「すべてのファイル・URLに対して問題ないか」を知っているわけがないため、知識カンニング(セカンドオピニオン)として使われるのがVirusTotal(ウイルストータル)だ。
ここに来たからには、普通ではない理想の使い方「通信の監視」の存在をチラつかせ、「面倒の度合い妥協点」を探し、真の使い方の片鱗を見てもらおう。
VirusTotalとは
Googleが買収した(2012年)、超有名ウイルススキャンエンジンを搭載しまくったWeb サービス。
一度のスキャンで他社製品含め横断調査している扱いでOK!
現時点で70社以上、詳しい参加者は公式のContributors(貢献者)を確認しよう。もしかしなくても、有名どころのスキャンエンジンは確実に参加している。
スキャンは数の暴力により信用していいが、製品によってはデスクトップ版エンジンと若干違うらしい(面倒かつ複数同時スキャンをしているため、通常より安全判定で良い)。
Very often, antivirus companies parametrize their engines specifically for VirusTotal (stronger heuristics, cloud interaction, inclusion of beta signatures, etc.).
引用:AV product on VirusTotal detects a file and its equivalent commercial version does not – VirusTotal(英語)
多くの場合、ウイルス対策企業は自社のエンジンをVirusTotal(より強力なヒューリスティック、クラウドとの相互作用、ベータシグネチャの追加など)向けにパラメータ化している。
あまりにも不審ならセキュリティソフト(アンチウイルスソフト)でもスキャンしておき、検出したら駆除しよう。
似たようなサービスもあるので、一応リンクも置いておく。※VirusTotalの制限(1ファイルあたり64MB)。
- OPSWAT MetaDefender Cloud(1日40ファイル:MB制限不明)
- Jotti(同時5ファイル:1ファイルあたり250MB)
注意事項
駆除はせずスキャンするだけなので、駆除はセキュリティソフトを使おう。
もう一つは、誰かに閲覧されると困る社外秘レベルのファイルはアップロードしないこと。
アップ時に書いてあるうえ、通常「知らないテリトリーにアップするのは嫌だストッパー」が発動するはずなのに、不発は確定でセキュリティ意識が甘い。
※現在は日本語ではないので気づきにくい。
上記ストッパーと接点はないが、発動しなかった方は「セキュリティ意識とはなんなのか」を感じ取ることを勧める。
なお、「知らないテリトリーにアップするのは嫌だストッパー」は以下でも発動し、それを感じるなら習得済み。
- PDF圧縮をWebサービスでする
- パスワードをWebサービスで生成
※「上記サービスが安心できない」と言っているわけではなく、最終的な流出の権利が自分側にしかないかどうかが重要。この場合だと、自分以外にWebサービスが流出させてしまう可能性がある。
「Webにアップは避けるべき」と言っても、オフラインツールがそもそも信頼できなかったら同じことじゃない?
もちろんそのツールが「信頼できるか」調べる必要はあるけど、とりあえず社外秘系はネットにアップを避けるべきかなー
真の使い方
通信の監視をした状態で、よくわからないものをVirusTotalでカンニングするのが真の使い方だ。
面倒に思えるかもしれないが、環境にもより、妥協で導入することになる点も否定できない。
セキュリティソフトだけでは防ぎきれない何らかの通信を、任意でブロックする。具体的な使用例は「起動させてもいないのに送信」といった感じで、そのたびにVirusTotalを見て、正常な通信かを調べる。なお、ワンクリックでVirusTotalに飛ぶソフトを使う。
人間が見ることで、「このタイミングで通信してるのは変じゃない?」・「通信する意味なくない?」という行程を増やし、管理者が蹂躙できる権利をプラスする。
別の言い方だと、一番厄介な正規ツールなりすましマルウェアを、通信のタイミングで「おかしい」と感知し、VirusTotalでカンニングをする。
正規ツールなりすましマルウェア封じが強み。セキュリティソフトでは機械的にしか判別できないため、自分自身の知恵(カンニングOK)を押し付ける。 ※正規の場所以外にある激烈に怪しいものは、VirusTotal以外で検索する必要アリ。
そして、疑わしきは罰する(推定有罪:人に使うの禁止)原則を守ることで、何かを送信するマルウェアは通信ができず、無力化できる。
