【真の使い方】ウイルススキャン以外のVirusTotal活用法

VirusTotal Webサービス
この記事は約8分で読めます。

「すべてのファイル・URLに対して問題ないか」を知っているわけがないため、知識カンニング(セカンドオピニオン)として使われるのがVirusTotal(ウイルストータル)だ。

基本はアップロードするだけ、怪しいサイトはURLを入れるだけだが、普通の使い方を教えるだけでは物足りない。

ここに来たからには、普通ではない理想の使い方「通信の監視」の存在をチラつかせ、「面倒の度合い妥協点」を探し、真の使い方の片鱗を見てもらおう。

3ヶ月前にデザインが変更された模様。元に戻るかもしれず、結局やることは同じなので日本版の画像も引き続き掲載。

スポンサーリンク

VirusTotalとは

VirusTotal

Googleが買収した(2012年)、超有名ウイルススキャンエンジンを搭載しまくったWeb サービス。

ぷっぷ
ぷっぷ

一度のスキャンで他社製品含め横断調査している扱いでOK!

現時点で70社以上、詳しい参加者は公式のContributors(貢献者)を確認しよう。もしかしなくても、有名どころのスキャンエンジンは確実に参加している。

スキャンは数の暴力により信用していいが、製品によってはデスクトップ版エンジンと若干違うらしい(面倒かつ複数同時スキャンをしているため、通常より安全判定で良い)。

Very often, antivirus companies parametrize their engines specifically for VirusTotal (stronger heuristics, cloud interaction, inclusion of beta signatures, etc.).

引用:AV product on VirusTotal detects a file and its equivalent commercial version does not – VirusTotal(英語)

多くの場合、ウイルス対策企業は自社のエンジンをVirusTotal(より強力なヒューリスティック、クラウドとの相互作用、ベータシグネチャの追加など)向けにパラメータ化している。

あまりにも不審ならセキュリティソフト(アンチウイルスソフト)でもスキャンしておき、検出したら駆除しよう。

似たようなサービスもあるので、一応リンクも置いておく。※VirusTotalの制限(1ファイルあたり64MB)。

注意事項

駆除はせずスキャンするだけなので、駆除はセキュリティソフトを使おう。

もう一つは、誰かに閲覧されると困る社外秘レベルのファイルはアップロードしないこと。

アップ時に書いてあるうえ、通常「知らないテリトリーにアップするのは嫌だストッパー」が発動するはずなのに、不発は確定でセキュリティ意識が甘い

日本版と同じことが書かれている
普通に書いてある

上記ストッパーと接点はないが、発動しなかった方は「セキュリティ意識とはなんなのか」を感じ取ることを勧める。

なお、「知らないテリトリーにアップするのは嫌だストッパー」は以下でも発動し、それを感じるなら習得済み。

  • PDF圧縮をWebサービスでする
  • パスワードをWebサービスで生成

※「上記サービスが安心できない」と言っているわけではなく、最終的な流出の権利が自分側にしかないかどうかが重要。この場合だと、自分以外にWebサービスが流出させてしまう可能性がある。

かわいい
かわいい

「Webにアップは避けるべき」と言っても、オフラインツールがそもそも信頼できなかったら同じことじゃない?

ぷっぷ
ぷっぷ

もちろんそのツールが「信頼できるか」調べる必要はあるけど、とりあえず社外秘系はネットにアップを避けるべきかなー

スポンサーリンク

真の使い方

通信の監視をした状態で、よくわからないものをVirusTotalでカンニングするのが真の使い方だ。

面倒に思えるかもしれないが、環境にもより、妥協で導入することになる点も否定できない。

セキュリティソフトだけでは防ぎきれない何らかの通信を、任意でブロックする。具体的な使用例は「起動させてもいないのに送信」といった感じで、そのたびにVirusTotalを見て、正常な通信かを調べる。なお、ワンクリックでVirusTotalに飛ぶソフトを使う。

人間が見ることで、「このタイミングで通信してるのは変じゃない?」・「通信する意味なくない?」という行程を増やし、管理者が蹂躙できる権利をプラスする。

別の言い方だと、一番厄介な正規ツールなりすましマルウェアを、通信のタイミングで「おかしい」と感知し、VirusTotalでカンニングをする。

正規ツールなりすましマルウェア封じが強み。セキュリティソフトでは機械的にしか判別できないため、自分自身の知恵(カンニングOK)を押し付ける。 ※正規の場所以外にある激烈に怪しいものは、VirusTotal以外で検索する必要アリ。

