VirusTotalで疑わしいファイル、リンク、ドメインをスキャンする方法

運転するなら ダウンロード毎日メールや添付ファイル、リンクを見ていると、遅かれ早かれ疑わしいものに遭遇するでしょう。その瞬間、 VirusTotalはあなたの最高の味方になります 情報に基づいた決定を下し、 ダウンロードしたファイルが安全かどうかを確認する 何かを実行する前に、彼の提案はシンプルだが非常に強力だ。ある要素を数十のセキュリティエンジンや情報源と相互参照し、その攻撃力を推定する。 信頼性.

それでも、ゲームのルールを明確にしておくことをお勧めします。 リアルタイムのウイルス対策ではなく、駆除も行いません そして投げることができる 誤検知 あるいは逆に検出しない マルウェア 制御を回避するように設計されています。このガイドの目的は、VirusTotal（ファイル、URL、ドメイン）を最大限に活用し、結果を読み解いて情報に基づいた意思決定を行えるようにすることです。

VirusTotal とは何ですか? 何を分析できますか?

VirusTotalはスペインのプロジェクトとして誕生し、現在はGoogle Cloudの一部です。その使命は、セキュリティ研究を充実させることです。 文脈と脅威の評判ブラウザ（どのオペレーティングシステムでも）から動作し、アプリも用意されています。 Androidなので、コンピューターに追加のソフトウェアをインストールしなくても使用できます。

その主な利点は 分析エンジンの多様性通常、70以上のウイルス対策サービスおよびレピュテーションサービスと連携します。モジュールや時期によっては、90以上のエンジン、さらにはサンドボックスやコミュニティ検出ルールを含む100以上のツールへの参照が表示されることもあります。この「マルチエンジン」アプローチは、単一製品によるスキャンと比較して、より高い基準を実現します。

実際には、次の 3 種類のアーティファクトを送信できます。 ファイル（ファイル）、URL、ネットワークリソース（ドメイン/IP）プラットフォームは、提出されるたびに、そのアイテムを悪意のあるものとしてフラグ付けしたベンダー、技術的なメタデータ、他の IOC との関係、コミュニティのフィードバックを含むレポートを生成します。

もう一つの特徴は、 アナリストとユーザーのコミュニティは、コメントと調査結果を追加します。複数のソースからのテレメトリとともに、キャンペーン、関連インフラストラクチャ、および脅威の潜在的な発生源に関するコンテキスト シグナルを提供します。

利点、限界、注意事項

利点の中には、 数十の同時セキュリティエンジンこれにより、単一のウイルス対策ソフトでは検出できないマルウェアファミリーを見逃すリスクを軽減します。さらに、 データベース これらは非常に頻繁に更新されるため、結果は通常、非常に最新のものになります。

また、これは高速かつ無料のサービスであり、あらゆるブラウザやプラットフォームからアクセスでき、 ツールをインストールせずに回答を得るこれに加えて、観察された動作、ネットワーク接続、署名、ファイルのメタデータ、コミュニティ スコアなど、豊富なレポートが提供されます。

スケールの反対側：VirusTotal リアルタイムで保護しないシステムを監視したり、プロセスをブロックしたりすることはありません。プロアクティブでタイムリーなスキャナです。マルウェアが自動スキャンを回避するように設計されている場合、誤検知（1つのエンジンがアラートを発し、他のエンジンはアラートを発しない）や誤検知（フォールスネガティブ）が発生する可能性があります。

さらに、次の点を考慮する必要があります。 メタデータの公開 そして知っている ファイルタイプ原則として、提出物は研究エコシステムに貢献します。企業環境では、Google Workspace 統合により、管理者がレポートの閲覧を選択した場合にのみハッシュが共有されるため、この影響は最小限に抑えられますが、各ストリームで何が共有されているかを把握することが重要です。

これらの前提を念頭に置いて、鍵となるのは 報告書を慎重に解釈する さらに、他のセキュリティ レイヤー (ローカル ウイルス対策、EDR、IDS/IPS、強化ポリシー) と組み合わせて、情報に基づいた意思決定を行うことができます。

「ファイル」タブでファイルを分析する

開始するには、「ファイル」タブに移動し、コンピューターからファイルを選択して青いボタンを押します。 「アップロードを確認」してアップロードしますバイナリをアップロードできます。 オフィス文書、圧縮など。このサービスは、サンプルを複数のウイルス対策エンジンやその他のレピュテーションソースに公開します。

完了すると、ヘッダーが表示され、 エンジンマーキング検出数プロバイダーが検出した場合は、「検出」タブに詳細が表示され、各エンジンによって報告されたファミリ名またはヒューリスティックが一覧表示されます。

「詳細」にはメタデータが表示されます。 ファイルタイプ、ハッシュ（MD5、SHA-1、SHA-256）、サイズ、日付 （コンパイル、変更）およびその他のトリアージに適した情報が表示されます。「関係」タブでは、他のアーティファクト（ダウンローダー、C2サーバー、関連URL、兄弟ファイル）への接続がマッピングされます。最後に、「コミュニティ」タブでは、他のユーザーからのコメントが集約されます。