だが、面倒は不可避であるため「どこが面倒」・「面倒の度合い」を説明していく。
通信の監視の問題点
1・2はVirusTotalで乗り切れるが、3・4が重く、4が最大の妥協ポイントだ。
- どれが正規・偽物かわからない
- 「困ったら検索する基礎」がないため、過度に専門知識必須と考えがち
- ブロックした後の対処法がわからない
- 具体例:通信をブロックした際どのようなエラーがでるかわからない → 結果、うやむやにする
- 「ずっと管理という概念」を受け付けない
3は後述する「Windows Firewall Control」の使い方を紹介する際、ブロックしたものを忘れないよう仕込むので回避可能。
4の「ずっと管理」は不可避であり、永遠に付き合ってもらう。
昔の話だけど、ブロックしたのを忘れちゃったし、せっかく作ったルールの移行方法がわからなかったし、それが原因でやめちゃった。
面倒の度合い
「セキュリティ最強に近づくために通信の監視を語らない」のはありえないので、導入後どの程度面倒が緩和されるのかを補足。
- 監視は常時ではなく、導入直後数分に集中。面倒率75%はここで終了
- ブラウザ・セキュリティソフト・Windowsのシステムといった「現在使用中の通信をブロックするか」を立て続けに聞かれる
- 「通信を許可しますか」出現時、ワンクリックでVirusTotalへ飛べる機能付属(超便利)
- 一歩先の調べ方(中級者へのステップアップ):ファイルの場所をワンクリックで開けるため、正常な場所にあるかどうか判別可能。検索して無関係の場所か確定次第抹殺
- あとはアプリ起動時に通信するものを許可したり、時折出現する謎なものはすべてVirusTotalで調べ、納得がいかなかったら推定有罪にかける:面倒率5%
- 知識無視で導入する方:今後通信エラー時に原因を探るため、通信ブロック直後、ブロックリストの名前に目印を付ける:面倒率20%
※実際の面倒率は25%(主観)となっており、目印を付けなくてもわかるなら、20%をサボれる。ただ、一歩先の調べ方は面倒率20%上乗せ。
いつの間にか上級者に格上げ後、ブロックするリストに目印を付けなくてもよくなり、二週間も経てば「ブロックするか通知」も減っているので、3~7日に1回ほどの確認で落ち着く。
もちろん、アプリが多ければ選別する数は増える。
具体的な使い方:投票システムで真実のあぶり出し
VirusTotalで真実のあぶり出しとして使える指標は以下の3つ。
- 検出数結果:有名だとMicrosoftなどの名前が出現し、緑字ならだいたいOK
- 赤字はどこかのエンジンが検出、基本誤検知を疑い、以下のコミュニティ系をチェック
- 投票結果(無害か有害かアカウントがなくても投票可能)
- チェックにカーソルを合わせると投票数を確認できる
- コメントと投票者を確認(99%英語:日本人絶滅)
②が特に重要となっており、「無害」か「有害」か? を、アカウントなしで投票できる。
わざわざアカウントを作成してコメントを投票しなくても、こちらで意思表示ができる。当サイトとしては是非協力してほしいため、気が向いたら投票しよう。
「十分な証拠がある場合」とあるので躊躇するかもしれないが、65%ほどでいい。だいたいGoogleを有害判定にしてDuckDuckGoを紹介するほどいい加減だったりするので、何もしないよりも、後押しする方が有益だと私は判断して、コメントと投票をおこなっている。
ずるい言い方になっちゃうけど、最終的に決めるのは自分だから、間違った投票をしても責任は取られないと思う(*゚▽゚)
Windows Firewall Controlと一緒に使う
挑戦する気になっただろうか。
Windowsデフォルトのファイアウォールを制御できるようにする「ウィンドウズ ファイアウォール コントロール」を使い、VirusTotalとセットで使う。
なぜこのツールなのかというと、「ワンクリックでVirusTotalへ飛び、カンニングできる部分が初心者に有効」であるため。コレがないと知識無視利用のハードルが上がる。
このソフト(binisoft製)は有能すぎた結果Malwarebytes(マルウェアバイト)に買収されており、現在は全機能無料で使える(昔は有料プランがあった?)。
コメント
こんにちは。
VirustotalでIPアドレスを検索したところ、検出自体は0/85なのですが、「このIPアドレスを埋め込んだ5つの検出されたファイル」との青地メッセージが上段に表示され、検出・詳細・関係・コミュニティのタブのうち、関係タブに検出されたであろう5つのファイルが表示されているのですが、このページはどのように見ればいいのでしょうか?
