【真の使い方】ウイルススキャン以外のVirusTotal活用法

VirusTotal Webサービス
この記事は約9分で読めます。

「すべてのファイル・URLに対して問題ないか」を知っているわけがないため、知識カンニング(セカンドオピニオン)として使われるのがVirusTotal(ウイルストータル)だ。

基本はアップロードするだけ、怪しいサイトはURLを入れるだけだが、普通の使い方を教えるだけでは物足りない。

ここに来たからには、普通ではない理想の使い方「通信の監視」の存在をチラつかせ、「面倒の度合い妥協点」を探し、真の使い方の片鱗を見てもらおう。

スポンサーリンク

VirusTotalとは

VirusTotal

Googleが買収した(2012年)、超有名ウイルススキャンエンジンを搭載しまくったWeb サービス。

ぷっぷ
ぷっぷ

一度のスキャンで他社製品含め横断調査している扱いでOK!

現時点で70社以上、詳しい参加者は公式のContributors(貢献者)を確認しよう。もしかしなくても、有名どころのスキャンエンジンは確実に参加している。

スキャンは数の暴力により信用していいが、製品によってはデスクトップ版エンジンと若干違うらしい(面倒かつ複数同時スキャンをしているため、通常より安全判定で良い)。

VirusTotal’s antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions

引用:VirusTotal statistics(英語)

VirusTotalのアンチウイルスエンジンはコマンドライン版であるため、製品によってはデスクトップ版とまったく同じように動作しない

あまりにも不審ならセキュリティソフト(アンチウイルスソフト)でもスキャンしておき、検出したら駆除しよう。

似たようなサービスもあるので、一応リンクも置いておく。※VirusTotalの制限(1ファイルあたり64MB)。

注意事項

駆除はせずスキャンするだけなので、駆除はセキュリティソフトを使おう。

もう一つは、誰かに閲覧されると困る社外秘レベルのファイルはアップロードしないこと。

アップ時に書いてあるうえ、通常「知らないテリトリーにアップするのは嫌だストッパー」が発動するはずなのに、不発は確定でセキュリティ意識が甘い

普通に書いてある

上記ストッパーと接点はないが、発動しなかった方は「セキュリティ意識とはなんなのか」を感じ取ることを勧める。

なお、「知らないテリトリーにアップするのは嫌だストッパー」は以下でも発動し、それを感じるなら習得済み。

  • PDF圧縮をWebサービスでする
  • パスワードをWebサービスで生成

※「上記サービスが安心できない」と言っているわけではなく、最終的な流出の権利が自分側にしかないかどうかが重要。この場合だと、自分以外にWebサービスが流出させてしまう可能性がある。

かわいい
かわいい

「Webにアップは避けるべき」と言っても、オフラインツールがそもそも信頼できなかったら同じことじゃない?

ぷっぷ
ぷっぷ

もちろんそのツールが「信頼できるか」調べる必要はあるけど、とりあえず社外秘系はネットにアップを避けるべきかなー

スポンサーリンク

真の使い方

通信の監視をした状態で、よくわからないものをVirusTotalでカンニングするのが真の使い方だ。

面倒に思えるかもしれないが、環境にもより、妥協で導入することになる点も否定できない。

セキュリティソフトだけでは防ぎきれない何らかの通信を、任意でブロックする。具体的な使用例は「起動させてもいないのに送信」といった感じで、そのたびにVirusTotalを見て、正常な通信かを調べる。なお、ワンクリックでVirusTotalに飛ぶソフトを使う。

人間が見ることで、「このタイミングで通信してるのは変じゃない?」・「通信する意味なくない?」という行程を増やし、管理者が蹂躙できる権利をプラスする。

別の言い方だと、一番厄介な正規ツールなりすましマルウェアを、通信のタイミングで「おかしい」と感知し、VirusTotalでカンニングをする。

正規ツールなりすましマルウェア封じが強み。セキュリティソフトでは機械的にしか判別できないため、自分自身の知恵(カンニングOK)を押し付ける。 ※正規の場所以外にある激烈に怪しいものは、VirusTotal以外で検索する必要アリ。

そして、疑わしきは罰する(推定有罪)原則を守ることで、何かを送信するマルウェアは通信ができず、無力化できる。

だが、面倒は不可避であるため、「どこが面倒」・「面倒の度合い」を説明していく。

通信の監視の問題点

1・2はVirusTotalで乗り切れるが、3・4が重く、4が最大の妥協ポイントだ。

  1. どれが正規・偽物かわからない
  2. 「困ったら検索する基礎」がないため、過度に専門知識必須と考えがち
  3. ブロックした後の対処法がわからない
    • 具体例通信をブロックした際どのようなエラーがでるかわからない → 結果、うやむやにする
  4. 「ずっと管理という概念」を受け付けない

