株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

スレットインテリジェンス

無料調査ツール「FalconNest(ファルコンネスト)」

Solutions & Products

サイバー攻撃の痕跡確認やマルウェアの判定を支援する無料調査ツール

ラックが開発した「FalconNest」はサイバー攻撃の発見やマルウェア判定の調査を手軽に行える無料ツールです。迅速な問題把握と対処を可能にし、緊急時でも平常時でも専用ウェブサイトの登録を行うことで簡単に利用できます。

サービスの強み

サイバー攻撃の痕跡調査を、いつでも無料で簡単に

専用のウェブサイトへ必要なデータをアップロードするだけで、PC内に標的型攻撃やマルウェアの痕跡があったのか、メールで送られてきたファイルが不審ファイルかどうかなど、いつでも簡単に調査できます。これにより、企業のセキュリティ対応部門が独自でサイバー攻撃の痕跡確認や、マルウェア判定を手軽に行え、被害の深刻度を迅速に把握することが期待できます。

組織のセキュリティ運用負荷を軽減

  1. 高い精度でサイバー攻撃の痕跡確認
    によりマルウェア判定を支援
    ラックのセキュリティ監視、緊急事故対応、研究部門が入手した攻撃情報など、国内における膨大な脅威情報を活用することで、標的型攻撃の痕跡や、不審ファイルの判定などを高い精度で行えます。
  2. インシデント調査コスト削減に貢献
    専用ウェブサイトからの登録で無料で利用できます。専門的な知識がなくてもサイバー攻撃の痕跡確認やマルウェアの判定が行え、コスト削減に貢献します。既に導入しているセキュリティ対策製品との併用で、より多面的で精度の高い調査が可能になります。
  3. 緊急時から平常時の定期監査まで
    幅広く活用可能
    Active Directory環境における定期的なイベントログ監視や、マルウェア感染が多発している時期に自組織の被害状況を調査することまで、幅広い場面で活用できます。

「FalconNest」の3つの機能

「FalconNest」には、大きく3つの機能があります。1つ目は、標的型攻撃の痕跡やマルウェア感染の痕跡がないかを調査する「侵害判定(Live Investigator:LI)」。2つ目は、"疑わしいファイル"がマルウェアかを調査する「マルウェア自動分析(Malware Analyzer:MA)」。3つ目はPCのメインメモリ内に不審プログラムがないかを調査する「メモリ自動分析(Phantom Seeker:PS)」です。以下でそれぞれをご説明します。

侵害判定(Live Investigator:LI)

"ログ取得ツール"により取得したデータを、FalconNest(LI)へアップロードすることで、自動的にWindowsのイベントログ等を分析し、調査を支援する為の情報をレポートします。サイバー救急センターが過去に対応した標的型攻撃の知見(IOC)を利用し、一致する痕跡があればレポートします。

LI:ログ取得ツールでファイルをアップロードした画面
LI:ログ取得ツールでファイルをアップロードした画面(サンプル)
FalconNest上での分析結果のレポート画面
FalconNest上での分析結果のレポート画面(サンプル)
(「標的型攻撃の痕跡あり」の場合)

マルウェア自動分析(Malware Analyzer:MA)

"疑わしいファイル"をFalconNest(MA)へアップロードすることで、サンドボックスによる分析が行われ、マルウェア判定が行われます。

Intezer社のIntezer Analyze®を利用したコードDNA解析*1 によるマルウェア判定を行えます。

サンドボックスから得られた通信先情報をレポートします。レポートから得られた通信先情報により、攻撃者のサーバ(C2:Command and control)との通信遮断による被害拡大の防止、影響範囲の確認を支援します。

*1 マルウェアと信頼できるソフトウェアに関するデータベースと実行ファイルに含まれるコードDNAを大規模に比較することで、実行ファイルの素性(プロファイル)を高速かつ正確に判別するクラウドサービス。

MA:「悪性ファイル」を検知した時の画面
MA:「悪性ファイル」を検知した時の画面(サンプル)

メモリ自動分析(Phantom Seeker:PS)

"マルウェア感染が疑われるPC上のメモリ"をPhantom Seeker(PS)へアップロードすることで分析が行われ、マルウェア感染の判定が行われます。また、感染が疑われるプロセス名および通信先をレポートします。

