Senda Nexus — Cyber Threat Intelligence Feedを提供開始
NICT Darknetデータと自社ハニーポットを突合解析。日本語で利用可能な次世代脅威インテリジェンスAPI
サイバーインテリジェンスの研究開発を行う RainForest(所在地:東京都杉並区、代表取締役:岡田晃市郎)は、2025年10月5日より、脅威インテリジェンスAPI「Senda Nexus — Cyber Threat Intelligence Feed」(以下、Senda Nexus)を正式リリースいたします。
本サービスは、NICT(情報通信研究機構)のDarknet観測データと、RainForestが独自に開発・運用するハニーポット群の解析結果を突合することで、IoTマルウェアやスキャナー活動などの攻撃元IPを高精度に特定・分類する、日本語で理解できる商用サイバー脅威インテリジェンスAPIです。
【Senda Nexus の特徴】
1. NICT Darknet × 自社ハニーポットの突合解析
Senda Nexusは、NICTが観測する膨大なDarknetトラフィックと、
RainForest独自のハニーポット観測データを照合・分析することで、
攻撃元IPの行動傾向(Telnetスキャン、HTTP Exploit試行、Malware Download活動など)を自動分類。
単なるスキャナーリストではなく「攻撃者の行動と意図を構造化した脅威インテリジェンス」を提供します。
2. 高精度スコアリングと自動判断モデル
各IPアドレスに対して以下の情報を自動生成し、SOC/CSIRTで即利用可能です。

risk_score |
0〜100 |
severity |
Low / Medium / High / Critical |
decision |
monitor / investigate / block |
decision_reason |
判断理由の自動要約 |
これにより、セキュリティ運用者は「即遮断」「観察継続」などの判断を自動化できます。
3. 日本語で理解できる実用的インテリジェンス
Senda Nexusの出力データは、分析担当者がそのままレポート・SOC運用に活用できるよう、
行動要約・推定ロール・推奨対応策を日本語で出力します。
WAF・SIEM・EDR・SOARなどとの連携にも対応し、組織防御の即応性を向上させます。
4. 二重観測モデルによる攻撃意図の解明
従来のDarknet観測では、「接続試行=攻撃意図」を特定するのが困難でした。
Senda Nexusはこれを補うため、Darknet(誘導観測)+実ハニーポット(実挙動観測)を組み合わせ、「どの攻撃者がどのポートを狙い、何を試しているのか」までを明確化します。
【提供API】
Senda Nexusでは、観測データおよび相関分析結果をもとに、以下の脅威インテリジェンスAPIを提供します。各エンドポイントからは、攻撃元IPやスキャン挙動に関する詳細なメタデータを取得できます。
-
大規模スキャンを実施しているIPアドレス情報
┗ Darknetおよびハニーポットで高頻度のスキャン活動を確認した送信元IPを提供。 -
大規模スキャンを行っているIPアドレスのスキャン対象ポート情報
┗ 各スキャナーが主に探索しているポート番号や通信傾向を分析し、攻撃対象の推定に活用可能。 -
IoTマルウェアの特徴と類似した通信を行うIPアドレス情報
┗ Mirai系など既知IoTマルウェアと同様の通信挙動(Telnet、5555/TCPなど)を検出した送信元を抽出。 -
ハニーポットにExploit試行を行ったIPアドレス情報
┗ 実際にハニーポット上の脆弱サービスへExploitを試みたIPと、そのスキャン・攻撃手法の特徴を提供。 -
Exploitを行ったIPアドレスと類似したスキャン傾向を持つIPアドレス情報
┗ 既知のExploit送信元と同一のスキャンパターンを持つIPをAIでクラスタリングし、潜在的攻撃者を特定。
【提供形態・価格】
-
提供形式:REST API / JSON Feed(MISP・STIX出力オプション対応予定)
-
標準価格:年額60万円(税別)
-
再販モデル(SOC/CSIRT向け):自社利用に加え、監視対象企業やグループ会社への再配布を許可するモデル。
┗ 本体ライセンスを基軸に、再販時に利益を確保できるインセンティブ設計を採用しています。 -
OEM Embedded Feedプランについて:UTM・EDR・SIEMなどのセキュリティ製品やサービスへの組込み利用
┗ 製品出荷数やユーザ数に応じた柔軟なライセンス体系で、各社独自のセキュリティ機能にSenda Nexusの脅威インテリジェンスを統合可能です。 -
Senda Nexus Pro(上位版):リアルタイム解析・専用API・高度な相関分析機能を提供予定。
┗ 分析期間や提供範囲に応じたカスタムプランにも対応し、SOC・ベンダー各社の要件に柔軟に対応します。
-
対象組織:SOC事業者、CSIRT、セキュリティベンダー、研究機関、通信事業者など
【出力仕様例(抜粋)】

キー名 |
型 |
内容説明 |
ip |
str |