3は後述する「Windows Firewall Control」の使い方を紹介する際、ブロックしたものを忘れないよう仕込むので回避可能。

4の「ずっと管理」は不可避であり、永遠に付き合ってもらう。

ぷっぷ
ぷっぷ

昔の話だけど、ブロックしたのを忘れちゃったし、せっかく作ったルールの移行方法がわからなかったし、それが原因でやめちゃった。

面倒の度合い

セキュリティ最強に近づくために通信の監視を語らない」のはありえないので、導入後どの程度面倒が緩和されるのかを補足。

  • 監視は常時ではなく、導入直後数分に集中。面倒率75%はここで終了
    • ブラウザ・セキュリティソフト・Windowsのシステムといった「現在使用中の通信をブロックするか」を立て続けに聞かれる
  • 「通信を許可しますか」出現時、ワンクリックでVirusTotalへ飛べる機能付属(超便利)
  • 一歩先の調べ方(中級者へのステップアップ):ファイルの場所をワンクリックで開けるため、正常な場所にあるかどうか判別可能。検索して無関係の場所か確定次第抹殺
  • あとはアプリ起動時に通信するものを許可したり、時折出現する謎なものはすべてVirusTotalで調べ、納得がいかなかったら推定有罪にかける:面倒率5%
  • 知識無視で導入する方:今後通信エラー時に原因を探るため、通信ブロック直後、ブロックリストの名前に目印を付ける:面倒率20%

※実際の面倒率は25%(主観)となっており、目印を付けなくてもわかるなら、20%をサボれる。ただ、一歩先の調べ方は面倒率20%上乗せ。

いつの間にか上級者に格上げ後、ブロックするリストに目印を付けなくてもよくなり、二週間も経てば「ブロックするか通知」も減っているので、3~7日に1回ほどの確認で落ち着く。

もちろん、アプリが多ければ選別する数は増える。

スポンサーリンク

具体的な使い方:投票システムで真実のあぶり出し

VirusTotalで真実のあぶり出しとして使える指標は以下の4つ。

  1. アンチウイルススキャン結果
  2. 分析日時の下緑字Trusted source!(信頼できる情報源)と出現することがある
    1. Microsoft関係しか見たことがない
  3. 誰かのコメント(99%英語:日本人激レア)
  4. 投票結果(無害か有害かアカウントがなくても投票可能
VirusTotalの見方

スキャン結果だけで納得できないから通信の監視をしているため、スキャン結果は基本流し読みで、赤文字出現時に意識すればよい。

Trusted source!(信頼できる情報源)は、Microsoft以外で似たようなものが表示されるかどうか不明。一つの指標として使おう。

③コメントの確認が可能。コメント投稿はアカウント必須となっており、日本VirusTotalで作ると初回のみコメントできないようだ。

日本人絶滅の模様。国別送信回数統計でも日本の文字がないレベル(1%未満)。

その場合は、URLに含まれる「ja(日本という意味)」を「#」に変え、その状態で該当する場所にコメントを書き込むと、以後「ja」の方で書き込みが可能になる。もちろんいつでも削除可能。

④「無害」か「有害」かを、アカウントなしで投票できる

わざわざアカウントを作成してコメントを投票しなくても、こちらで意思表示ができる。当サイトとしては是非協力してほしいため、気が向いたら投票しよう。

投票に協力する聖人へ

「十分な証拠がある場合」とあるので躊躇するかもしれないが、65%ほどでいい。だいたいGoogleを有害判定にしてDuckDuckGoを紹介するほどいい加減だったりするので、何もしないよりも、後押しする方が有益だと私は判断して、コメントと投票をおこなっている。

ぷっぷ
ぷっぷ

ずるい言い方になっちゃうけど、最終的に決めるのは自分だから、間違った投票をしても責任は取られないと思う(*゚▽゚)

スポンサーリンク

Windows Firewall Controlと一緒に使う

挑戦する気になっただろうか。

Windowsデフォルトのファイアウォールを制御できるようにする、「ウィンドウズ ファイアウォール コントロール」を使い、VirusTotalとセットで使う。

なぜこのツールなのかというと、「ワンクリックでVirusTotalへ飛び、カンニングできる部分が初心者に有効」であるため。コレがないと知識無視利用のハードルが上がる。

このソフト(binisoft製)は有能すぎた結果、Malwarebytes(マルウェアバイト:私の評価・すごく良い)に買収されており、現在は全機能無料で使える(昔は有料プランがあった?)。

Windows Firewall Controlの使い方記事は完成していないため、首を長くしよう。

ぷっぷ
ぷっぷ

私も使い始めたばっかで、「どう使えば簡単か」を検証中なのです(;`O´)o

オープンソースの「simplewall(シンプルウォール)」も存在するが、こちらはVirusTotalに飛んでくれないため上級者向け(ガチ勢はこちら推奨)。

両方ともルールのバックアップは可能だが、行き来できないので注意。

コメント