2020/07/28

【転載】VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点:

1594206459

本日、日課にしているTwitterを眺めていたら、気になる投稿が目に留まりました。

ちょっと扱いこまるやつなので。
標的型メール訓練、開封、報告率とか「だけ」にフォーカスするのは訓練として足らない。そういった不審なモノが送られてきたら、それを約款に基づく外部サービスに対して提供をしない、といった社内リテラシ徹底がむしろ重要です。https://t.co/6fQrROEeBH

— hiro_ (@papa_anniekey) July 8, 2020
ANY.RUNにとある企業で利用したと思われる標的型訓練のファイルがアップロードされていたようです。

ANY.RUNやVirusTotalなどのオンライン検査サイトの使い方を誤ると重大な情報漏洩が発生してしまいます。

そこで今回は、この問題を簡単にですがまとめてみました。

【目次】

VirusTotalやANY.RUNとは大雑把に言ってしまうと、無料でファイル・サイトが危険なものかどうかを判定してくれるオンラインのサービスになります。

以下にいくつかのサービスを紹介します。

VirusTotalはWebサイトにファイルをアップロードすることにより、複数のアンチウイルス製品(記事投稿時には73種)による検査を行ってくれるサービス。

ファイルの検査のほかにドメイン/IPを指定するとウェブサイト検査製品による検査も行ってくれる。
ANY.RUNはアップロードした検体を操作してファイルの挙動を見ることができるオンライン型のサンドボックスサービス。
ANY.RUN
HybridAnalysisはアップロードしたファイルの挙動情報などの詳細な解析結果が得られるサービス。
Hybrid Analysis
指定したウェブサイトを代理アクセス・スキャンし、分析してくれるサービス。過去のページや現在のライブ映像を確認することができる。
昨今、標的型メールやランサムウェア、フィッシングサイトについてセキュリティの専門家やTV・新聞などのメディアが取り上げてきたことにより、セキュリティに詳しくない人にも少しずつ認知されてきました。そして、より一歩進んだ人はVirusTotalやANY.RUNといったファイルを上げるだけでマルウェアかどうかを判定してくれる無料のオンラインサービスがあることを知っています。

そのため、不審なファイルがメールに添付されていたり、ダウンロードしたりすると安全を確認するためにVirusTotalにファイルをアップロードしてマルウェア判定が出ないことを確認したのちにファイルを開くことが考えられます。(VirusTotalマルウェア判定が出ないからといって安全とは限りませんが今回は言及しません。)

しかしながら、このサービスについての仕組みを理解していないと企業の機密情報の漏洩につながりかねません。

というのも、上記に示したサービスの大半はアップロードしたファイルの結果だけを残しているのではなくアップロードしたファイルもデータベースに残されているのが大半です(ANY.RUNに至っては、動画としても残っているためファイルを開いたら中身も映像・画像として記録される)。そして大半のサービスでは、セキュリティ研究のために有償のサービスを提供しており、各サービスに保存された検体ファイルをダウンロードすることができます(VirusTotalではVirusTotal Intelligence)。

つまり、企業の社外秘の資料などをアップロードしてしまうと有償サービスを利用している人はダウンロードできてしまい企業の情報が漏洩してしまいます。
じゃあ、上記のサービスは使用しない方がいいのでしょうか。

私は、オンラインの検査サービスの仕組みと利用するリスクをきちんと理解したうえで利用する分にはとても便利なサービスだと思っています。

以下の意見を述べる専門家の方もいらっしゃいました。

(続き)大事なことは3つだと僕個人は思っていて、①『個人の判断でファイルを外部の調査サイトで調べない』②『不審なものだと感じた時に組織内のどこに連絡すれば良いか知っておく』③『組織に所属している人間が②をしたいと思った時にすぐ知れる状態にしておく』だと思っています。

(続く)

— にゃん☆たく (@taku888infinity) July 8, 2020
私の上記サービスの利用方法について記します。

  1. 不審なファイルのハッシュ値を取得(Windows:certutil -hashfile、Unix:md5sum)
  2. 1.で取得したハッシュ値を各サービスで検索
  3. 検索結果がなかった場合、組織内のセキュリティ対策部門などの対策・通報先に連絡
  4. 対策部門の指示に従う
ファイルのアップロードは本当に最後の手段であり、対策部門や上司などの許可を取ったうえで、行うべきであります。

明らかにマルウェアとわかるものであっても安易にアップロードすることはお勧めしません。なぜなら、標的型攻撃に使用されるマルウェアの場合、組織の内部NWに合わせて調整している可能性もあるため、アップロードして第三者がダウンロードしてしまうと、攻撃者しか知らない内部NW情報が知られてしまい。また別の攻撃者に利用されることも考えられるからです。
というか、VTとかanyrunとかそういうサービス紹介するんだったら併せてそういうリスクも紹介して欲しい(自分はいつもそうしてる

— ほよたか (@takahoyo) July 8, 2020
VirusTotal でやってしまった事例 (想定) より 3例

(事例1) 標的型メール攻撃訓練において、被験者が騙されやすいように実在の社内組織、担当者個人名、連絡先を記載した攻撃メールを送付したところ、受信者のうち 1名が VirusTotal に提出してしまった。

— Neutral8✗9eR (@0x009AD6_810) June 13, 2018
(続き)しかし、こういったVTや最初の引用ツイートで使われているAnyrun等はアップロードされたファイルを自分以外の誰かに確認されてしまう(ダウンロードされてしまう)可能性が十分にあるので注意が必要です。ではこういう事態にならないためにはどうすれば良いのでしょうか。

(続く)

— にゃん☆たく (@taku888infinity) July 8, 2020
「怪しいメールを受け取った・開いたと思ったらどうしたらよいか?」が社内に浸透してないのに、なんで標的型メール訓練やろうとするんだ?避難経路とか避難時の手順とか知らないのに避難訓練やるようなもんだろ。

— Sen UENO (@sen_u) July 8, 2020
VirusTotalやANY.RUNなどのマルウェアを判定してくれるオンラインサービスは便利である反面、情報漏洩のリスクが伴います。
各サービスの特徴や仕組み、リスクを調査したうえで利用しましょう。

また、安易に企業のファイルなどをオンラインサービスに上げないように社内リテラシーを上げることも重要になります。

拙い文章になりますが、ここまで読んでくださりありがとうございました。

【更新履歴】

2020/07/08 PM 公開