# インテリジェンス {#intelligence}

Takumi Guard のブロックリストは、GMO Flatt Security のセキュリティリサーチチームが構築・運用する脅威分析基盤によって維持されています。このページでは、脅威情報の収集から判定までの仕組みを説明します。

## 分析パイプライン {#analysis-pipeline}

ブロックリストの構築は、以下のパイプラインで行われます。

```mermaid
flowchart LR
    A["レジストリ変更フィード"] --> B["パッケージ取得"]
    B --> C["自動分析"]
    C --> D{"判定"}
    D -->|悪意あり| E["ブロックリストに追加"]
    D -->|安全| F["スキップ"]
```

### 1. 新規パッケージの監視 {#monitoring}

各パッケージレジストリが提供する変更フィードを継続的に監視することで、公開直後のパッケージも分析対象に含めています。

### 2. 自動分析 {#automated-analysis}

取得したパッケージは、リサーチチームが構築した自動分析パイプラインにかけられます。インストールスクリプトの検査、難読化されたコードの検出、既知のマルウェアパターンとのマッチング、サンドボックス環境での実行による不審な挙動の検出など、複数の手法を組み合わせて悪意の有無を判定します。

### 3. 判定とブロックリスト更新 {#verdict}

分析結果に基づき、以下のカテゴリでブロック対象が判定されます。

- **マルウェア**:インストール時や実行時に悪意ある動作を行うパッケージ
- **タイポスクワッティング**:人気パッケージに酷似した名前で悪意あるコードを配布するパッケージ
- **侵害済みパッケージ**:正規のパッケージがアカウント乗っ取りなどにより侵害されたバージョン

ブロックリストは随時更新され、Takumi Guard のすべてのインスタンスに反映されます。

## 公開アドバイザリとの違い {#vs-public-advisories}

公開アドバイザリデータベース（GitHub Advisory Database など）は、報告・確認されてから掲載されるまでにタイムラグがあります。Takumi Guard のインテリジェンス基盤はレジストリの変更フィードからリアルタイムに分析を行うため、公開アドバイザリに掲載される前の**ゼロデイの悪意あるパッケージ**にも対応できます。

## カバレッジ {#coverage}

Takumi Guard を提供しているエコシステムに対して、上記のようなインテリジェンス基盤を構築・運用しています。