そして、疑わしきは罰する(推定有罪)原則を守ることで、何かを送信するマルウェアは通信ができず、無力化できる。

だが、面倒は不可避であるため、「どこが面倒」・「面倒の度合い」を説明していく。

通信の監視の問題点

1・2はVirusTotalで乗り切れるが、3・4が重く、4が最大の妥協ポイントだ。

  1. どれが正規・偽物かわからない
  2. 「困ったら検索する基礎」がないため、過度に専門知識必須と考えがち
  3. ブロックした後の対処法がわからない
    • 具体例通信をブロックした際どのようなエラーがでるかわからない → 結果、うやむやにする
  4. 「ずっと管理という概念」を受け付けない

3は後述する「Windows Firewall Control」の使い方を紹介する際、ブロックしたものを忘れないよう仕込むので回避可能。

4の「ずっと管理」は不可避であり、永遠に付き合ってもらう。

ぷっぷ
ぷっぷ

昔の話だけど、ブロックしたのを忘れちゃったし、せっかく作ったルールの移行方法がわからなかったし、それが原因でやめちゃった。

面倒の度合い

セキュリティ最強に近づくために通信の監視を語らない」のはありえないので、導入後どの程度面倒が緩和されるのかを補足。

  • 監視は常時ではなく、導入直後数分に集中。面倒率75%はここで終了
    • ブラウザ・セキュリティソフト・Windowsのシステムといった「現在使用中の通信をブロックするか」を立て続けに聞かれる
  • 「通信を許可しますか」出現時、ワンクリックでVirusTotalへ飛べる機能付属(超便利)
  • 一歩先の調べ方(中級者へのステップアップ):ファイルの場所をワンクリックで開けるため、正常な場所にあるかどうか判別可能。検索して無関係の場所か確定次第抹殺
  • あとはアプリ起動時に通信するものを許可したり、時折出現する謎なものはすべてVirusTotalで調べ、納得がいかなかったら推定有罪にかける:面倒率5%
  • 知識無視で導入する方:今後通信エラー時に原因を探るため、通信ブロック直後、ブロックリストの名前に目印を付ける:面倒率20%

※実際の面倒率は25%(主観)となっており、目印を付けなくてもわかるなら、20%をサボれる。ただ、一歩先の調べ方は面倒率20%上乗せ。

いつの間にか上級者に格上げ後、ブロックするリストに目印を付けなくてもよくなり、二週間も経てば「ブロックするか通知」も減っているので、3~7日に1回ほどの確認で落ち着く。

もちろん、アプリが多ければ選別する数は増える。

スポンサーリンク

具体的な使い方:投票システムで真実のあぶり出し

VirusTotalで真実のあぶり出しとして使える指標は以下の3つ。

  1. 検出数結果:有名だとMicrosoftなどの名前が出現し、緑字ならだいたいOK
    • 赤字はどこかのエンジンが検出、基本誤検知を疑い、以下のコミュニティ系をチェック
  2. 投票結果(無害有害アカウントがなくても投票可能
    • チェックにカーソルを合わせると投票数を確認できる
  3. コメントと投票者を確認(99%英語:日本人絶滅)
英語版VirusTotalの見方
VirusTotalの見方
旧日本版

が特に重要となっており、「無害」か「有害」か? を、アカウントなしで投票できる

わざわざアカウントを作成してコメントを投票しなくても、こちらで意思表示ができる。当サイトとしては是非協力してほしいため、気が向いたら投票しよう。

投票に協力する聖人へ

「十分な証拠がある場合」とあるので躊躇するかもしれないが、65%ほどでいい。だいたいGoogleを有害判定にしてDuckDuckGoを紹介するほどいい加減だったりするので、何もしないよりも、後押しする方が有益だと私は判断して、コメントと投票をおこなっている。

ぷっぷ
ぷっぷ

ずるい言い方になっちゃうけど、最終的に決めるのは自分だから、間違った投票をしても責任は取られないと思う(*゚▽゚)

スポンサーリンク

Windows Firewall Controlと一緒に使う

挑戦する気になっただろうか。

Windowsデフォルトのファイアウォールを制御できるようにする、「ウィンドウズ ファイアウォール コントロール」を使い、VirusTotalとセットで使う。

なぜこのツールなのかというと、「ワンクリックでVirusTotalへ飛び、カンニングできる部分が初心者に有効」であるため。コレがないと知識無視利用のハードルが上がる。

このソフト(binisoft製)は有能すぎた結果、Malwarebytes(マルウェアバイト)に買収されており、現在は全機能無料で使える(昔は有料プランがあった?)。

コメント

タイトルとURLをコピーしました