サイバーインテリジェンス

VirusTotal Enterprise

ファイル・IP・ドメイン等の悪性判定情報を含む、
Google製AI搭載の世界最大級脅威インテリジェンス

VirusTotal

VirusTotal Enterprise

ウイルストータル エンタープライズ

ファイル・IP・ドメイン等の悪性判定情報を含む、詳細な脅威情報を提供するVirusTotalの有償版。
無償で使える機能に加えて、詳細な条件による高度な検索、ファイルダウンロード、YARAによる検索・通知、プライベート環境でのファイル解析などが可能で、脅威に関する膨大な量の詳細情報が得られます。

NEWS & TOPICSVirusTotal関連情報

VirusTotal 関連情報一覧へ
Contents 目次
  1. 1.VirusTotal 概要
    1. VirusTotalの主な特徴
    2. バンドルライセンス一覧
    3. 追加オプションサービス
      (アラカルトオプション)
    4. 参考:各種検索機能の期間的制約
  2. 2.VT Intelligence
    1. Intelligence Search
    2. Content Search (VT Grep)
    3. VirusTotal Code Insight
  3. 3.VT Graph
  4. 4.VT Hunting
    1. Retrohunt
    2. Livehunt
    3. VTDiff
    4. Crowdsourced YARA Hub
  5. 5.VT API
  6. 6.VT Insights(Threat Landscape)
    1. References / Threat Actorsの情報の閲覧
    2. References / Collections / Threat Actorsの検索
    3. IoC Streamの活用
  7. 7.各種追加オプションサービス
    1. Threat Hunter PRO
    2. VT Feeds
    3. VT Alerts
    4. Private Scanning
  8. 8.各種認証
  9. 9.FAQ
  10. 関連記事

VirusTotal 概要

さまざまな脅威インテリジェンスを提供する、
無償・有償で利用することのできるGoogle Cloud社のソリューション

弊社アンカーテクノロジーズは、Google Cloudのセキュリティ製品・サービス(VirusTotal, Mandiant, Google Threat Intelligence, Google SecOps等)の正式販売パートナーである、Google Cloud SecOpsパートナーです。

Google Cloud Partner

VirusTotal(ウイルストータル)は、さまざまな脅威インテリジェンスを提供する、無償・有償で利用することのできるGoogle Cloud社のソリューションです。2004年のサービスを開始以来、多くのユーザーにアップロードされてきた膨大なファイル、及びその解析結果の情報を保持する「マルウェアのGoogle」とも言えるサービスです。

VirusTotalにアップロードされたファイルは全て、有償の「VirusTotal Enterprise」契約者であれば誰でもダウンロード可能になります。また、契約ユーザーでなくともそのファイルの中身の一部はVirusTotal上で確認可能です。機微情報を含む可能性のあるファイルのアップロードにはご注意ください。

2024年12月 追記

2024年7月、VirusTotal EnterpriseとMandiant Advantageの両製品を統合したGoogle Threat Intelligenceの販売を開始しました。Google Threat IntelligenceについてもVirusTotal Enterprise同様、弊社が正規販売代理店として販売しております。
VirusTotal Enterpriseは、2024年12月をもって販売を終了いたします。ただし、Google Threat IntelligenceでもVirusTotal Enterpriseの全ての機能をお使いいただけます。

お問い合わせはこちら

VirusTotalの主な特徴

VirusTotalは、世界最大クラウドソース脅威インテリジェンスです。
2024年8月時点で、以下をはじめとする実績を有します。

  • 実績1

    2004年からマルウェアなどのデータを収集・蓄積してきた実績

  • 実績2

    グローバルで232カ国以上、月間平均で300万以上のアクティブユーザー

  • 実績3

    毎日200万以上のファイル、600万以上のURLを新たに分析・蓄積

  • 実績4

    30億以上のファイル(圧縮ファイルや実行ファイルに内包されているファイルを含めると、500億以上)を蓄積

  • 実績5

    60億以上のURL、50億以上のドメイン、170億以上のPassive DNSレコードに関するデータを蓄積

  • 実績6

    検出のためのデータソースとして、70以上の アンチウイルス / 80以上の URLデータベース / 30以上の サンドボックス / 30以上のルール (YARA, SIGMA, IDS)を使用し、多角的な評価が得られる

データソースのリストは以下ページで確認可能です。

Contributors
In-house
Sandboxes
External behavioural
engines sandboxes

また、リストのPDF資料を弊社でご用意しています。

お問い合わせはこちら

バンドルライセンス一覧

VirusTotalの有料プランであるVirusTotal Enterpriseでは、無料で利用可能な機能に加えて以下のような機能があり、脅威に関する膨大な量の詳細情報を得ることが可能です。各機能の詳細は後述します。

