Malware Labは、不審ファイルと一般プログラム検証の結果を複数タブで表示します。まず危険度と主要根拠を確認し、必要に応じてYARA、挙動、グラフ、AI分析、Q&A、レポートで検証します。
| タブ | 目的 | 確認内容 |
|---|
| 概要 | 全体判定と主要根拠 | リスク、ファイル情報、主要検出、推奨対応 |
| YARA | ルールベース検出 | マッチしたルール、重大度、検出カテゴリ |
| 挙動・機能 | CAPAと静的・動的挙動の解釈 | ファイル、プロセス、ネットワーク、永続化、回避シグナル |
| グラフ | 関係の可視化 | 不審関数、文字列、API、IOC |
| AI分析 | 自然言語の総合説明 | 悪性意図、感染可能性、根拠、不確実性 |
| Q&A | 分析結果への追加質問 | 危険理由、IOC抽出、対応策 |
| 統合レポート | 共有可能な分析結果 | 要約、根拠、IOC、MITRE、次の対応 |
| 判定 | 意味 | 推奨対応 |
|---|
| 悪性 | 複数エンジンまたは明確な悪性挙動がある | 隔離、IOC遮断、関連ケース調査 |
| 不審 | 一部リスクシグナルがあるが追加確認が必要 | サンドボックス、元パス、実行履歴を確認 |
| 注意 | パッカー、難読化、不審文字列などの潜在リスク | 入手元、署名、実行文脈を確認 |
| 正常可能性 | 明確な悪性根拠が低い | 署名と配布経路を確認して許可判断 |
- ファイルハッシュ: ケース内の同一ファイル検索
- ファイル名とパス: 実行場所とユーザー活動確認
- ドメインとIP: DNS、ブラウザ、プロキシ、ファイアウォール、ネットワークログと照合
- レジストリ、サービス、タスク名: 永続化確認
- 時刻情報: ケースタイムラインと接続
- "このファイルが危険と判断された主な理由を5つに要約してください"
- "IOCだけを表で抽出してください"
- "挙動をMITRE ATT&CK段階に分類してください"
- "このファイルをケースの外部流出兆候と関連付けられますか?"
- "通常プログラムとして扱う前に何を確認すべきですか?"
- YARAマッチだけで最終判定をしないでください。
- 正常ソフトでもパッカーや難読化で不審に見えることがあります。
- AI分析はエンジン出力の説明補助であり、最終判断には元ファイルと実行文脈が必要です。