使用できる最も有名なエンジンの中には、業界で定番となっているものも含まれています。例えば、多くのレポートには以下のような名前が挙げられています。 Avira、カスペルスキー、マイクロソフト、ESET、Bitdefender など。以下に、一般的なファイルスキャンエンジンの代表的なリストを示します。

• Ad - Awareの
• アンラボV3
• アバストモバイル
• Aviraは
• ビットディフェンダー
• Eset-NOD32
• F-Secureの
• フォーティネット
• カスペルスキー
• マルウェアバイト
• マカフィー
• Microsoft
• パンダ
• ソフォス AV
• シマンテック
• 信頼の表情
• トレンドマイクロ
• GDataの
• コモド
• AVG
• アバスト

一人でいるとき 1つまたは2つのエンジンが赤です 残りはクリーンな場合、誤検知の可能性があります。複数のエンジンが一致して特定のファミリー名を挙げた場合、疑いの重みが増します。実用的なルールとして、たとえ少数であっても検出があった場合は何も実行せず、自分のシステムと比較してください。 ローカルウイルス対策 または、安全なサンドボックス分析を実行します。

入力する前にURLを分析する

URLタブでは、リンクを貼り付けて複数のサイトに送信できます。 70の評判エンジンとリストこれは、オンライン購入、企業のログイン、短縮リンクを使用したキャンペーンを保護する場合に特に役立ちます。

レポートでは、そのアドレスを悪意のあるものと判断するエンジンの数が表示されます。2、3のエンジンだけが警告し、残りは警告しない場合は、 偽陽性の可能性「検出」タブでは結果の分布が要約され、「詳細」ではサーバー、テクノロジー、観測されたトラッカー、メタタグに関するメタデータが提供されます。

「コミュニティ」にコメントがある場合は読んでください。他のユーザーが投稿している場合もあります。 最近の事件の背景 または無害性を確認する。これは唯一の基準ではなく、追加的なシグナルとして使用してください。

検索: ドメイン、IP、追加コンテキスト

検索モジュールでは、URL、ドメイン、またはIPアドレスを入力して評判コンテキストを取得できます。ドメインを分析すると、ヘッダーに次のような情報が表示されることがあります。 そのドメインのURLの数 VirusTotal データセットに表示されます。

次のような標識があります Cisco Umbrellaの人気ランキング、最近使用したDNSサーバー、最新のHTTPS証明書（発行者、フィンガープリント、有効期限を含む）、ドメイン登録情報（WHOIS）が表示されます。さらに、そのドメインがGoogleでインデックスされている情報も確認できます。

これらのデータは、可能性のあるリンクを調査する上で貴重なものです。 ハッシュからダウンロードドメインへピボット、共有証明書を表示したり、チームが早期に検出したキャンペーンに関連するドメインをブロックしたりできます。

タブの解釈方法と結果の報告方法

• 「検出」はエンジンの視覚を統合します。すべてのエンジンが同等のスコアを獲得するわけではありません。 ヒューリスティックスをより積極的に活用する一方、より保守的な企業もあります。複数のプロバイダー間で一貫性があり、馴染みのある姓が出現することで、信頼性が高まります。
• 「詳細」は、ハッシュ、サイズ、MIMEタイプ、日付、デジタル署名、権限（Androidの場合）、ドキュメント内のマクロなどの技術情報です。このビューには、 他のアナリストと共有する識別子 SIEM/EDR で相関関係を検索します。
• 「関係」はグラフを描画します。ファイルをホストしているURL、接続しているIP、ダウンロードしたファイル、またはダウンロードされたファイルなどです。これは、 関連インフラを遮断する (境界ブロック、拒否リスト、キャンペーン追跡)。
• 「コミュニティ」は投票とコメントを集約します。技術的な判断に代わるものではありません。しかし、 直接的な兆候 フィールド上で同じことを経験した他のチームから。

VirusTotal レポートが Google Workspace に統合されました

Google Workspaceを導入している組織では、セキュリティセンターの調査ツールで GmailとChromeに関するVirusTotalレポート 環境を離れることなく研究を充実させる。

保証付きで運用するために留意すべき、この企業統合に関する重要な注意事項: 「セキュリティセンター > VirusTotal > レポートの表示」権限が必要VirusTotal はここでは「検出」のために使用されるのではなく、コンテキストと評価を追加するために使用されます。データ (ハッシュ) は、管理者が「VirusTotal レポートの表示」をクリックした場合にのみ VirusTotal と共有されます。

• VirusTotal データは、セキュリティ コミュニティの共有エコシステムの一部です。
• これらのレポートは、アラート センターからも開くことができます。

関連レポートの表示方法 Gmailの 管理コンソールから:

1. 管理者アカウントで admin.google.com にログインします。
2. ソースとして「Gmail メッセージ」または「Gmail ログイベント」を選択します。
3. 「添付ファイルあり」という条件を追加します。
4. 検索を実行し、メッセージ ID または件名で結果を開きます。
5. サイドパネルの「メッセージ」または「会話」タブで、「VirusTotal レポートを表示」をクリックします。

へ Chrome (ログイベント):

1. コンソールに移動し、「Chrome ログイベント」を選択します。
2. 必要な条件を追加して検索を実行します。
3. 結果で、「コンテンツハッシュ」列からリンクを開きます。
4. サイドパネルで、「VirusTotal レポートを表示」をクリックします。

統合レポートには、複数のベンダーの評判と トリアージに役立つ詳細脅威の検出の最初と最後の日付、観察された指標など。

標準レポートと拡張（エンタープライズ）バージョン

ワークスペースには、バージョンと estándar （「レポートの表示」権限と互換性のある編集が必要）およびバージョン 改善されたこれは、virustotal.com にログインしている VirusTotal Enterprise の有料加入者に自動的に表示されます。

Funcionesクレーブ 標準バージョンから:

• 脅威の評判 70 社以上のサプライヤーに基づいています。
• 伝播時間: 最初の検出と一時的なアクティビティ。
• ファイルの識別: ハッシュ、タイプ、サイズ、署名など。

それがもたらすもの 改良版：

• マルチアングル検出: コミュニティ ルール (YARA、Sigma、IDS) とソーシャル スコアリング。
• 参照許可リスト 誤検知を排除するため (NIST、Microsoft クリーン フィード、ソフトウェア ディストリビューターなど)。
• 関連IOC およびそのインフラストラクチャ (ダウンローダー、C2、配信ベクトル)。
• インタラクティブな脅威チャート アーティファクト間の関係を視覚化します。
• セキュリティメタデータ: エディター、悪意のあるマクロ、Android の権限など。
• キャンプの詳細: 地理、欺瞞技術、伝播パターン。
• 属性によるピボット 共通の特性を持つ脅威を発見します。

実用的な利点 改良版より:

• より良い早期発見 ウイルス対策会社間で合意が得られる前に、コミュニティのルールに従ってください。
• より機敏な調査 内部の目撃情報と世界的な文脈を組み合わせる。
• より速い解決 脅威グラフと関連 IOC を使用して影響を測定し、事前にブロックします。
• 積極的な戦略まだ観察されていないインフラストラクチャにピボットし、キャンペーンを予測します。

エンタープライズ サブスクリプションのその他の使用例: 自動アラート強化、トリアージとフォレンジック、高度な脅威インテリジェンスとハンティング、フィッシングとブランド監視、レッドチームサポート、 バグハンティング、そして、 脆弱性の優先順位付け リスクと観察された搾取に応じて。

プライバシー、法律、および割り当てに関する考慮事項

VirusTotalはAlphabetの製品です。使用することにより、お客様はその使用条件に同意したことになります。 利用規約とプライバシーポリシーWorkspace 環境では、調査ツールからレポートを開くと、評価を取得するために添付ファイル/ドメイン/IP ハッシュが VirusTotal と共有されます。管理者がレポートを開かない場合は何も共有されません。

VirusTotalのデータはセキュリティコミュニティと共有され、 コラボレーションを促進する 脅威への対応を連携させ、対応を強化します。VirusTotal Enterprise をご利用の場合、Workspace リサーチツールからレポートを開いてもクォータは消費されませんが、virustotal.com のページを開くと通常のクォータにカウントされます。

優れた実践と追加のセキュリティ

VirusTotalを使用する 実行前の検証層ファイルやURLにリスクの兆候がある場合は、開いたりアクセスしたりしないでください。ウイルス対策ソフトで判定を確認し、可能であれば対処方法を確認してください。 疑わしいファイルを検出して削除する または制御されたサンドボックスを使用します。

登山は避けてください 機密性の高いサンプルや独自のサンプル メタデータの公開が懸念される場合は、ハッシュのみをアップロードするか、共有が制限されているフロー (レポートのクエリ時にハッシュを共有する Workspace 統合など) を使用することを検討してください。

エンドポイントを複数のレイヤーで強化する： 適切に設定されたウイルス対策 例えば、行動検知機能を備えたEDRであるMicrosoft Defenderや、通信中のトラフィックを検査・ブロックするネットワークIDS/IPSなどです。単一のツールだけでは不十分であり、組み合わせることで強みを発揮します。

オフィス文書を扱う場合は無効にしてください デフォルトのマクロ 独自の実行ファイルにデジタル署名を付与します。署名と証明書を確認してください。有効で既知の署名はリスクを軽減します（ただし、個人情報が漏洩した場合のリスクを完全に排除できるわけではありません）。

VirusTotalはクロスプラットフォームで、モバイルクライアントも用意されています。Androidにはアプリ（例： 2.5.4年2025月の改訂版バージョンXNUMX) は、リンクやファイルをオンザフライで検証するのに役立ちます。原則は同じであり、評判とコンテキストであり、常駐保護ではないことに注意してください。