VirusTotalには「社外秘」のファイルが多くアップロードされている 25
ストーリー by hylom
セキュリティのためだったはずが 部門より
セキュリティのためだったはずが 部門より
ファイルをアップロードするとそれがマルウェアに感染していないかをチェックしてくれるWebサービス「VirusTotal」は無料で利用できることもあって広く使われているが、ここに機密情報などを含むファイルをアップロードする例がそれなりにあるという。VirusTotalにアップロードされたファイルは契約ユーザーがほぼ無制限に中身を確認できるため、VirusTotalで機密情報が流出する可能性もないとは言えないようだ(マクニカネットワークス セキュリティ研究センターブログ)。
VirusTotalにはアップロードされたファイルを提供する有償サービスがある。この有償サービスはセキュリティ企業などにマルウェアを提供することを目的としており、アップロードされたファイルにマルウェアが含まれているかどうかに関係なく、サービス契約者は自由にそれを入手できるという。マクニカネットワークスがそれを分析・追跡したところ、アップロードから数日にわたってさまざまな国でファイルが開かれていたことが分かったそうだ。
対策 (スコア:0)
ファイルのmd5 hash値から検索できるので、ファイルをそのものをアップロードせずにhash値だけを使って検索する。
そもそも、有償サービスの有無に関わらず、Virus Total運営者(Google)にはファイルが渡るわけなのだから、
社外秘ファイルをNDA締結していない事業者サイトへアップロードする=社外漏洩であることは当然なんだけど、
そういう理解を一般ユーザに求めるのは難しいんだろうね。
Re: (スコア:0)
md5で検索して見つかったら、それは既に誰か別の人が社外秘のファイルをアップロードしてたってことじゃないですか…?
Re: (スコア:0)
昨今のウィルスつきメールの文面は日本人が読んでも違和感ないものがあるし、社外秘なので取り扱い注意とか書いてあると、かえって開かせようとするトラップかも?って思ってしまう。そんなあやしいメールが乗っ取られたアカウントから来たりしたらもうなにを信じてよいのやら。
Re: (スコア:0)
(ツール使って)自分でハッシュ値を出せる人なんてこの世に5%もいないだろからなぁ。
そもそもハッシュって何?朝マックについてくるやつ?程度なもんだろう。
一般の人にそれを望むのは無理かな。
機密な文章を翻訳するのに翻訳サイトに入力したりと、ウェブの向こうに人がいるという認識がない。
これらを周知させるのは容易なことではないだろう。
Re: (スコア:0)
ん?Virus Totalのサイト使ったこと無い方かな?
ファイルを選択してサブミットすると
まずスクリプトでそのファイルのハッシュ計算するんですよ
で、そのハッシュをサイトに送って既知のもの称号
ここまでが第一段階
その照合結果を元に
既知のものならアップロードで再チェックか
既知の結果を見るか選べるんですよ
ハッシュ計算ツールを自前で用意する必要なんて無いです
# まぁ社外秘文書ならハッシュが既知って時点でキチガ●沙汰なわけだが
Re:対策 (スコア:1)
(Virus Totalにとって)未知のファイルを選択してしまうと自動でアップロードされるわけですが、アップロードしたくないファイルの場合にその方法でどうやって既知かそうでないかそれを知るんです?
アップロードしたくない場合の話として、自分でハッシュ値を出すという話になってるんです。
Re: (スコア:0)
試しに貴重なファイルをサブミットしてみたら、いきなりアップロードを開始したじゃないか。
どうしてくれるんだよ・・・
#ソース見たらどうみてもファイルのアップロードしてるじゃないかよ・・・
#ハッシュだけアップロードってどこ情報よ?
