VilusTotalとは
下記のサイトを指します。
VirusTotalとはファイルやウェブサイトのマルウェア検査を行うウェブサイトである。ファイルをVirusTotalにアップロードしたりウェブサイトのURLを指定すれば、そのファイルやウェブサイトが「マルウェアを含むかどうか」検査できる。(Wikipedia)
一番わかり易いのがWikiでした。Googleが運営しているサイトで、ファイル・URL,ドメイン、IPアドレス、ハッシュ値での検索が可能です。
大きく分けて、無料での利用、無料登録しての利用、有償での利用の3パターンがありますので、細かく見ていきましょう。
無料版
通常利用する場合は、無料版で特に問題ありません。
無料版では、主に以下の機能を提供しています。
- 対象のファイルをアップロードしてのマルウェアチェック
- 対象ファイルのハッシュ値の検査
- 不審なURL、IPアドレス、ドメインの検査
無料登録しての利用
メールアドレスやユーザー名、パスワードを設定すると以下の機能が使えるようになります。
- PublicAPIの利用
- 投票してコメント
PublicAPIの利用
PublicAPIでは1日に500リクエスト、1分間に4リクエストの制限が付きますが、APIでの問い合わせが可能になります。かんたんなソースを書けると非常に効率化できるかと思います。
投票してコメント
ファイルやURLに対してコメントをすることができます。専門家向けの機能になるかと思います。
https://support.virustotal.com/hc/en-us/articles/115002146769-Vote-comment
有償版
無料登録して利用しているユーザーは有償版にアップグレードすることができます。通常は会社単位で利用することが多いのではないでしょうか。
下記のページからトライアルをリクエストできます。
使い方
いざ実際に使ってみましょう。
アップロードしてのファイルの調査
ファイルを調査するには、直接アップロードします。
実際にマルウェアをアップロードすると、このように表示されます。
66の検索サービスのうち64サービスがマルウェアと判断しています。
注意点
他のサイトでもよく書かれていますが、アップロードされたファイルはVirus Totalの有償サービスの契約者から自由にダウンロードされてしまいます。
Virus Totalの仕様をわかっていない方からのアップロードもあると聞きますので、プロキシなどでアップロードを制限するとよいかと思います。
万が一アップロードしてしまった場合は、下記のページに記載のコンタクトフォームから削除申請が可能です。
https://www.virustotal.com/gui/contact-us/technical-support
ハッシュ値でのファイルの調査
上述の通りファイルアップロードでは、ファイルが公開されてしまいます。そのため通常は対象ファイルのハッシュ値を取得してVirusTotalで検査します。
Macでのハッシュ取得のコマンドは以下のとおりです。
$ Desktop % shasum -a 256 EICAR.com 275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f EICAR.com
取得したハッシュ値をVirusTotalで検査します。
サイト、ドメイン、IPアドレスの調査
不審なサイト、ドメイン、IPアドレスの検索も上記のハッシュのファイル同様、検索ボックスに入力するだけです。
直接APIを叩く
会員登録をするとPublicAPIキーを取得、APIを通してURL検索やファイル検索が自動化できます。
APIを取得するにはログイン後、自分のアイコンをクリックし、「APIキー」を選択。
同様のサービス
VirusTotalは非常に便利ですが、同様のサービスも存在しますので少し紹介します。
https://metadefender.opswat.com/?lang=ja
https://virusscan.jotti.org/
まとめ
いかがだったでしょうか。自分の理解に合わせて追記していきますので、引き続きご覧ください。
コメント
コメントを投稿