Senda Nexus - Cyber Threat Intelligence Feedを提供開始
RainForest
NICT Darknetデータと自社ハニーポットを突合解析。日本語で利用可能な次世代脅威インテリジェンスAPI
サイバーインテリジェンスの研究開発を行う RainForest(所在地:東京都杉並区、代表取締役:岡田晃市郎)は、2025年10月5日より、脅威インテリジェンスAPI「Senda Nexus - Cyber Threat Intelligence Feed」(以下、Senda Nexus)を正式リリースいたします。
本サービスは、NICT(情報通信研究機構)のDarknet観測データと、RainForestが独自に開発・運用するハニーポット群の解析結果を突合することで、IoTマルウェアやスキャナー活動などの攻撃元IPを高精度に特定・分類する、日本語で理解できる商用サイバー脅威インテリジェンスAPIです。
【Senda Nexus の特徴】
1. NICT Darknet × 自社ハニーポットの突合解析
Senda Nexusは、NICTが観測する膨大なDarknetトラフィックと、
RainForest独自のハニーポット観測データを照合・分析することで、
攻撃元IPの行動傾向(Telnetスキャン、HTTP Exploit試行、Malware Download活動など)を自動分類。
単なるスキャナーリストではなく「攻撃者の行動と意図を構造化した脅威インテリジェンス」を提供します。
2. 高精度スコアリングと自動判断モデル
各IPアドレスに対して以下の情報を自動生成し、SOC/CSIRTで即利用可能です。
[表1:
https://prtimes.jp/data/corp/89968/table/16_1_e45e3d0fba08581fc43c4eb1da27feb0.jpg?v=202510081016 ]
これにより、セキュリティ運用者は「即遮断」「観察継続」などの判断を自動化できます。
3. 日本語で理解できる実用的インテリジェンス
Senda Nexusの出力データは、分析担当者がそのままレポート・SOC運用に活用できるよう、
行動要約・推定ロール・推奨対応策を日本語で出力します。
WAF・SIEM・EDR・SOARなどとの連携にも対応し、組織防御の即応性を向上させます。
4. 二重観測モデルによる攻撃意図の解明
従来のDarknet観測では、「接続試行=攻撃意図」を特定するのが困難でした。
Senda Nexusはこれを補うため、Darknet(誘導観測)+実ハニーポット(実挙動観測)を組み合わせ、「どの攻撃者がどのポートを狙い、何を試しているのか」までを明確化します。
【提供API】
Senda Nexusでは、観測データおよび相関分析結果をもとに、以下の脅威インテリジェンスAPIを提供します。各エンドポイントからは、攻撃元IPやスキャン挙動に関する詳細なメタデータを取得できます。
- 大規模スキャンを実施しているIPアドレス情報┗ Darknetおよびハニーポットで高頻度のスキャン活動を確認した送信元IPを提供。- 大規模スキャンを行っているIPアドレスのスキャン対象ポート情報┗ 各スキャナーが主に探索しているポート番号や通信傾向を分析し、攻撃対象の推定に活用可能。- IoTマルウェアの特徴と類似した通信を行うIPアドレス情報┗ Mirai系など既知IoTマルウェアと同様の通信挙動(Telnet、5555/TCPなど)を検出した送信元を抽出。- ハニーポットにExploit試行を行ったIPアドレス情報┗ 実際にハニーポット上の脆弱サービスへExploitを試みたIPと、そのスキャン・攻撃手法の特徴を提供。- Exploitを行ったIPアドレスと類似したスキャン傾向を持つIPアドレス情報┗ 既知のExploit送信元と同一のスキャンパターンを持つIPをAIでクラスタリングし、潜在的攻撃者を特定。
【提供形態・価格】
- 提供形式:REST API / JSON Feed(MISP・STIX出力オプション対応予定)- 標準価格:年額60万円(税別)- 再販モデル(SOC/CSIRT向け):自社利用に加え、監視対象企業やグループ会社への再配布を許可するモデル。┗ 本体ライセンスを基軸に、再販時に利益を確保できるインセンティブ設計を採用しています。- OEM Embedded Feedプランについて:UTM・EDR・SIEMなどのセキュリティ製品やサービスへの組込み利用┗ 製品出荷数やユーザ数に応じた柔軟なライセンス体系で、各社独自のセキュリティ機能にSenda Nexusの脅威インテリジェンスを統合可能です。- Senda Nexus Pro(上位版):リアルタイム解析・専用API・高度な相関分析機能を提供予定。┗ 分析期間や提供範囲に応じたカスタムプランにも対応し、SOC・ベンダー各社の要件に柔軟に対応します。- 対象組織:SOC事業者、CSIRT、セキュリティベンダー、研究機関、通信事業者など
【出力仕様例(抜粋)】
[表2:
https://prtimes.jp/data/corp/89968/table/16_2_8fb8dfb2f72216e4679804cc6c6d3203.jpg?v=202510081016 ]
JSON出力例(抜粋)
{
"ip": "103.93.93.xxx",
"tags": ["Malware", "HTTP GET"],
"ports": [
{"port": 23, "count": 39},
{"port": 8080, "count": 18},
{"port": 80, "count": 12}
],
"total_syn_count": 91,
"top_ports": [23, 8080, 80],
"dominant_port": 23,
"dominant_port_share": 0.429,
"likely_role": ["Telnet / IoT Scanner (Mirai-like)", "Web Exploit Attempts (Public-Facing)"],
"confidence": "High",
"risk_score": 82,
"severity": "Critical",
"decision": "block",
"decision_reason": "Telnet-dominant scanning with HTTP exploit attempts detected.",
"observed_behavior": "Total SYNs: 91. Top ports: [23,8080,80]. Tags: ['Malware','HTTP GET'].",
"tactics": ["Reconnaissance", "Initial Access", "Exploit Public-Facing Application"],
"recommended_actions": [
"PerimeterでIPブロック、Telnet系試行の監視強化、IOCフィードへ追加",
"WAF/IPSでエンドポイントルールを強化しレート制限を適用"
]
}
【今後の展望】
RainForestでは、Senda Nexusを基盤として以下の展開を予定しています。
- AIクラスタリングによる攻撃者グループ推定 Darknet観測・行動パターンから攻撃者クラスターを自動抽出し、継続的な攻撃キャンペーンを追跡。- Trend Intelligence Timeline(時系列脅威トレンド) 日・週・月単位での攻撃活動の変化を自動解析し、リスクの上昇傾向を数値モデルとして出力します。
【本件に関するお問い合わせ】
株式会社レインフォレスト
広報担当:info@rainforest.tokyo
https://www.rainforest-cs.jp/
X(旧Twitter):
https://x.com/KouichirouOkada プレスリリース提供:PR TIMES
記事提供:PRTimes