VirusTotal Enterpriseの
バンドルライセンス

VirusTotal Enterpriseのバンドルライセンスとしては、以下の4種類が提供されています。
商用利用も可能ですが、VirusTotalをマネージド・セキュリティ・サービス(MSS)における検知エンジンとして使うような使い方は、これらとは異なるライセンスのご契約が必要です。詳細はお問い合わせください。

  • VirusTotal Basic Bundle
  • VirusTotal Professional Bundle
  • VirusTotal Professional+ Bundle
  • VirusTotal Duet Bundle

各バンドルライセンスの違い

それぞれのバンドルライセンスの違いは下表の通りです。制限回数については本ページのFAQをご確認ください。
ただし、Professional+ BundleとDuet Bundleで利用可能な機能については、2023年12月以前に契約した場合は、下表の限りではありません。

SWIPEスワイプ
Bundle License Basic
Bundle		 Professional
Bundle		 Professional+
Bundle		 Duet
Bundle
価格
お問い合わせください
お問い合わせください
お問い合わせください
お問い合わせください
VT Intelligence
VT IntelligenceによるGUIでの高度な検索・Intelligence Search・Content Search
300 / 月 1,000 / 月 5,000 / 月 20,000 / 月
VT Intelligence
VT IntelligenceによるGUIでのファイルダウンロード
300 / 月 1,000 / 月 5,000 / 月 20,000 / 月
VT Graph
VT Graph
Public Graphのみ Public Graphのみ Public Graphと
Private Graph		 Public Graphと
Private Graph
VT Hunting
RetroHuntの実行回数
2回 / 月 5回 / 月 25回 / 月 1,000回 / 月
VT Hunting
LiveHuntで設定可能なYARAルール数
25ルール 25ルール 100ルール 20,000ルール
VT Hunting
VTDiffの実行回数
5回 / 月 25回 / 月 100回 / 月 10,000回 / 月
VT API
VT API
Private API(Premium API)1,000 / 日 Private API(Premium API)10,000 / 日 Private API(Premium API)30,000 / 日 Private API(Premium API)100,000,000 / 日
VT Insights
VT Insights / Threat Landscape
利用不可 (オプションの追加も不可)
利用不可 (オプションの追加も不可)
利用不可 (オプションの追加も不可)
Private Scanning
Private Scanning
別途オプション
別途オプション
別途オプション
100ファイル / 月
Threat Hunter PRO
別途オプション (高度な検索・Retrohuntの検索可能期間:過去3ヶ月が標準)
別途オプション
(高度な検索・Retrohuntの検索可能期間:過去3ヶ月が標準)
(高度な検索・Retrohuntの検索可能期間:過去12ヶ月)
(高度な検索・Retrohuntの検索可能期間:過去12ヶ月)
VT Feeds
別途オプション
別途オプション
別途オプション
別途オプション
VT Alerts
別途オプション
別途オプション
別途オプション
別途オプション
メーカーサポート 標準サポート 標準サポート 標準サポート 標準サポートVIPプログラム

追加オプションサービス(アラカルトオプション)

Basic Bundleなどの一部バンドルライセンスに標準で含まれないサービスとして、Threat Hunter PRO、Private Graph、VT FeedsVT AlertsPrivate Scanningといったサービスがあり、これらは別途追加オプションとしての契約が可能です。

また、VT Intelligence、VT APIなどの制限回数も追加オプションにより増やすことが可能です。追加オプションのサービスの機能詳細は、各種追加オプションサービスで後述します。

参考:各種検索機能の期間的制約

VirusTotalにはさまざまな検索機能が備わっております。
具体的には、Content Search (VTGREP)、Intelligence Search、Retrohunt、Livehunt、VT Feedsが挙げられます。それぞれが行う検索の方法はもとより、検索できる期間が異なります。

VT Feeds
リアルタイムに取得、および過去7日間分を取得
Livehunt
リアルタイムに監視・通知
Content Search
(VT GREP)
過去3ヶ月間分()を対象に検索
Intelligence Search
過去3ヶ月間分()を対象に検索
Retrohunt
過去3ヶ月間分()を対象に検索
ハッシュ値検索
過去の期間制限なし
(VirusTotalのサービス開始である2004年以来、全期間を対象に検索)

以下のいずれかに該当する場合、「Content Search (VT GREP)」「Intelligence Search」「Retrohunt」の3つは、過去12ヶ月間を対象に検索することが可能になります。これらは、ハッシュ値検索と比較すると期間の制約が強いですが、その分、高度な検索が可能です。

check CASE.1
「Professional+ Bundle」と「Duet Bundle」のいずれかを契約している場合
check CASE.2
「Basic Bundle」と「Professional Bundle」のいずれかに、「Threat Hunter PRO」のオプションを付加して契約している場合

