YARA-X 1.11.0 Released With a New Hash Function Warnings
2026/01/12 CyberSecurityNews — VirusTotal が公開したのは、マルウェアの識別や分類に広く利用される検出エンジンの次世代版、YARA-X バージョン 1.11.0 である。今回のアップデートでは、ルールの信頼性向上と誤検出 (False Positive) の削減を目的とした重要な新機能が追加されている。特に、ハッシュ関数利用時の警告機能が実装されたことで、セキュリティ研究者がルール作成時に陥りやすい記述ミスを自動的に検知し、より精度の高い検出ルールの構築が支援される。
YARA ルールの作成時にアナリストが必要とするものには、ファイル・ハッシュ全体またはファイル・コンテンツの一部などの、特定の暗号ハッシュの照合がある。しかし、これらの操作は本質的には文字列比較であり、ハッシュ自体の検証ではない。
YARA-X の “hash.sha256” などのハッシュ関数は、計算されたハッシュ値を表す 16 進文字列を返す。これらの文字列は、ルール内で指定されたリテラルなハッシュ値と比較されるため、この仕組み自体は正しく機能するが、人為的エラーが発生しやすい。新しい警告システムは、YARA ルール開発において頻発する2つの問題に対処するものだ。
タイプミスとフォーマット・エラー:セキュリティ・アナリストは、ハッシュ値を入力する際に単純なミスを犯すことが多い。たとえば、意図しないスペースの追加/文字の入力ミス/フォーマットの不一致などにより、ルールが意図したターゲットに一致しなくなる。従来は、これらのエラーは通知されずに失敗していた。
ハッシュ・アルゴリズムの不一致:開発者が異なるハッシュタイプを誤って混在させる場合にも問題が発生する。たとえば、SHA256 で比較する意図があるにもかかわらず、SHA1 のハッシュ文字列を指定した場合には、文字列長やフォーマットが一致せず、ルールが成立しなくなる。
今回のリリースにおける他の改善点
YARA-X 1.11.0 では、ハッシュ関数の警告機能に加えて、複数のモジュールおよび API をカバーする重要な機能強化が実施された。
| Feature | Description |
|---|---|
| Hash Function Warnings | Flags hash errors and mismatches in YARA rules |
| DEX & Mach-O Updates | Improved Android and macOS file detection |
| CRX Permhash | Adds Chrome extension analysis support |
| Python & C API Updates | New imports method and console logging |
| Stricter Validation | Catches more rule errors |
| GIL Optimization & Fixes | Improves stability and scan performance |
DEX モジュールの実装により、Android DEX ファイルの検出が可能になった。その一方で、macOS モジュールでは、”LC_LAZY_LOAD_DYLIB” や “LC_LOAD_UPWARD_DYLIB” などの、追加 Mach-O ロード・コマンドの解析がサポートされるようになった。
今回のリリースでは、より厳格な検証ルールを適用するために、パーサーも強化されている。Python API には “imports()” メソッドなどの新機能が追加された。
CRX モジュールには permhash 機能が実装され、Chrome エクステンションの分析能力が拡張された。また、パーサーの信頼性やルール実行に影響を及ぼしていた深刻なバグが修正されている。
具体的には、ブール値比較時や無効な Unicode エスケープシーケンス処理時に発生していたパニック状態が解消された。Python モジュールも最適化され、スキャン処理中に不要なグローバル・インタープリタ・ロックの取得を回避することで、性能が向上した。
GitHub のアドバイザリによると、YARA-X 1.11.0 は Windows/macOS/Linux に対して提供される。このリリースには、バイナリ配布物とソースコードの両方が含まれており、世界中の開発者およびセキュリティ・チームを支援する。
このアップデートは、YARA-X が堅牢かつユーザー・フレンドリーなマルウェア検出機能を提供し続けるという、取り組みを強化するものといえる。
マルウェア解析で欠かせない、YARA-X がアップデートされました。今回のアップデートの主題は、 YARA ルールを作成する際の人為的な記述ミスやハッシュ設定の不整合の削減にあります。具体的には、ハッシュ値を入力する際のスぺース混入や文字の間違いといった単純なタイプミス、あるいは SHA256 で比較すべき場所に誤って SHA1 の値を指定してしまうといったアルゴリズムの取り違えに対処しています。これまでは、こうしたミスがあってもエラーとして通知されず、単に検知に失敗するだけであり、ルールの信頼性を損なう要因となっていました。ご利用のチームは、アップデートを、ご確認ください。よろしければ、YARA での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.