どうぞよろしくお願いいたします。
「5+ detected files communicating with this IP address」ってやつですね。
全然わからないです(´ε`;)
基本的に詳細まで確認せずエンジンの結果しかみないので(そこまでの知識がないため)、ヘルプを確認する感じになっちゃうと思います。
先ほど、下記サイトについて知り、試しに色々なファイルでウィルスが検出されるか試してみました。
「https://www.virustotal.com/gui/」
検出結果ですべて緑色(赤色なし)であれば安全と判断できますが、
有害(赤色)が1以上となった場合に、検出結果をどう考えるのが合理的
なのか、分かりませんでしたので、お知恵をお借り出来ないでしょうか。
2点質問させて下さい。
69中2のマルウェア検出結果となったファイルについて、
「Community Score」を見たところ、緑89となっておりました。
この場合、コミュニティの評価を参考にして、安全と良いと思います。
ですが仮に、
①コミュニティスコアが0の場合は、どう考えるのが合理的でしょうか。
例)
有害判定個数よりも、パーセンテージで考えて,
69中3(0.43%)程度(目安として5%以下くらい)であれば、安全と考えられる。
例)
1個でも検出されれば危険と判断した方が良い。
ちなみに判断基準は、職場か自宅のプライベートかでも
左右されるかと思いますが、自宅でのプライベートについて、お尋ねしております。
職場であれば、1個でも検出されれば使わない方が良いと判断すると思います。
ですが、個人使用のPCの場合、色々なフリーソフトを入れるので
有害が複数個検出されることがあると思います。
②exeファイル、もしくはゲームソフトのexeファイルは誤検出しやすい等ありますでしょうか。
ある14年以上前のKOEIのパソコンゲームをセットアップするための
exeファイルについて、検査したところ、71個中5個となりました。
こちら正規品のDVDからダウンロードしたものであり、驚いた次第です。
なにかボーダーを決めているわけじゃなく、経験・知識で決めてますね(´ε`;)
なので、①は無視してほぼ②の「②exeファイル、もしくはゲームソフトのexeファイルは誤検出しやすい」で判断しています。
以下よければ参考にしてください。
ソレを使わないと目的が果たせない系は仕掛ける側の心理をついた判断方法ですので、ちょっとわかりにくいかもしれません。
大体は上記の業界?産が引っかかるかと思いますので、その都度検査し、アドウェア(大体はスパイウェアだと判断するべき)程度ならインストールしてアドウェアだけキレイさっぱり消すか、どこかで妥協、代替品探しをする感じですかね。
必要だからインストールすると思いますし、マルウェア検知数で決めるのは非現実的だと思います。
可能であれば、オープンソースの代替品を英語で探すと良しです。
また、相手側の心理だと狙い撃ちできない個人情報を売ったところでお金にならないため、アドウェアの方が即金率高いはず?(予測)。
よって、Malwarebytesで駆逐すれば間違っても乗り切れるかも。
正規品なら無視っぽいですね。
Virus Totalにファイルをアップするのは公衆送信権の侵害にはあたらないのでしょうか。「よく考えたらこれ不特定多数が閲覧できる環境にファイルをアップロードしているのでは?」とふと気になってVirus Totalに言及しているサイトを色々と調べていたのですがどこも権利関係のことには書いてなくて…
我ながら気にするのもナンセンスな点だとは思うのですが、ご意見お聞きしたいです。
(゚~゚o)ウゥーン どうなんでしょう……
調べていませんが、「アップしたら規約に同意」というシステムなので、責任を「アップした本人」にちゃんと移動しているように見えますが、法律関係は詳しくわかりません。
Twitterでいう、「アップした画像に著作権的問題があった場合、その責任はアップした本人」と同じようには見えます。
日本語が消えたのは、実は関係あったりして( Ꙭ)