検索可能対象期間のイメージ図

VT Intelligence

VT Intelligenceには、無料会員向けサービスに含まれる機能と、有料会員向けサービスにのみ含まれる機能があります。
有料会員向けサービスでは、無料会員向けサービスで利用可能な機能に加えて、以下の1〜4の機能があります。

01

ファイルのダウンロードが可能

有料会員向けサービスでは、ファイルをダウンロードすることができます。

画像を拡大する
02

「Intelligence Search」「Content Search (VTGrep)」の機能の利用が可能

後述する「Intelligence Search」「Content Search (VTGrep)」の機能を利用できます。
※「Content Search (VTGrep)」は、厳密には「Intelligence Search」に含まれる機能ですが、ここでは便宜的に両者を区別します。

03

関連情報の検索をサポートする機能

詳細確認画面において、関連情報の検索をサポートする機能があります。

画像を拡大する
04

確認可能な情報量が増加

詳細確認画面において、確認可能な情報量が増加します(例えばIoCがファイルの場合、CONTENTタブとTELEMETRYタブが確認可能になり、加えて、DETECTION等その他タブで確認可能な情報が増加)。

無料会員が確認可能なタブ
(ファイルの場合)

画像を拡大する

有料会員が確認可能なタブ
(ファイルの場合)

画像を拡大する

※上記画面におけるCOMMUNITYタブの数字の差異(2と6)は、VT Insights(Threat Landscape)の契約有無によるものです。
CONTENTTELEMETRY以外のタブでの増加情報は以下の通りです(例示であり、これらに限定されません)。

DETECTIONタブ

過去の検知結果

画像を拡大する

Capabilities and Indicators(静的解析と動的解析により判明した、ファイルの特徴)

画像を拡大する

各種メタデータの情報(ExifTool File Metadataなど)

RELATIONSタブ

ファイルに含まれるURLなどの悪性評価情報など

画像を拡大する

対象ドメインに含まれるURLと、対象ドメインからダウンロードされるファイルに関する情報

画像を拡大する

VT Intelligence 紹介動画

Intelligence Search

ファイル・IP・URL・ドメインに関して、高度な検索が可能です。検索演算子を用いた検索を行うことで、より多くの項目をもとに検索を行うことが可能です。以下は、ファイル検索を行う場合に比較的よく使われる検索項目です。

  • ファイルの種類

    詳細

    実行ファイル、インターネット系ファイル、文書、画像、音声、動画、圧縮ファイル、Apple系ファイルなどが指定可能です。
    例えば実行ファイルの場合、peexe, pedll, ne, neexe, nedll, mz, msi, com, coff, elf, krnl, rpm, linux, macho, dmg, windows, win16, win32, pe, installer, dos, deb が指定可能です。

  • 「悪性」と判定しているベンダー数

  • 子ファイルを「悪性」と判定しているベンダー数

  • ファイルの最小 / 最大サイズ

  • アンチウイルスソフトによる検知名(例:Trojan.Isbar)

  • Behavior(サンドボックス)レポートに含まれる文字列
    ※実行可能ファイル(pexe、dmg、apksなど)を対象にして検索します。

  • メタデータに含まれる文字列

  • 署名に含まれる文字列

  • ファイルのダウンロード元になったURLに含まれる文字列

  • ファイル名

  • tag(VirusTotalによって付与されたタグ情報)

    詳細

    VirusTotalは、「ファイルの種類」「抽出された情報」「動作」など、数百の要因に基づいてタグを付与します。

    参考 VirusTotalが付与するtagの一覧

  • 初めて / 最後にアップロードされた日付

  • アップロード回数

  • アップロード元の数
    (1つのアップロード元が、複数回アップロードしていてもカウントは増えない)

  • 署名の有無

  • 「Community」タブにおけるコメントに含まれる文字列(検索例:comment:”LummaC2″)

    詳細

  • Code Insightによる判定(検索例:codeinsight:keylogger)

    詳細

  • Crowdsourced AIによる判定(検索例:crowdsourced_ai_analysis:”is malicious”)

    詳細

検索対象となる期間は、過去遡及可能な範囲に制限があります(契約によりますが、過去3ヶ月または12ヶ月)。
詳細は「各種追加オプションサービス」のThreat Hunter PROを参照ください。

