目次

はじめに
yarai v3.6.1
　機能追加
　不具合修正
　その他
AMC v3.6.1
　機能追加
　仕様変更
　不具合修正
　その他

はじめに

本FAQには主要なものを記載しています。本FAQに記載された内容以外の事項については最新版のリリースノートやシステム要件を、操作方法についてはマニュアルを参照してください。

yarai v3.6.1

機能追加

IOAレコード機能を追加

• マルウェア検出イベントの情報が拡張され、検出した挙動の補足情報としてIOA（Indicator Of Attack）が記録されるようになります。また、対象プロセスがマルウェアかどうかに関わらず、標的型攻撃で使われる挙動が記録されるようになります。

• これにより、管理コンソール画面で、マルウェア検出時の状況を遡って調査・分析することができ、インシデントレスポンスに役立てることができます。

プロセス履歴の蓄積機能を追加

• プロセスが起動/終了したログが一定期間蓄積されます。蓄積した情報は管理コンソールから配布される「ログ収集コマンド」によって取得し、参照することが可能です。

• 従来のマルウェア検出イベントだけでは捉えきれなかった、プロセスの起動の流れを調査・分析することができます。

「新機能での検出時の動作」ポリシーを追加

• ポリシーが適用されたyaraiのバージョンにて、新しく搭載された機能での検出時の動作を制御できます。
  ※対象となる機能は、yaraiのバージョン毎に異なるためご注意ください。

• 従来機能はブロックモードのまま、新機能だけはログ出力モードでの検出に設定することにより、従来機能で端末を保護しながら、業務を妨げない形で新機能の評価を実施いただけます。

• 独立したクライアントの場合、レジストリを設定することで本ポリシーと同等の設定ができます。詳細はユーザーマニュアルをご参照ください。

クライアントGUIの「イベントログ」画面の「詳細」に表示する情報を拡張

• マルウェア検出時にyaraiが実施したアクションが表示されるようになりました。マルウェアが実行されたか否かを確認することでインシデントレスポンス時の優先度を判断するのに利用できます。

クイックスキャンの対象となるフォルダーを追加

• 最新の脅威の状況と照らし合わせ、対象フォルダーを追加しました。

不正停止検出機能を追加

• yaraiの関連プロセスの強制停止を試みるプロセスを検出します。

Static分析エンジンの検出精度及び動作安定性を向上

• ディープマクロ分析機能にExcel 4.0マクロ分析機能を追加
  

• Static機械学習機能の検出精度を向上
  

• その他既存ロジックの精度改善

HIPSエンジンの検出精度及び動作安定性を向上

１．マルウェア検出の強化

• ディープマクロ分析機能にExcel 4.0マクロ分析機能を追加
  

• COMを利用した攻撃手法の検出を強化
  

• スタートアップを利用した永続化手法の検出を強化
  

• MBRを書き換える攻撃手法の検出を強化
  

• reginiを利用した攻撃手法の検出を強化
  

• 正規のインタプリタを展開しスクリプトで攻撃を行なう手法の検出を強化
  

• プロセスインジェクションの検出を強化
  

• その他既存ロジックの精度改善
  

２．IOAレコード機能のロジック追加

監視対象の一例を記載します。詳細については各種マニュアルや技術資料を参照してください。

• ファイル関連の挙動
  

• プロセス関連の挙動
  

• コマンド実行関連の挙動
  

• 通信関連の挙動
  

• レジストリ関連の挙動
  

• イベントログ関連の挙動
  

• 認証関連の挙動
  

Sandboxエンジンのエミュレーションの精度と速度を改善

機械学習エンジンの検出精度を向上

不具合修正

• lnkファイルが多く含まれるフォルダーをエクスプローラーで開いた時にハングする事象の改善
⚠ 注意
上記のlnkファイルの問題の詳細については、以下のFAQページの「問題１」をご参照ください。
FAQ：エクスプローラーやファイルサーバーや共有フォルダーの表示が遅い、Officeファイルや特定のアプリケーションを開くのが遅い


• HIPSエンジンのディープマクロ分析機能がONの場合に、Microsoft Officeファイルの操作に遅延が発生することがある問題の修正

• Microsoft Defenderの除外プロセスにyaraiの関連プロセスが登録されないことがある問題の修正
  

• FFRZDPInjectorドライバーをDriver Verifierで監視するとBSoDが発生することがある問題の修正
  

• yaraiのアップデート時にyarai.exeと同名のプロセスが強制終了される問題の修正
  

• 「メモリが不足しています」というダイアログが出ることがある問題の修正
  

• SKYSEA Client ViewのEDRプラスパックにて、マルウェア検索に失敗することがある問題の修正
  

• ハンティング機能有効時にScanEngineサービスがクラッシュすることがある問題の修正
  

• 機械学習エンジンの検出時の動作がポリシーと一致しない問題の修正
  

• yaraiのアップデート時に旧バージョンの情報がレジストリに残存する問題の修正
  

• BoxDriveのフォルダーにスキャンを行うと、ファイルがダウンロードされる問題の修正
  

• 強制駆除でマルウェアのプロセスを停止できず、駆除に失敗する問題の修正

その他

• 製品内で使用されていた「Windows Defender」の表記を「Microsoft Defender」に変更

AMC v3.6.1

機能追加

IOAレコード機能を追加

• マルウェア検出イベントの情報が拡張され、検出した挙動の補足情報としてIOA（Indicator Of Attack）が記録されるようになります。また、対象プロセスがマルウェアかどうかに関わらず、標的型攻撃で使われる挙動が記録されるようになります。

