Senda Nexus — Cyber Threat Intelligence Feedを提供開始

NICT Darknetデータと自社ハニーポットを突合解析。日本語で利用可能な次世代脅威インテリジェンスAPI

RainForest

サイバーインテリジェンスの研究開発を行う RainForest(所在地:東京都杉並区、代表取締役:岡田晃市郎)は、2025年10月5日より、脅威インテリジェンスAPI「Senda Nexus — Cyber Threat Intelligence Feed」(以下、Senda Nexus)を正式リリースいたします。

本サービスは、NICT(情報通信研究機構)のDarknet観測データと、RainForestが独自に開発・運用するハニーポット群の解析結果を突合することで、IoTマルウェアやスキャナー活動などの攻撃元IPを高精度に特定・分類する、日本語で理解できる商用サイバー脅威インテリジェンスAPIです。

【Senda Nexus の特徴】

1. NICT Darknet × 自社ハニーポットの突合解析

Senda Nexusは、NICTが観測する膨大なDarknetトラフィックと、
RainForest独自のハニーポット観測データを照合・分析することで、
攻撃元IPの行動傾向(Telnetスキャン、HTTP Exploit試行、Malware Download活動など)を自動分類。
単なるスキャナーリストではなく「攻撃者の行動と意図を構造化した脅威インテリジェンス」を提供します。

2. 高精度スコアリングと自動判断モデル

各IPアドレスに対して以下の情報を自動生成し、SOC/CSIRTで即利用可能です。

risk_score

0〜100

severity

Low / Medium / High / Critical

decision

monitor / investigate / block

decision_reason

判断理由の自動要約

これにより、セキュリティ運用者は「即遮断」「観察継続」などの判断を自動化できます。

3. 日本語で理解できる実用的インテリジェンス

Senda Nexusの出力データは、分析担当者がそのままレポート・SOC運用に活用できるよう、
行動要約・推定ロール・推奨対応策を日本語で出力します。
WAF・SIEM・EDR・SOARなどとの連携にも対応し、組織防御の即応性を向上させます。

4. 二重観測モデルによる攻撃意図の解明

従来のDarknet観測では、「接続試行=攻撃意図」を特定するのが困難でした。
Senda Nexusはこれを補うため、Darknet(誘導観測)+実ハニーポット(実挙動観測)を組み合わせ、「どの攻撃者がどのポートを狙い、何を試しているのか」までを明確化します。

【提供API】

Senda Nexusでは、観測データおよび相関分析結果をもとに、以下の脅威インテリジェンスAPIを提供します。各エンドポイントからは、攻撃元IPやスキャン挙動に関する詳細なメタデータを取得できます。

  • 大規模スキャンを実施しているIPアドレス情報
    ┗ Darknetおよびハニーポットで高頻度のスキャン活動を確認した送信元IPを提供。

  • 大規模スキャンを行っているIPアドレスのスキャン対象ポート情報
    ┗ 各スキャナーが主に探索しているポート番号や通信傾向を分析し、攻撃対象の推定に活用可能。

  • IoTマルウェアの特徴と類似した通信を行うIPアドレス情報
    ┗ Mirai系など既知IoTマルウェアと同様の通信挙動(Telnet、5555/TCPなど)を検出した送信元を抽出。

  • ハニーポットにExploit試行を行ったIPアドレス情報
    ┗ 実際にハニーポット上の脆弱サービスへExploitを試みたIPと、そのスキャン・攻撃手法の特徴を提供。

  • Exploitを行ったIPアドレスと類似したスキャン傾向を持つIPアドレス情報
    ┗ 既知のExploit送信元と同一のスキャンパターンを持つIPをAIでクラスタリングし、潜在的攻撃者を特定。

【提供形態・価格】

  • 提供形式:REST API / JSON Feed(MISP・STIX出力オプション対応予定)

  • 標準価格:年額60万円(税別)

  • 再販モデル(SOC/CSIRT向け):自社利用に加え、監視対象企業やグループ会社への再配布を許可するモデル。
    ┗ 本体ライセンスを基軸に、再販時に利益を確保できるインセンティブ設計を採用しています。

  • OEM Embedded Feedプランについて:UTM・EDR・SIEMなどのセキュリティ製品やサービスへの組込み利用
    ┗ 製品出荷数やユーザ数に応じた柔軟なライセンス体系で、各社独自のセキュリティ機能にSenda Nexusの脅威インテリジェンスを統合可能です。