VirusTotalで利用可能な検索演算子についてはメーカーサイトのVirusTotal Intelligence Introductionのページと、File search modifiersのページをご参照ください。また、ファイル検索修飾子 チートシートでもご確認いただけます。
現在、以下ページで全ての検索演算子(search modifiers)をご確認いただけます。

search modifiers
tag modifier

詳細は、以下のVirusTotal Intelligence「高度な検索」についての記事をご参考ください。

Content Search (VT Grep)

ハッシュ値やメタデータなどを対象にして検索するのではなく、含まれるバイナリデータを対象にして検索する機能です。VBAマクロなども検索対象にすることが可能です。

バイナリから文字列データやバイナリパターンを検索します。
後述するRetrohuntLivehuntを実行する前に、まずはVTGrepで精度を確認するという使い方も有効です。

content: ” (value) ”またはcontent: { (value) }という検索演算子を用いて検索を行います。
※(value)には、検索したい値を指定。
※詳細な検索方法については、こちらをご参照ください。

検索対象となる期間は、過去遡及可能な範囲に制限があります(契約によりますが過去3ヶ月または12ヶ月)。詳細は「各種追加オプションサービス」のThreat Hunter PROを参照ください。

VirusTotal Code Insight

VirusTotal Code Insightは、Crowdsourced AI で提供される機能の一部で、Googleの生成AIモデルSec-PaLMをベースにして、コードがどのように動作するかを自然言語で説明する機能です。
2023年6月現在では、無料会員でも利用可能です。

また、2023年6月現在で、以下に対応しています。

  • PowerShellスクリプト
  • バッチファイル(BAT)
  • コマンド プロンプト(CMD)
  • シェルスクリプト(SH)
  • VBScript(VBS)

Code Insightによる説明例

Code Insightは2023年4月にリリースされた機能ですが、今後、以下のような機能が拡充していくことが予定されています。

ファイルの種類とサイズのサポートを拡大。

バイナリファイルや実行ファイルの解析のサポート。

コードそのもの以外の文脈情報を捕捉するなどしてより深い解析を行う。
例:コードされているURLやファイルに関連するメタデータにアクセスして、追加情報を得る 等

Crowdsourced AI については、以下の弊社ブログ記事で説明しています。

VT Graph

VT Graphは、VirusTotalのデータベースから情報を収集し、ファイル、URL、ドメイン、IP アドレスなど様々な関係性を示すグラフを生成します。グラフは、ノード(データ)とエッジ(関係性)で構成され、グラフの見た目やフィルタリング、検索、表示オプションの変更など、様々なカスタマイズが可能です。

VT Graphを利用することにより、大量の情報を直感的に理解できるVT Graph紹介動画で、関連するデータを素早く特定し、分析をより迅速に行うことができます。Maltegoと似た操作感でご利用いただけます。

VT Graph
画像を拡大する

有償サービスにのみ含まれる機能

VT Graphには、無料サービスに含まれる機能と、有償サービスにのみ含まれる機能があります。
有償サービスでは、無料サービスで確認可能な情報に加えて、以下情報を確認できます。

ファイルの場合
  • Itw Urls
  • Itw Domains
  • Embedded Domains
  • Compressed Parents
  • Pcap Parents
  • Overlay Parents
URL の場合
  • Downloaded Files

Professional+ Bundle以上を契約する、またはPrivate Graphのアドオンを契約することにより、調査結果を公開せずにグラフを保存することが可能です。

画像を拡大する

VT Graph 紹介動画

VT Hunting

VT Huntingは、ハッシュ値やメタデータなどを対象にして検索するのではなく、含まれるバイナリデータを対象にした検索をサポートします。
Retrohunt、Livehunt、VTDiffの3つの機能が利用可能です。

VT Hunting 紹介動画

Retrohunt

Retrohuntは、Content Searchと同様に、バイナリデータを使って検索する機能です。検索にYARAルールを使用し、より精度の高い検索を行うことが可能です。

特定のマルウェアファミリーを捕捉するYARAルールの精度を確認し、修正する用途で利用することも可能です。
参考ブログ記事 Stopping Cobalt Strike with YARA

過去3ヶ月間または12ヶ月間()に VirusTotalにアップロードされたファイルを、任意のYARA ルールでスキャンできます。過去3ヶ月間を対象としたRetrohuntのジョブは、2~3時間で5億ファイル以上(500TB以上)のコーパスをスキャンし、指定したYARAルールに一致したファイルに関するレポートを得ることができます。

12ヶ月間まで対象にできるのは、Professional+ BundleまたはDuet Bundleをご契約の場合、または別途アドオンサービス「Threat Hunter PRO」をご契約の場合に限定されます。また、期間を任意の長さに限定することも可能です。詳細は「各種追加オプションサービス」のThreat Hunter PROを参照ください。

