMAGoya.exe」をダブルクリックして起動できるようだ。実行には「.NET 6.0」以降が必要な点、「ETW」のセッション管理には管理者権限での起動が必要になる点には注意したい。