パスワードを忘れた? アカウント作成
12716997 story
セキュリティ

VirusTotalには「社外秘」のファイルが多くアップロードされている 25

ストーリー by hylom
セキュリティのためだったはずが 部門より

ファイルをアップロードするとそれがマルウェアに感染していないかをチェックしてくれるWebサービス「VirusTotal」は無料で利用できることもあって広く使われているが、ここに機密情報などを含むファイルをアップロードする例がそれなりにあるという。VirusTotalにアップロードされたファイルは契約ユーザーがほぼ無制限に中身を確認できるため、VirusTotalで機密情報が流出する可能性もないとは言えないようだ(マクニカネットワークス セキュリティ研究センターブログ)。

VirusTotalにはアップロードされたファイルを提供する有償サービスがある。この有償サービスはセキュリティ企業などにマルウェアを提供することを目的としており、アップロードされたファイルにマルウェアが含まれているかどうかに関係なく、サービス契約者は自由にそれを入手できるという。マクニカネットワークスがそれを分析・追跡したところ、アップロードから数日にわたってさまざまな国でファイルが開かれていたことが分かったそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年03月14日 11時27分 (#2980245)

    ファイルのmd5 hash値から検索できるので、ファイルをそのものをアップロードせずにhash値だけを使って検索する。

    そもそも、有償サービスの有無に関わらず、Virus Total運営者(Google)にはファイルが渡るわけなのだから、
    社外秘ファイルをNDA締結していない事業者サイトへアップロードする=社外漏洩であることは当然なんだけど、
    そういう理解を一般ユーザに求めるのは難しいんだろうね。

    • by Anonymous Coward

      md5で検索して見つかったら、それは既に誰か別の人が社外秘のファイルをアップロードしてたってことじゃないですか…?

    • by Anonymous Coward

      昨今のウィルスつきメールの文面は日本人が読んでも違和感ないものがあるし、社外秘なので取り扱い注意とか書いてあると、かえって開かせようとするトラップかも?って思ってしまう。そんなあやしいメールが乗っ取られたアカウントから来たりしたらもうなにを信じてよいのやら。

    • by Anonymous Coward

      (ツール使って)自分でハッシュ値を出せる人なんてこの世に5%もいないだろからなぁ。
      そもそもハッシュって何?朝マックについてくるやつ?程度なもんだろう。
      一般の人にそれを望むのは無理かな。

      機密な文章を翻訳するのに翻訳サイトに入力したりと、ウェブの向こうに人がいるという認識がない。
      これらを周知させるのは容易なことではないだろう。

      • by Anonymous Coward

        ん?Virus Totalのサイト使ったこと無い方かな?

        ファイルを選択してサブミットすると
        まずスクリプトでそのファイルのハッシュ計算するんですよ
        で、そのハッシュをサイトに送って既知のもの称号

        ここまでが第一段階

        その照合結果を元に
        既知のものならアップロードで再チェックか
        既知の結果を見るか選べるんですよ

        ハッシュ計算ツールを自前で用意する必要なんて無いです

        # まぁ社外秘文書ならハッシュが既知って時点でキチガ●沙汰なわけだが

        • by monaoh (12125) on 2016年03月15日 7時04分 (#2980739)

          (Virus Totalにとって)未知のファイルを選択してしまうと自動でアップロードされるわけですが、アップロードしたくないファイルの場合にその方法でどうやって既知かそうでないかそれを知るんです?

          アップロードしたくない場合の話として、自分でハッシュ値を出すという話になってるんです。

          親コメント
        • by Anonymous Coward

          試しに貴重なファイルをサブミットしてみたら、いきなりアップロードを開始したじゃないか。
          どうしてくれるんだよ・・・

          #ソース見たらどうみてもファイルのアップロードしてるじゃないかよ・・・
          #ハッシュだけアップロードってどこ情報よ?

          • by Anonymous Coward

            既知のものならとしか言ってないだろうに

            • by Anonymous Coward

              未知であるか既知であるか関係なく、VirusTotalはハッシュを計算し、ファイルをアップロードされてから過去の結果と照合している挙動に見えますが。
              過去の結果が表示されている段階で既にアップロードされているのだから意味がないでしょう。
              ただし、ローカルで事前にハッシュ値を取得してあれば、検索 [virustotal.com]でハッシュ値から過去の結果を検索できるので、それならファイルはアップロードされません。

              • by Anonymous Coward

                ていうか元AC [srad.jp]が言っていることはまさにそういうことだった。見落としてた

  • by Anonymous Coward on 2016年03月14日 11時35分 (#2980247)

    この世の基本原則は等価交換。
    何も交換せずにメリットが得られると思ったら大間違い。

    • by Anonymous Coward

      逆にお金取れるんじゃ?