対象の送信元IPアドレス(例:103.93.93.xxx)。IPv4またはIPv6形式。 |
tags |
list[str] |
観測ラベル。例:["Malware"], ["HTTP POST"]。複数可。 |
ports |
list[dict] |
SYNパケット観測ポート情報。例:[{"port":23,"count":39}]。count は観測SYN数。 |
total_syn_count |
int |
観測期間中に当該IPが送信したSYNパケット総数。スキャン活動量の指標。 |
top_ports |
list[int] |
観測ポート番号を送信回数の降順にソートしたリスト。 |
dominant_port |
int |
最も多く観測されたポート番号。 |
dominant_port_share |
float |
主要ポートの全体に占める割合(0.0〜1.0)。 |
likely_role |
list[str] |
行動分析に基づく推定ロール。例:「Telnet / IoT Scanner (Mirai-like)」「Web Exploit Attempts」。 |
confidence |
str |
"High", "Medium", "Low" の3段階。 |
risk_score |
int |
リスクスコア(0〜100)。攻撃意図・ボリューム・サービス特性で算出。 |
severity |
str |
リスクレベル。"Low", "Medium", "High", "Critical" の4段階。 |
decision |
str |
SOC/CSIRT運用上の推奨判断。"monitor", "investigate", "block" のいずれか。 |
decision_reason |
str |
上記 decision に至った理由の要約。 |
observed_behavior |
str |
分析対象の観測概要。例:「Total SYNs: 250. Top ports: [23,80,8080]. Tags: ['HTTP GET']...」。 |
tactics |
list[str] |
該当するMITRE ATT&CK戦術カテゴリ。例:「Reconnaissance」「Initial Access」「Exploit Public-Facing Application」。 |
recommended_actions |
list[str] |
SOC/CSIRTが取るべき対応策(日本語)。内容は観測内容に応じて自動生成。 |
JSON出力例(抜粋)
{
"ip": "103.93.93.xxx",
"tags": ["Malware", "HTTP GET"],
"ports": [
{"port": 23, "count": 39},
{"port": 8080, "count": 18},
{"port": 80, "count": 12}
],
"total_syn_count": 91,
"top_ports": [23, 8080, 80],
"dominant_port": 23,
"dominant_port_share": 0.429,
"likely_role": ["Telnet / IoT Scanner (Mirai-like)", "Web Exploit Attempts (Public-Facing)"],
"confidence": "High",
"risk_score": 82,
"severity": "Critical",
"decision": "block",
"decision_reason": "Telnet-dominant scanning with HTTP exploit attempts detected.",
"observed_behavior": "Total SYNs: 91. Top ports: [23,8080,80]. Tags: ['Malware','HTTP GET'].",
"tactics": ["Reconnaissance", "Initial Access", "Exploit Public-Facing Application"],
"recommended_actions": [
"PerimeterでIPブロック、Telnet系試行の監視強化、IOCフィードへ追加",
"WAF/IPSでエンドポイントルールを強化しレート制限を適用"
]
}
【今後の展望】
RainForestでは、Senda Nexusを基盤として以下の展開を予定しています。
-
AIクラスタリングによる攻撃者グループ推定
Darknet観測・行動パターンから攻撃者クラスターを自動抽出し、継続的な攻撃キャンペーンを追跡。 -
Trend Intelligence Timeline(時系列脅威トレンド)
日・週・月単位での攻撃活動の変化を自動解析し、リスクの上昇傾向を数値モデルとして出力します。
【本件に関するお問い合わせ】
株式会社レインフォレスト
広報担当:info@rainforest.tokyo
https://www.rainforest-cs.jp/
X(旧Twitter):https://x.com/KouichirouOkada