Re: (スコア:0)
既知のものならとしか言ってないだろうに
Re: (スコア:0)
未知であるか既知であるか関係なく、VirusTotalはハッシュを計算し、ファイルをアップロードされてから過去の結果と照合している挙動に見えますが。
過去の結果が表示されている段階で既にアップロードされているのだから意味がないでしょう。
ただし、ローカルで事前にハッシュ値を取得してあれば、検索 [virustotal.com]でハッシュ値から過去の結果を検索できるので、それならファイルはアップロードされません。
Re: (スコア:0)
ていうか元AC [srad.jp]が言っていることはまさにそういうことだった。見落としてた
むしろ、それが狙いのサービスだろ (スコア:0)
この世の基本原則は等価交換。
何も交換せずにメリットが得られると思ったら大間違い。
Re: (スコア:0)
逆にお金取れるんじゃ?
すごい世界だな (スコア:0)
ウィルスかもしれないのに、オンラインのままファイルを実行(埋め込みビーコンに引っ掛かる)してる連中もどうかしてるな。
サイトの規約や、プライバシーポリシーが英語のみとか、こりゃ読ませる気無いわ。
なぜ、中途半端にローカライズするんだ。
要するに、建て前を持った、最強うぷろだって事でしょう。
大量に違法ファイルをアップしてみんなで共有可能ってこと。
公益目的だから、DMCA違反にはならんのかね・・・
Re:すごい世界だな (スコア:2)
VirusTotal と契約してアップロードされたファイルを入手しているのは、ウイルス対策ソフトのベンダーなどが大半なので(中には「ウイルス対策ソフト」に引っかからないようなマルウェアを作成するためのデータ収集に利用している人もいるかもしれませんが)、ウイルスかもしれないことなんて当然認識しているでしょう。
検証用の仮想環境がインターネットに接続されている理由は、インターネット経由でデータを受信するマルウェアに対応するためだと思います。
オフラインでの検証では、悪意のあるコードがファイル自体には埋め込まれていなくて、インターネット経由で受信したデータと一体となった時点でマルウェアとなるプログラムに対応できなくなります。
Re:すごい世界だな (スコア:1)
Re: (スコア:0)
128MBだぞ
ローカライズ遅延
Re:すごい世界だな (スコア:1)
VirusTotal Intelligenceの垢持ちでウイルスを探して実行するために使ってますが、基本的にはVM上でオンライン実行ですね。
(SPAMばらまくとか、DoSを撃つとかの事前情報がある場合は、さすがにオフライン実行ですが)
ダウンローダの場合は検体本体をダウンロードしたり、BOT/RATの場合はC&Cサーバと通信したりするので、オフラインで動的解析しても必要な解析情報が得られませんので。
#たまにウイルス以外の普通の実行ファイルを間違えてダウンロードして、実行しても何も起きずに困るのでAC。
Re: (スコア:0)
ビーコンに引っかかったふりをしないと、ニセのペイロードを掴んでくるかもしれないです
どのペイロードを渡すかは あわれな踏み台サーバが決定するんですから
愚かな未更新のXP機のふりをして、試行は一発勝負。ってのも駆け引きです
ファイル名が偽装の場合 (スコア:0)
リンク先のブログにある「一見機密っぽいファイル名」がすべて本当の機密情報とは限らない。
まぁ、.msgとか.emlはほぼアウトだとは思うけど。
Re: (スコア:0)
私なら偽機密ファイルをアップロードして市場操作を試みる。
ビーコンにひっかかるとは (スコア:0)
ファイルを調べてるなんてセキュリティー関連なのだろうに
埋め込まれたビーコン起動しちゃうとか微妙にマヌケな構図ですな
Re: (スコア:0)
動作観測用の環境で動かしてるんじゃないの?
「デマ」を見抜く技術 (スコア:0)
「デマ」を見抜く技術で内容を判定しておいてほしい。
企業内Virustotalを作ればいい (スコア:0)
組織内にVirustotalもどきの鯖を設置するサービスをどこかが提供する
(もちろんデータは外部には出ない)
みたいなのがあればいいんじゃないですか?
あれうちの会社にもあればいいみたいに思ってる人は多いはず
Re:企業内Virustotalを作ればいい (スコア:1)
metascanというものがあってだな
http://www.nextit.jp/metascan/index.html [nextit.jp]