  • by Anonymous Coward on 2016年03月14日 11時49分 (#2980250)

    ウィルスかもしれないのに、オンラインのままファイルを実行(埋め込みビーコンに引っ掛かる)してる連中もどうかしてるな。

    サイトの規約や、プライバシーポリシーが英語のみとか、こりゃ読ませる気無いわ。
    なぜ、中途半端にローカライズするんだ。

    要するに、建て前を持った、最強うぷろだって事でしょう。
    大量に違法ファイルをアップしてみんなで共有可能ってこと。
    公益目的だから、DMCA違反にはならんのかね・・・

    • ウィルスかもしれないのに、オンラインのままファイルを実行(埋め込みビーコンに引っ掛かる)してる連中もどうかしてるな。

      VirusTotal と契約してアップロードされたファイルを入手しているのは、ウイルス対策ソフトのベンダーなどが大半なので(中には「ウイルス対策ソフト」に引っかからないようなマルウェアを作成するためのデータ収集に利用している人もいるかもしれませんが)、ウイルスかもしれないことなんて当然認識しているでしょう。

      検証用の仮想環境がインターネットに接続されている理由は、インターネット経由でデータを受信するマルウェアに対応するためだと思います。
      オフラインでの検証では、悪意のあるコードがファイル自体には埋め込まれていなくて、インターネット経由で受信したデータと一体となった時点でマルウェアとなるプログラムに対応できなくなります。

      親コメント
    • by adeu (2937) on 2016年03月14日 12時07分 (#2980262)
      そんなに大きなファイルをチェックできないから・・・とコメントしようとしたが、いつのまにかファイル容量の最大値が5MBから64MBと大幅に強化されてたのね。たしかにウイルスの検体アップロード名目ならそんな大きなの必要ない気がする
      親コメント
      • by Anonymous Coward

        128MBだぞ

        ローカライズ遅延

    • by Anonymous Coward on 2016年03月14日 13時14分 (#2980323)

      ウィルスかもしれないのに、オンラインのままファイルを実行(埋め込みビーコンに引っ掛かる)してる連中もどうかしてるな。

      VirusTotal Intelligenceの垢持ちでウイルスを探して実行するために使ってますが、基本的にはVM上でオンライン実行ですね。
      (SPAMばらまくとか、DoSを撃つとかの事前情報がある場合は、さすがにオフライン実行ですが)
      ダウンローダの場合は検体本体をダウンロードしたり、BOT/RATの場合はC&Cサーバと通信したりするので、オフラインで動的解析しても必要な解析情報が得られませんので。

      #たまにウイルス以外の普通の実行ファイルを間違えてダウンロードして、実行しても何も起きずに困るのでAC。

      親コメント
    • by Anonymous Coward

      ビーコンに引っかかったふりをしないと、ニセのペイロードを掴んでくるかもしれないです
      どのペイロードを渡すかは あわれな踏み台サーバが決定するんですから
      愚かな未更新のXP機のふりをして、試行は一発勝負。ってのも駆け引きです

  • by Anonymous Coward on 2016年03月14日 12時19分 (#2980270)

    リンク先のブログにある「一見機密っぽいファイル名」がすべて本当の機密情報とは限らない。

    まぁ、.msgとか.emlはほぼアウトだとは思うけど。

    • by Anonymous Coward

      私なら偽機密ファイルをアップロードして市場操作を試みる。

  • by Anonymous Coward on 2016年03月14日 12時27分 (#2980280)

    ファイルを調べてるなんてセキュリティー関連なのだろうに
    埋め込まれたビーコン起動しちゃうとか微妙にマヌケな構図ですな

    • by Anonymous Coward

      動作観測用の環境で動かしてるんじゃないの?

  • by Anonymous Coward on 2016年03月14日 13時07分 (#2980317)

    「デマ」を見抜く技術で内容を判定しておいてほしい。

  • by Anonymous Coward on 2016年03月14日 16時29分 (#2980477)

    組織内にVirustotalもどきの鯖を設置するサービスをどこかが提供する
    (もちろんデータは外部には出ない)
    みたいなのがあればいいんじゃないですか?

    あれうちの会社にもあればいいみたいに思ってる人は多いはず

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...