Senda Nexus — Cyber Threat Intelligence Feedを提供開始

サイバーインテリジェンスの研究開発を行う RainForest（所在地：東京都杉並区、代表取締役：岡田晃市郎）は、2025年10月5日より、脅威インテリジェンスAPI「Senda Nexus — Cyber Threat Intelligence Feed」（以下、Senda Nexus）を正式リリースいたします。

本サービスは、NICT（情報通信研究機構）のDarknet観測データと、RainForestが独自に開発・運用するハニーポット群の解析結果を突合することで、IoTマルウェアやスキャナー活動などの攻撃元IPを高精度に特定・分類する、日本語で理解できる商用サイバー脅威インテリジェンスAPIです。

【Senda Nexus の特徴】

1. NICT Darknet × 自社ハニーポットの突合解析

Senda Nexusは、NICTが観測する膨大なDarknetトラフィックと、
RainForest独自のハニーポット観測データを照合・分析することで、
攻撃元IPの行動傾向（Telnetスキャン、HTTP Exploit試行、Malware Download活動など）を自動分類。
単なるスキャナーリストではなく「攻撃者の行動と意図を構造化した脅威インテリジェンス」を提供します。

2. 高精度スコアリングと自動判断モデル

各IPアドレスに対して以下の情報を自動生成し、SOC／CSIRTで即利用可能です。

risk_score	0〜100
severity	Low / Medium / High / Critical
decision	monitor / investigate / block
decision_reason	判断理由の自動要約

これにより、セキュリティ運用者は「即遮断」「観察継続」などの判断を自動化できます。

3. 日本語で理解できる実用的インテリジェンス

Senda Nexusの出力データは、分析担当者がそのままレポート・SOC運用に活用できるよう、
行動要約・推定ロール・推奨対応策を日本語で出力します。
WAF・SIEM・EDR・SOARなどとの連携にも対応し、組織防御の即応性を向上させます。

4. 二重観測モデルによる攻撃意図の解明

従来のDarknet観測では、「接続試行＝攻撃意図」を特定するのが困難でした。
Senda Nexusはこれを補うため、Darknet（誘導観測）＋実ハニーポット（実挙動観測）を組み合わせ、「どの攻撃者がどのポートを狙い、何を試しているのか」までを明確化します。

【提供API】

Senda Nexusでは、観測データおよび相関分析結果をもとに、以下の脅威インテリジェンスAPIを提供します。各エンドポイントからは、攻撃元IPやスキャン挙動に関する詳細なメタデータを取得できます。

• 大規模スキャンを実施しているIPアドレス情報
  ┗ Darknetおよびハニーポットで高頻度のスキャン活動を確認した送信元IPを提供。

• 大規模スキャンを行っているIPアドレスのスキャン対象ポート情報
  ┗ 各スキャナーが主に探索しているポート番号や通信傾向を分析し、攻撃対象の推定に活用可能。

• IoTマルウェアの特徴と類似した通信を行うIPアドレス情報
  ┗ Mirai系など既知IoTマルウェアと同様の通信挙動（Telnet、5555/TCPなど）を検出した送信元を抽出。

• ハニーポットにExploit試行を行ったIPアドレス情報
  ┗ 実際にハニーポット上の脆弱サービスへExploitを試みたIPと、そのスキャン・攻撃手法の特徴を提供。

• Exploitを行ったIPアドレスと類似したスキャン傾向を持つIPアドレス情報
  ┗ 既知のExploit送信元と同一のスキャンパターンを持つIPをAIでクラスタリングし、潜在的攻撃者を特定。

【提供形態・価格】

• 提供形式：REST API / JSON Feed（MISP・STIX出力オプション対応予定）

• 標準価格：年額60万円（税別）

• 再販モデル（SOC／CSIRT向け）：自社利用に加え、監視対象企業やグループ会社への再配布を許可するモデル。
  ┗ 本体ライセンスを基軸に、再販時に利益を確保できるインセンティブ設計を採用しています。

• OEM Embedded Feedプランについて：UTM・EDR・SIEMなどのセキュリティ製品やサービスへの組込み利用
  ┗ 製品出荷数やユーザ数に応じた柔軟なライセンス体系で、各社独自のセキュリティ機能にSenda Nexusの脅威インテリジェンスを統合可能です。

• Senda Nexus Pro（上位版）：リアルタイム解析・専用API・高度な相関分析機能を提供予定。

  ┗ 分析期間や提供範囲に応じたカスタムプランにも対応し、SOC・ベンダー各社の要件に柔軟に対応します。

• 対象組織：SOC事業者、CSIRT、セキュリティベンダー、研究機関、通信事業者など

【出力仕様例（抜粋）】

キー名	型	内容説明
ip	str	対象の送信元IPアドレス（例：103.93.93.xxx）。IPv4またはIPv6形式。
tags	list[str]	観測ラベル。例：["Malware"], ["HTTP POST"]。複数可。
ports	list[dict]	SYNパケット観測ポート情報。例：[{"port":23,"count":39}]。count は観測SYN数。
total_syn_count	int	観測期間中に当該IPが送信したSYNパケット総数。スキャン活動量の指標。
top_ports	list[int]	観測ポート番号を送信回数の降順にソートしたリスト。
dominant_port	int	最も多く観測されたポート番号。
dominant_port_share	float	主要ポートの全体に占める割合（0.0〜1.0）。
likely_role	list[str]	行動分析に基づく推定ロール。例：「Telnet / IoT Scanner (Mirai-like)」「Web Exploit Attempts」。
confidence	str	"High", "Medium", "Low" の3段階。
risk_score	int	リスクスコア（0〜100）。攻撃意図・ボリューム・サービス特性で算出。
severity	str	リスクレベル。"Low", "Medium", "High", "Critical" の4段階。
decision	str	SOC/CSIRT運用上の推奨判断。"monitor", "investigate", "block" のいずれか。
decision_reason	str	上記 decision に至った理由の要約。
observed_behavior	str	分析対象の観測概要。例：「Total SYNs: 250. Top ports: [23,80,8080]. Tags: ['HTTP GET']...」。
tactics	list[str]	該当するMITRE ATT&CK戦術カテゴリ。例：「Reconnaissance」「Initial Access」「Exploit Public-Facing Application」。
recommended_actions	list[str]	SOC/CSIRTが取るべき対応策（日本語）。内容は観測内容に応じて自動生成。

JSON出力例（抜粋）

【今後の展望】

RainForestでは、Senda Nexusを基盤として以下の展開を予定しています。

• AIクラスタリングによる攻撃者グループ推定
  　Darknet観測・行動パターンから攻撃者クラスターを自動抽出し、継続的な攻撃キャンペーンを追跡。

• Trend Intelligence Timeline（時系列脅威トレンド）
  　日・週・月単位での攻撃活動の変化を自動解析し、リスクの上昇傾向を数値モデルとして出力します。

【本件に関するお問い合わせ】

　株式会社レインフォレスト
　　広報担当：info@rainforest.tokyo
　　https://www.rainforest-cs.jp/
　　X（旧Twitter）：https://x.com/KouichirouOkada