Time Table

近年、マルウェアアナリストやセキュリティ研究者は、YARAやSIGMAなどのシグネチャベースのフォーマットを積極的に活用し、脅威検知やハンティングに役立てている。しかし、既存のエンドポイントセキュリティツールでは、独自の検知エンジンを用いているため、YARAやSIGMAを直接活用できる製品が不足しているのが現状である。 さらに、カーネルレベルのドライバーによるエンドポイント保護は OS の安定性を損なうリスクをはらんでいる。そこで開発したのが、カーネルドライバーを必要とせず、ユーザーランドのみで動作する新たなThreat HuntingツールYAMAGoyaである。 YAMAGoyaはSIGMAシグネチャに対応し、ファイル・プロセス・レジストリ・ネットワーク通信などの多彩なイベントを監視する。YARAを用いたメモリスキャン機能も実装しており、より精度の高いマルウェア検知が可能である。GUIとコマンドラインの両方から操作できるため、セキュリティ運用チームから個人研究者まで幅広い利用シーンを想定している。 本セッションでは、YAMAGoyaがどのようにYARAやSIGMAシグネチャを使ってWindows上の脅威検知を実現しているのかの詳細を解説する。また、実際の攻撃シナリオを想定したデモを通じて、YAMAGoyaがどのように脅威を可視化し、検知・封じ込めを行うかを具体的に示す。世界中のセキュリティ研究コミュニティが公開する膨大なシグネチャをシームレスに利用できるこのツールによって、エンドポイントでの脅威対策の可能性が大きく広がると考えている。