 PS:「悪性ファイル」を検知した時の画面
PS:「悪性ファイル」を検知した時の画面(サンプル)

「FalconNest」の使い方

「FalconNest」は専用ウェブサイトから利用者登録を行うことで、無料で利用できます。

「ユーザ登録」をクリック

ステップ1
ログインページにアクセスして「ユーザ登録」をクリック

メールアドレスを入力後、「同意する」にチェックをいれ、「登録」ボタンを押してください

ステップ2
利用規約・プライバシーポリシーをご確認のうえ、メールアドレスを入力後、「同意する」にチェックをいれ、「登録」ボタンを押してください。

緊急時や平常時における定期監査の利用方法

下記は、Active Directory環境における定期的なイベントログ監視からの事案検知、初動対応までを想定したFalconNestのご利用方法の一例です。

ドメインコントローラ上でFalconNestのログ収集ツールを実行し、収集データをLive Investigator(LI)へ定期的にアップロードします。
  • ドメインコントローラ上でFalconNestのログ取得ツールを実行し、取得データをLive Investigator(LI)へ定期的にアップロードします。LIにより疑わしいアカウント利用が検出された場合、該当アカウントと疑わしいコンピュータがレポートされます。
検出された疑わしいアカウントの機器上でログ収集ツールを実行し、収集データをLIへアップロードします。
  • ①で検出された疑わしいコンピュータ上でログ取得ツールを実行し、取得データをLIへアップロードします。
    LIにより自動的に起動するプログラムなどが調査され、"疑わしいファイル"がレポートされます。
LIによりレポートされた疑わしいファイルが正規ファイルであるか、更にMalware Analyzer(MA)による分析が必要なファイルかを確認します。
  • LIによりレポートされた"疑わしいファイル"が正規ファイルであるか、更にMalware Analyzer(MA)による分析が必要なファイルかを確認します。
    "疑わしいファイル"をMAへアップロードし、マルウェア判定を行います。
    MAによりマルウェアと判定された場合は、通信先(ドメイン名・IPアドレス)から攻撃者のサーバ(C2サーバ)であるかを確認します。
    近年では、マルウェアがPCにインストールされたタイミングで、お客様のPC環境でしか動作しないような方針でマルウェアが開発される場合や、ファイルレスマルウェア等ではメイン機能をメモリ上に痕跡を残す場合も考えられます。
    このため、メモリを取得いただき、PSにアップロードすることで、メモリ上に存在するマルウェアの判定を行います。

マルウェアと判定されたら...

  • C2サーバと疑われる通信先をFW/PROXYで遮断し被害拡大を防止します。
  • 他にC2サーバと通信していた機器が無いか、FW/PROXYログなどから影響範囲を確認します。
  • 他にC2サーバと通信していた機器を発見した場合は、該当機器でLIによる調査を実施し、侵害範囲の特定と復旧を行います。(②に戻る)

緊急事故対応が必要な場合はこちら

サイバー119

よくあるご質問

分析結果は保存されますか?
ユーザごとに保存されます。弊社で保持する情報は以下の通りです。
  • (1) お客様のアカウント情報(メールアドレスおよびパスワード)
  • (2) アクセス元のIPアドレス
  • (3) アクセス日時
  • (4) アクセスしたブラウザ環境(User Agent情報)
  • (5) 本サービスの利用日時
  • (6) 本サービスにアップロードしたファイルの属性情報(サイズやログの日時範囲等)
  • (7) 本サービスを使用して得られた分析結果
  • (8) ログ取得ツールによって取得されたファイルバス一覧、Autoruns、Sigcheckコマンドの実行結果、一部のレジストリ情報、およびシステム情報
分析結果はダウンロードできますか?
LIおよびPSの分析結果はダウンロードできません。
MAの分析結果はJSON形式でダウンロードが可能です。
保存された分析結果はどのような目的で利用しますか?
本サービスを使用して得られた情報や分析結果は、お客様からの情報であることを特定されない状態とした上で、統計情報や脅威情報として利用いたします。
サービスの利用にお金はかかりますか?
本サービスは無料でご利用いただけます。ただし、本サービスの利用にかかる通信料等の諸費用は、お客様がご負担ください。
サービスについての問い合わせ先を教えてください。
本サービスは無料サービスであり、お問い合わせには対応しておりません。予めご了承ください。