マルウェアの挙動をリアルタイム監視するOSSを公開 - JPCERT/CC

JPCERTコーディネーションセンター（JPCERT/CC）は、メモリやログにおける挙動をもとに脅威ハンティングできるオープンソースソフトウェア「YAMAGoya」をGitHubで公開した。

ファイルレスマルウェアやパッキングなど難読化技術を用いたマルウェアにおけるクライアント端末上の挙動を監視できるツール。既存マルウェア対策ソフトの置き換えではなく、「EDR」や他監視ツールとの併用による多層防御を想定している。

Windowsのイベント監視機構「ETW（Event Tracing for Windows）」とメモリのスキャン機能を活用したソフトウェア。管理者権限は必要となるが、カーネルドライバーを必要とせず、システムトレイに常駐させ、バックグラウンドで監視することもできる。

「YARAルール」を用いたメモリスキャンと、「Sigmaルール」によるログの分析に対応しており、ファイルやプロセス、レジストリ、ネットワーク通信、DNSイベント、PowerShellなどの挙動をリアルタイムに監視することが可能。

複数のイベントを相関的に分析できる独自のYAMLルールにも対応し、特定の攻撃パターンを組み合わせて検出できるという。

グラフィカルユーザーインタフェースにくわえて、コマンドラインによる操作にも対応。自動化やスクリプトに組み込むこともできるほか、検知結果をログ出力できるため、SIEMとの連携なども可能となっている。

（Security NEXT - 2025/11/20 ）ツイート