Google Cloud に加わった VirusTotal が提供する脅威のコンテキストおよび評価データは、不審なファイル、URL、ドメイン、IP アドレスを分析してサイバーセキュリティ上の脅威を検出するのに役立ちます。VirusTotal レポートには、ドメイン、添付ファイル、IP アドレスが高リスクと見なされた理由についてクラウドソーシングで収集された詳細情報が多数含まれます(詳しくは、VirusTotal のウェブサイトをご覧ください)。
組織内でやりとりされているメールの添付ファイルに関する VirusTotal レポートまたは Chrome のログイベントに関する VirusTotal レポートには、セキュリティ調査ツールから直接アクセスできます。これにより、ある調査に関連する脅威のコンテキストと評価データを入手できます。たとえば、複数のセキュリティ ベンダーが特定のドメインを不正であると報告していることが VirusTotal レポートからわかる場合があります。
注:
- 調査ツールで VirusTotal レポートを表示するには、[セキュリティ センター]
[VirusTotal]
- VirusTotal は、マルウェアなどのセキュリティ上の脅威を検出するものではありません。詳細なセキュリティ情報を提供することで調査結果をさらに発展させ、セキュリティ上の懸念に対処しながら意思決定を行えるように支援するものです。
- 管理者が VirusTotal レポートの表示に同意した場合にのみ、データ(添付ファイルのハッシュ)が VirusTotal と共有されます。管理者の同意なくデータが共有されることはありません。
- VirusTotal データは広範なセキュリティ コミュニティで共有されます。これにより、セキュリティ ベンダーは相互に連携して重要な情報を共有し、セキュリティ上の脅威に対抗できます。
- また、アラート センターから VirusTotal レポートを表示して、アラートに関する詳細なセキュリティ情報を入手することもできます。詳しくは、アラート センターの VirusTotal レポートを表示するをご覧ください。
Gmail に関する VirusTotal レポートを表示する
-
admin.google.com から Google 管理コンソールにログインします。
管理者アカウント(末尾が @gmail.com ではないアカウント)でログインしてください。 -
左側のナビゲーション メニューで [セキュリティ]
- 検索のデータソースとして [Gmail のメール] または [Gmail のログのイベント] を選択します。
- [条件を追加] をクリックし、[添付ファイルあり] を選択します。
- [検索] をクリックします。
- ページ下部の検索結果のいずれかで、[メッセージ ID] または [件名] の列のリンクをクリックします。
- サイドパネルで、[メッセージ] タブまたは [スレッド] タブをクリックします。
- [VirusTotal のレポートを表示] をクリックします。
VirusTotal レポートの複数の項目に、潜在的なセキュリティ上の脅威に関する詳細情報が表示されます。たとえば、特定のファイルを不正であると報告したセキュリティ ベンダーのリストと、各ベンダーによるファイル スキャンの結果を確認できます。
Chrome に関する VirusTotal レポートを表示する
-
admin.google.com から Google 管理コンソールにログインします。
管理者アカウント(末尾が @gmail.com ではないアカウント)でログインしてください。 -
左側のナビゲーション メニューで [セキュリティ]
- 検索のデータソースとして [Chrome のログのイベント] を選択します。
- [条件を追加] をクリック、検索条件を選択します。
- [検索] をクリックします。
- ページの下部にある検索結果で、[コンテンツのハッシュ] 列のリンクのいずれかをクリックします。
- サイドパネルで、[VirusTotal のレポートを表示] をクリックします。
VirusTotal レポートの複数の項目に、潜在的なセキュリティ上の脅威に関する詳細情報が表示されます。
VirusTotal レポートの標準版と詳細版
VirusTotal レポートには、標準版と詳細版の 2 つのバージョンがあります。[セキュリティ センター] [VirusTotal]