  • Senda Nexus Pro(上位版):リアルタイム解析・専用API・高度な相関分析機能を提供予定。

    ┗ 分析期間や提供範囲に応じたカスタムプランにも対応し、SOC・ベンダー各社の要件に柔軟に対応します。

  • 対象組織:SOC事業者、CSIRT、セキュリティベンダー、研究機関、通信事業者など

【出力仕様例(抜粋)】

キー名

内容説明

ip

str

対象の送信元IPアドレス(例:103.93.93.xxx)。IPv4またはIPv6形式。

tags

list[str]

観測ラベル。例:["Malware"], ["HTTP POST"]。複数可。

ports

list[dict]

SYNパケット観測ポート情報。例:[{"port":23,"count":39}]。count は観測SYN数。

total_syn_count

int

観測期間中に当該IPが送信したSYNパケット総数。スキャン活動量の指標。

top_ports

list[int]

観測ポート番号を送信回数の降順にソートしたリスト。

dominant_port

int

最も多く観測されたポート番号。

dominant_port_share

float

主要ポートの全体に占める割合(0.0〜1.0)。

likely_role

list[str]

行動分析に基づく推定ロール。例:「Telnet / IoT Scanner (Mirai-like)」「Web Exploit Attempts」。

confidence

str

"High", "Medium", "Low" の3段階。

risk_score

int

リスクスコア(0〜100)。攻撃意図・ボリューム・サービス特性で算出。

severity

str

リスクレベル。"Low", "Medium", "High", "Critical" の4段階。

decision

str

SOC/CSIRT運用上の推奨判断。"monitor", "investigate", "block" のいずれか。

decision_reason

str

上記 decision に至った理由の要約。

observed_behavior

str

分析対象の観測概要。例:「Total SYNs: 250. Top ports: [23,80,8080]. Tags: ['HTTP GET']...」。

tactics

list[str]

該当するMITRE ATT&CK戦術カテゴリ。例:「Reconnaissance」「Initial Access」「Exploit Public-Facing Application」。

recommended_actions

list[str]

SOC/CSIRTが取るべき対応策(日本語)。内容は観測内容に応じて自動生成。

JSON出力例(抜粋)

{

  "ip": "103.93.93.xxx",

  "tags": ["Malware", "HTTP GET"],

  "ports": [

    {"port": 23, "count": 39},

    {"port": 8080, "count": 18},

    {"port": 80, "count": 12}

  ],

  "total_syn_count": 91,

  "top_ports": [23, 8080, 80],

  "dominant_port": 23,

  "dominant_port_share": 0.429,

  "likely_role": ["Telnet / IoT Scanner (Mirai-like)", "Web Exploit Attempts (Public-Facing)"],

  "confidence": "High",

  "risk_score": 82,

  "severity": "Critical",

  "decision": "block",

  "decision_reason": "Telnet-dominant scanning with HTTP exploit attempts detected.",

  "observed_behavior": "Total SYNs: 91. Top ports: [23,8080,80]. Tags: ['Malware','HTTP GET'].",

  "tactics": ["Reconnaissance", "Initial Access", "Exploit Public-Facing Application"],

  "recommended_actions": [

    "PerimeterでIPブロック、Telnet系試行の監視強化、IOCフィードへ追加",

    "WAF/IPSでエンドポイントルールを強化しレート制限を適用"

  ]

}

【今後の展望】

RainForestでは、Senda Nexusを基盤として以下の展開を予定しています。

  • AIクラスタリングによる攻撃者グループ推定
     Darknet観測・行動パターンから攻撃者クラスターを自動抽出し、継続的な攻撃キャンペーンを追跡。

  • Trend Intelligence Timeline(時系列脅威トレンド)
     日・週・月単位での攻撃活動の変化を自動解析し、リスクの上昇傾向を数値モデルとして出力します。

【本件に関するお問い合わせ】

 株式会社レインフォレスト
  広報担当:info@rainforest.tokyo
  https://www.rainforest-cs.jp/
  X(旧Twitter):https://x.com/KouichirouOkada  


会社概要

株式会社レインフォレスト

1フォロワー

RSS
URL
https://www.rainforest-cs.jp/
業種
情報通信
本社所在地
東京都 杉並区 成田西 2-8-10
電話番号
-
代表者名
岡田晃市郎
上場
未上場
資本金
-
設立
2018年07月