株式会社レインフォレスト

サイバーインテリジェンスの研究開発を行う RainForest（所在地：東京都杉並区、代表取締役：岡田晃市郎）は、2025年10月5日より、脅威インテリジェンスAPI「Senda Nexus - Cyber Threat Intelligence Feed」（以下、Senda Nexus）を正式リリースいたします。



本サービスは、NICT（情報通信研究機構）のDarknet観測データと、RainForestが独自に開発・運用するハニーポット群の解析結果を突合することで、IoTマルウェアやスキャナー活動などの攻撃元IPを高精度に特定・分類する、日本語で理解できる商用サイバー脅威インテリジェンスAPIです。

【Senda Nexus の特徴】

1. NICT Darknet × 自社ハニーポットの突合解析

Senda Nexusは、NICTが観測する膨大なDarknetトラフィックと、

RainForest独自のハニーポット観測データを照合・分析することで、

攻撃元IPの行動傾向（Telnetスキャン、HTTP Exploit試行、Malware Download活動など）を自動分類。

単なるスキャナーリストではなく「攻撃者の行動と意図を構造化した脅威インテリジェンス」を提供します。

2. 高精度スコアリングと自動判断モデル

各IPアドレスに対して以下の情報を自動生成し、SOC／CSIRTで即利用可能です。

[表1: https://prtimes.jp/data/corp/89968/table/16_1_e45e3d0fba08581fc43c4eb1da27feb0.jpg?v=202510080926 ]

これにより、セキュリティ運用者は「即遮断」「観察継続」などの判断を自動化できます。

3. 日本語で理解できる実用的インテリジェンス

Senda Nexusの出力データは、分析担当者がそのままレポート・SOC運用に活用できるよう、

行動要約・推定ロール・推奨対応策を日本語で出力します。

WAF・SIEM・EDR・SOARなどとの連携にも対応し、組織防御の即応性を向上させます。

4. 二重観測モデルによる攻撃意図の解明

従来のDarknet観測では、「接続試行＝攻撃意図」を特定するのが困難でした。

Senda Nexusはこれを補うため、Darknet（誘導観測）＋実ハニーポット（実挙動観測）を組み合わせ、「どの攻撃者がどのポートを狙い、何を試しているのか」までを明確化します。

【提供API】

Senda Nexusでは、観測データおよび相関分析結果をもとに、以下の脅威インテリジェンスAPIを提供します。各エンドポイントからは、攻撃元IPやスキャン挙動に関する詳細なメタデータを取得できます。

【提供形態・価格】

【出力仕様例（抜粋）】

- 大規模スキャンを実施しているIPアドレス情報┗ Darknetおよびハニーポットで高頻度のスキャン活動を確認した送信元IPを提供。- 大規模スキャンを行っているIPアドレスのスキャン対象ポート情報┗ 各スキャナーが主に探索しているポート番号や通信傾向を分析し、攻撃対象の推定に活用可能。- IoTマルウェアの特徴と類似した通信を行うIPアドレス情報┗ Mirai系など既知IoTマルウェアと同様の通信挙動（Telnet、5555/TCPなど）を検出した送信元を抽出。- ハニーポットにExploit試行を行ったIPアドレス情報┗ 実際にハニーポット上の脆弱サービスへExploitを試みたIPと、そのスキャン・攻撃手法の特徴を提供。- Exploitを行ったIPアドレスと類似したスキャン傾向を持つIPアドレス情報┗ 既知のExploit送信元と同一のスキャンパターンを持つIPをAIでクラスタリングし、潜在的攻撃者を特定。- 提供形式：REST API / JSON Feed（MISP・STIX出力オプション対応予定）- 標準価格：年額60万円（税別）- 再販モデル（SOC／CSIRT向け）：自社利用に加え、監視対象企業やグループ会社への再配布を許可するモデル。┗ 本体ライセンスを基軸に、再販時に利益を確保できるインセンティブ設計を採用しています。- OEM Embedded Feedプランについて：UTM・EDR・SIEMなどのセキュリティ製品やサービスへの組込み利用┗ 製品出荷数やユーザ数に応じた柔軟なライセンス体系で、各社独自のセキュリティ機能にSenda Nexusの脅威インテリジェンスを統合可能です。- Senda Nexus Pro（上位版）：リアルタイム解析・専用API・高度な相関分析機能を提供予定。┗ 分析期間や提供範囲に応じたカスタムプランにも対応し、SOC・ベンダー各社の要件に柔軟に対応します。- 対象組織：SOC事業者、CSIRT、セキュリティベンダー、研究機関、通信事業者など[表2: https://prtimes.jp/data/corp/89968/table/16_2_8fb8dfb2f72216e4679804cc6c6d3203.jpg?v=202510080926 ]

JSON出力例（抜粋）

{

"ip": "103.93.93.xxx",

"tags": ["Malware", "HTTP GET"],

"ports": [

{"port": 23, "count": 39},

{"port": 8080, "count": 18},

{"port": 80, "count": 12}

],

"total_syn_count": 91,

"top_ports": [23, 8080, 80],

"dominant_port": 23,

"dominant_port_share": 0.429,

"likely_role": ["Telnet / IoT Scanner (Mirai-like)", "Web Exploit Attempts (Public-Facing)"],

"confidence": "High",

"risk_score": 82,

"severity": "Critical",

"decision": "block",

"decision_reason": "Telnet-dominant scanning with HTTP exploit attempts detected.",

"observed_behavior": "Total SYNs: 91. Top ports: [23,8080,80]. Tags: ['Malware','HTTP GET'].",

"tactics": ["Reconnaissance", "Initial Access", "Exploit Public-Facing Application"],

"recommended_actions": [

"PerimeterでIPブロック、Telnet系試行の監視強化、IOCフィードへ追加",

"WAF/IPSでエンドポイントルールを強化しレート制限を適用"

]

}

【今後の展望】

RainForestでは、Senda Nexusを基盤として以下の展開を予定しています。

【本件に関するお問い合わせ】

- AIクラスタリングによる攻撃者グループ推定 Darknet観測・行動パターンから攻撃者クラスターを自動抽出し、継続的な攻撃キャンペーンを追跡。- Trend Intelligence Timeline（時系列脅威トレンド） 日・週・月単位での攻撃活動の変化を自動解析し、リスクの上昇傾向を数値モデルとして出力します。

株式会社レインフォレスト

広報担当：info@rainforest.tokyo

https://www.rainforest-cs.jp/

X（旧Twitter）：https://x.com/KouichirouOkada