[レポートを表示] の権限があり、必要な Google Workspace エディションのいずれかをお持ちの管理者には、標準版が表示されます。VirusTotal の有料版をご利用になっていて、VT Enterprise ユーザー アカウントで virustotal.com にログイン中のユーザーには、詳細版のレポートが自動的に表示されます。
VT Enterprise の詳細と試用版のリクエストについては、VirusTotal のウェブサイトでサービスの概要をご確認ください。VT Enterprise に申し込む場合は、こちらのフォームを送信してください。
標準版に含まれる機能VirusTotal レポートの標準版には次の機能が含まれます。
- 脅威の評価: 70 社以上のセキュリティ ベンダーによる不正評価
- 時間の経過に伴う脅威の拡散: 特定の脅威が最初に確認された時期と、その活動期間の把握に役立つ主な日付
- ファイルの識別情報: 脅威を参照したり、脅威を他のアナリストと共有したりする際に使用できる識別子や特性(ファイル ハッシュ、ファイル形式、サイズなど)
VirusTotal レポートの詳細版には、標準版と同じ機能に加えて以下の機能が含まれます。
- 多角的な検出情報: クラウドソーシングによって形成されたルールとの照合、コミュニティのスコアリング(YARA、Sigma、IDS ルールなど)による脅威の詳細分析
- 許可リスト情報: Gmail のログイベントの、誤検出を極力なくす上で有用な詳細情報(米国立ソフトウェア資料ライブラリ、ソフトウェア ディストリビュータ、Microsoft Clean Metadata Feed など)
- 関連するセキュリティ侵害インジケーター(IOC): マルウェア ファイルを拡散しているネットワーク インフラストラクチャ、特定の脅威のコマンド アンド コントロール(C&C)として機能しているサーバー、調査対象ファイルの一次配信ベクターなど
- 脅威の相互作用を示す図: IOC 間の関係を可視化して、脅威の活動全体の関連性をグラフィカルに表示
- セキュリティ関連のメタデータ: ソフトウェア発行元の情報、ドキュメント内の不正なマクロの識別情報、Android アプリの権限など
- 拡散の詳細: 一般的な攻撃手法や脅威などの地理的および経時的拡散に関する詳細情報(VirusTotal 提供のメタデータを使用)
- 不審な属性のピボット操作: 同じプロパティを共有している他の脅威を VirusTotal のグローバルなデータセットで検索できるクリック可能な詳細。
詳細版のメリットとユースケース
- 改善された脅威検出: クラウドソーシングされたルールを利用して、まだセキュリティ ベンダーに広く知られていない脅威でも、コンテキストを特定して入手できます。
- 迅速な調査と意思決定: クラウドソーシングされたコンテキストを使って内部調査を行い、セキュリティ チームの効率を高めます。攻撃者は他の組織も標的にするので、その痕跡が VirusTotal で見つかります。これによって、セキュリティ チームは概要を把握できます。VirusTotal レポートの詳細版を使って偽陽性を破棄し、真陽性を確認してエスカレーションすれば、大幅に効率が上がります。
- 改善された脅威修正: インタラクティブな脅威グラフと関連アーティファクトを使って、該当するアラートに関連付けられた IOC を特定し、これをもとにセキュリティ テレメトリーを検索して組織が受ける攻撃の影響を完全に把握します。たとえば、アラートに含まれるハッシュを配信しているすべてのドメインを特定し、組織に影響がまだ及んでいなくても、それぞれのネットワーク境界でブロックします。
- 事前防御策: VT Enterprise でのピボット操作で、ログに記録されていない可能性がある脅威インフラストラクチャを確認できます。または同じ脅威アクターによって操作された他のマルウェアを特定し、組織に影響が及ぶ前にネットワーク境界とエンドポイントでこのマルウェアをブロックすることも可能です。たとえば、調査対象ファイルのいずれかに関するコマンド アンド コントロール ドメインが見つかれば、同じ脅威アクターによって登録され、まだ攻撃に使われていない可能性がある他のドメインについても、将来的に会社への攻撃に利用される場合に備えてこれらのドメインを予防的にブロックできます。
VirusTotal レポート機能の詳細については、VirusTotal のウェブサイトでサービスの概要をご確認ください。How it works - VirusTotal をご覧いただくことも、お問い合わせいただくこともできます。
VT Enterprise アカウントの申し込み
