怪しい添付ファイルを開けずに確認できるVirusTotal.comについて。


最近の秀逸な日本語のスパムメールには目を見張るものがあります。

以前なら一見して変な日本語だったりしたものが、あまりにも自然な文体で送られてくるため、つい添付などを開いてしまいそうなものもあります。

今日も立て続けにそんなメールを3通ほど受け取りました。

タイトル:請求書
お世話になっております。
無事許可となりました。
添付の通り許可書類と送り状ご連絡いたします。

添付ファイルは「コマーシャル・インボイス.xls」
という名のエクセルファイルでした。

(追伸)

タイトル:口座
いつもお世話になっております
取り直しお願いします。
お手数をお掛け致しますが、内容の確認の程、宜しくお願い致します。

この添付ファイルは「X14NQ5303937352.zip」でした。

当然、そのまま削除(ゴミ箱行き)ですが、添付ファイルにはいったいなにが仕込まれていたのだろう?とちょっとした好奇心で気になることもあります。

そんな場合、その添付ファイルを開かずに、圧縮ファイルもそのままでファイルが悪質なものか確認できるサイト、VirusTotal.comを利用することができます 。

VirusTotal 自体はファイルの分析だけではなく、怪しいURLもチェックすることができる無料のサービスです。

そもそもGoogleが2012年に買収して傘下に加えたサイトとのことで、お馴染みな方も多いでしょうし、また数年の歴史もあるのですでに利用されている方も多いようですが、最近は使いやすくなっているので改めて紹介しておきます。

さっそくですが、本日着信したメールの添付ファイル「コマーシャル・インボイス.xls」もチェックしてみました。

VirusTotal.comで、怪しい添付ファイルをWebページのHTTP送信で(ファイルを「参照ボタン」で指定して)送ります。

送信する際、もう分析済みですよといったメッセージが表示されますが、無視して分析してもらいます。
かかる時間は数秒です。

そして分析結果は下記。


(クリックで拡大)

見ると、Fortinet(米国)、Ikarus(オーストリア)、Qihoo-360(中国)、NANO-Antivirus(ロシア)、arcabit(ポーランド)のセキュリティ機器もしくはセキュリティソフト会社の5社だけに警告が出ました。

ちなみにZIP圧縮したファイルで試しても同じ結果でした。

詳細情報にはTrojanという単語も読めるところから、トロイの木馬型マルウェアがあるようです。

「ああ、やっぱり」という感じですが、開かないでよかったと言えます。

1つ注意しておかなければならないのは、アップロードしてチェックしたファイルは、各セキュリティソフト開発会社などに共有されてしまうそうです。

今回の私のように、スパムメールについてきたファイルなら問題はないでしょう。

しかし「本物かもしれないが、とりあえず」というレベルだと、思い当たるフシもあるような差出人から「履歴書をお送りします」とか「先般の参加者リストです」とかのファイルだったとしたら、安易にアップロードして使うのは要注意ですね。

2016年03月14日のITmediaの記事がありました。

ウイルスチェックのつもりで情報漏えい? VirusTotalの使い方に注意
(抜粋)
有償サービスの「VirusTotal Intelligence」ではアップロードされたファイルの情報を入手できるため、セキュリティベンダーなどがマルウェア動向などを研究する目的で、この有償サービスを利用している。

確かに、セキュリティソフト会社は有償サービスのVirusTotal Intelligenceの契約をしてマルウェアのデータを欲しがるのでしょう。

特に競合他社でマルウェアと判断できて、自社ソフトでスルーしてしまったとなれば、検出性能で競合に負けているわけですし、当然研究目的で入手するでしょうね。

ただセキュリティソフト開発の研究目的なのか、目的外の悪意のある利用か、などはVirusTotalにとってはわからないことでしょうし、その点は利用(アップロード)する側に注意が求められます。

企業内での利用は、社員ひとりひとりの意識まで管理できないため、セキュリティに厳しい企業側だと(Google子会社といえども)アクセスを制限されてしまうサービスかも知れません。


コメントを残す

メールアドレスが公開されることはありません。