• これにより、管理コンソール画面で、マルウェア検出時の状況を遡って調査・分析することができ、インシデントレスポンスに役立てることができます。

WebAPI機能を追加

• AMCで管理されている以下の情報がWebAPIで取得できるようになります。
  

  • クライアント情報
  • マルウェア情報
  • IOAレコード情報

• これらを利用することで自社のセキュリティソリューションとのより一層の連携強化が期待できます。
  ※ご利用にはAMCでアクセスキーの発行やロール設定が必要になります。詳細はオペレーションマニュアルをご参照ください。

例外リスト機能の改善

• 従来の組織単位の例外リストに加えて、グループ別の例外リストが利用できるようになります。1組織あたりのグループ数や例外リストの件数が増加している場合に、ネットワークやサーバー負荷を軽減させ、スループットを向上させる効果が期待できます。
  ※過検出判定システム連携で自動で更新される例外リストのみが対象です。
  

• マルウェア情報画面の「クライアントへの例外リスト適用状況」の更新においてワイルドカードを含む例外ファイルパスに対応しました。
  

• 例外リストを精査するときに簡単に確認できるように、ハッシュ例外に関連する検出情報を表示する機能を追加しました。

テストメール機能を追加

• SMTPサーバー設定や通知設定で設定したメールアドレスにテストメールを送信することができるようになります。これにより、メールアドレスの入力誤りによるメール未達の防止や誤送信の早期発見の効果が期待できます。

「新機能での検出時の動作」ポリシーを追加

• ポリシーの各エンジンの設定に「新機能での検出時の動作」を追加しました。yaraiの新機能だけをログ出力モードで動作させることが可能になります。

• 従来機能はブロックモードのまま、新機能だけはログ出力モードでの検出に設定することにより、従来機能で端末を保護しながら、業務を妨げない形で新機能の評価を実施いただけます。

• この改修に関連して、クライアントログ画面に「マルウェアが実行されたのか否か」を確認するための情報を追加しました。マルウェアが実行されたか否かを確認することでインシデントレスポンス時の優先度を判断するのに利用できます。

不正停止検出機能を追加

• 本バージョンのyaraiに搭載される不正停止検出機能による検出情報がクライアントログ画面などで確認できるようになります。

Excel 4.0マクロ分析機能を追加

• 本バージョンのyaraiに搭載されるExcel 4.0マクロ対策機能による検出情報がクライアントログ画面などで確認できるようになります。

プロセス履歴の蓄積機能を追加

• ポリシーに「プロセス履歴の蓄積」グループとその中に以下の項目を追加しました
  

  • プロセス履歴を蓄積する
  • プロセス履歴の蓄積期間（時間）

• この機能で蓄積された情報は「ログ収集コマンド」を配布することによってクライアントから取得し、参照することが可能です。従来のマルウェア検出イベントだけでは捉えきれなかった、プロセスの起動の流れを調査・分析することができます。

ポップアップ画面表示抑制設定を追加

• ポリシーの「基本設定」> 「詳細設定」に以下の項目を追加しました
  

  • クライアントのアップデート通知ポップアップ
  • クライアントのサービス停止通知ポップアップ
  • クライアントのタスクトレイアイコン

• この設定でポップアップやアイコンを非表示することで、クライアントマシンの利用者への不要な通知が抑制でき、管理者への問い合わせを削減できる効果が見込まれます。

仕様変更

• AMCで使用する PostgreSQL をメジャーバージョンアップ
  本バージョンでは、PostgreSQL 15 が採用されています。本対応により、AMC 3.5.3 以前からのアップデートでは、ご利用のデータベース環境によっては事前準備が必要です。詳細については、セットアップマニュアルの「管理コンソールのアップデート」の項を参照してください。

• AMCで使用するPHP をマイナーバージョンアップ
  本バージョンでは PHP 8.2.xが採用されています。

• ポリシー設定画面のデザインを変更

• サンドボックスエンジンの検出メッセージの変更

• AMCへの検出通知におけるプロセス名情報にファイル名のみとなっていた場合は駆除や検体収集が行えないことへの注意喚起を追加

不具合修正

• 通知設定の抑制設定を有効していてもほぼ同じタイミングで起きた複数の検出通知が抑制されない問題の修正
  

• AMCのサーバーログの閲覧権限がない場合にもサマリー画面でサーバーログのエラー数が表示される問題の修正
  

• 収集された検体ファイルの異常などで過検出判定システムにファイルアップロードできない場合にどこにも表示または通知されない問題の修正
  

• 例外リスト登録済みの検体に対してマルウェア情報画面で駆除命令を出せる問題を修正
  マルウェア情報画面で命令は出せるものの、実際にクライアントには命令を配布しないよう制御されているので、駆除してはいけないファイルが駆除されるわけではありません。

• AMC アップデート時にconfig.xmlのハンティング機能の設定項目「max_fetching_hash_capacity」が引き継がれない問題を修正
  

• 配布イベントの通知において、全てのクライアントに配布が完了しないと通知情報がデータベースに残り続けてしまう問題の修正
  この修正により、6ヶ月経過して完了していない配布イベントの通知情報は自動で削除されるようになりました。
  

• メール通知に失敗した場合に、メールの内容1行につき1つのイベントログが生成される問題の修正

• 通知プログラムに渡す際に引数に不適切な値が渡る可能性がある問題の修正

その他

• 製品内で使用されていた「Windows Defender」の表記を「Microsoft Defender」に変更