前述したように、VirusTotal レポートの詳細版では追加の脅威インテリジェンス サービスと高度な機能を利用できます。VT Enterprise の申し込みについて詳しくは、VirusTotal チームまでお問い合わせください。
法的通知
VirusTotal は、不審なファイル、URL、ドメイン、IP アドレスを分析してマルウェアなどの脅威を検出し、その結果を自動的にセキュリティ コミュニティで共有する Alphabet のサービスです。
VirusTotal レポートを表示するには、添付ファイルのハッシュ、IP アドレス、またはドメインを VirusTotal に送ることになります。
お客様は VirusTotal を利用することにより、お送りいただいたデータに VirusTotal の利用規約とプライバシー ポリシーが適用されること、お送りいただいたデータを VirusTotal がセキュリティ コミュニティで共有する可能性があることに同意するものとします。
よくある質問
VirusTotal レポートの標準版の使用に追加の費用はかかりますか?いいえ。[セキュリティ センター] [VirusTotal]
[レポートの表示] 権限を持つ管理者であれば、VirusTotal レポートの標準版をお使いいただけます。
操作性を高め、詳細な脅威コンテキストと評価によって意思決定と調査の能力を改善するには、有料の VT Enterprise サブスクリプションが必要です。
はい。有料の VirusTotal サブスクリプション(VT Enterprise)をご利用の場合は、調査ツール内に詳細版の結果が表示されます。これは VirusTotal の割り当てには影響しません。割り当てが消費されるのは、virustotal.com ページを開いた場合のみです。
VT Enterprise の詳細と試用版のリクエストについては、VirusTotal のウェブサイトでサービスの概要をご確認ください。VT Enterprise に申し込む場合は、こちらのフォームを送信してください。
はい。VT Enterprise を使用すると、特にセキュリティ オペレーション センター、コンピュータ緊急対応チーム、インシデント対応チーム、脅威インテリジェンス部門に関連する他のユースケースを実現できます。
- 自動化されたセキュリティ テレメトリー強化: アラートの分類、偽陽性の破棄、真陽性の確認、信頼相関などがあります。
- インシデント対応とフォレンジック分析: セキュリティ オペレーション アラートの分類、インシデント分析とコンテキスト、アーティファクト分析、IOC の特定などがあります。
- 脅威インテリジェンスと高度な調査: 未知の脅威の発見、脅威キャンペーンのモニタリング、攻撃者の追跡、予防的な IOC の特定、脅威の状況の分析、状況認識などがあります。
- フィッシング対策、不正防止、ブランドと企業インフラのモニタリング: フィッシング キャンペーンの追跡、バンキング型トロイの木馬と情報搾取の分析、ブランドなりすましのモニタリング、マルウェア配布と企業インフラ不正使用の特定などがあります。
- レッドチーム演習と倫理的ハッキング: 調査と受動的なフィンガープリント、違反と攻撃のシミュレーション、セキュリティ スタックの検証などがあります。
- 脆弱性の優先順位付け: リスクに応じた効果的なパッチ適用戦略、実際に確認されている脆弱性の武器化のモニタリング、脅威アクターと脆弱性悪用のマッピングなどがあります。
VT Enterprise によってセキュリティ オペレーションが強化される仕組みについては、VirusTotal 360 の概要をご覧ください。詳しくは、VirusTotal のスペシャリストまでお問い合わせください。
いいえ。すべての機能は VirusTotal レポートの表示を管理者が選択していることが前提となります。管理者がこの操作を行った後にのみ、ファイル ハッシュ、ドメイン、IP アドレスが VirusTotal に共有され、選択したエンティティでリスク評価レポートがリクエストされます。
いいえ。調査ツールで VirusTotal レポートを開いても、VT Enterprise の割り当てが消費されることはありません。管理者が詳しく調査をするために調査ツールから VirusTotal のウェブサイトを開いた場合は、virustotal.com に直接アクセスしたときと同じように標準の割り当てが消費されます。
いいえ。ファイル ハッシュのみが VirusTotal に送信されます。