また、グッドウェアとされる約100万ファイルからなる比較的小規模のコーパスをスキャンすることも可能で、YARAルールをテストする際に偽陽性を発見しやすくなるので便利です。これは通常1分未満で完了します。

Livehunt

Livehuntは、検知ルールに該当する投稿やスキャンがないかリアルタイムで監視し、該当するものがあれば通知する機能です。検知ルールとしてYARAルールを使用します。後述するVT Insights (Threat Landscape)を契約している場合、IoC Streamのソースとして設定することも可能です。

Livehuntのジョブ作成画面

RetrohuntとLivehuntにおけるジョブ作成画面は、2023年7月のアップデートにより、利便性が大きく向上しました。テンプレート機能と、作成したYARAルールのテスト機能が新たに実装されました。
加えてLivehuntにおいては、ファイルの他にもURL・ドメイン・IPに関するIoCを捕捉するための機能が実装されました。

画像を拡大する

Livehuntのジョブ作成開始時、
どのYARAルールを作成するかの選択肢
(ファイル・URL・ドメイン・IP)

画像を拡大する

作成済みLivehuntのルール一覧画面

画像を拡大する

Livehuntによるメール通知画面例
※中間は省略

画像を拡大する

VTDiff

ファイルグループ(マルウェアファミリー、脅威キャンペーン、脅威アクターツールセット)を検出するための最適なパターンの特定を自動化することで、YARAルール作成を支援する機能です。
これらのパターンは、Livehunt、Retrohunt、Content Search(VT GREP)で使用することができます。

画像を拡大する

Crowdsourced YARA Hub

YARAルールの利用を支援する機能としては、VTDiffの他にも、Crowdsourced YARA Hubがあります。
これを用いることにより、他の分析者が公開しているYARAルールを利用することが可能です。

画像を拡大する

VT API

VirusTotal APIを利用することにより、さまざまなタスクをプログラムで実行し、VirusTotalデータセットを用いるワークフローを自動化することが可能です。

また、組織内で利用している、サードパーティのセキュリティソリューションと組み合わせて利用することにより、当該セキュリティソリューションを強化することもでき、幅広い種類の脅威情報(ハッシュ、ドメイン、IP、URL、SSL証明書など)を監視することが可能です。連携可能なセキュリティソリューションの例と、それらの連携設定方法などについては、こちらをご参考ください。

無料で利用可能なVirusTotal Public APIと、有償で利用可能なVirusTotal Premium API (Private API)の2種類があり、Public APIには一部制限があります。両者の違いについては、VirusTotal の Public API と Premium API (Private API) の違いをご覧ください。

VT APIの主な機能

主な機能は、以下の通りですが、これらに限定はされません。GUI版で利用可能な機能は全てご利用いただけます。例えば、Private Scanningのオプションを契約されているお客様は、当該機能をAPIで利用可能です。

ファイルをアップロードしてスキャン

各種セキュリティツール群(70以上のアンチウイルス製品、10以上の動的解析サンドボックス、その他多くのセキュリティツール、およびデータセット)によりファイルを解析し、脅威スコアとそれを理解するための関連情報を提供します。

ハッシュ値によるファイルレポートの取得

MD5、SHA1、SHA256いずれかのハッシュ値を指定すると、各種セキュリティツール群によって生成された、脅威の評価と関連情報を含む解析レポートを取得します。

URLスキャン

各種セキュリティツール群でURLを分析し、脅威のスコアと関連情報を生成します。

URL分析レポート / ドメイン分析レポート / IPアドレス分析レポートの取得

URL / ドメイン / IPアドレスを指定すると、各種セキュリティツール群によって作成された、脅威の評価と関連情報を含む解析レポートを取得します。

なお、APIのリファレンスは全て公開されています。
例えば、ファイルアップロードについてはこちらをご参考ください。

VT Insights (Threat Landscape)

VT Insightsは、各種IoC(ファイル・IPアドレス・ドメイン)に関連する「References」「Collections」「Threat Actors」の情報の検索と確認が可能となるサービスです。
Duet Bundleを契約している場合にのみ、利用可能です。その他バンドル(Basic、Professional、Professional+)を契約している場合、本機能は利用できません。

References
各セキュリティベンダーや研究者が公開している情報を確認することが可能。
Collections
攻撃キャンペーンや脅威アクターに関連する、ファイルのハッシュ値、WebページのURL・ドメイン、各種IPアドレスなどのIoCを、一定のまとまりごとに確認することが可能。
Threat Actors
攻撃者グループに関する詳細と、それらに関連するIoCなどを確認することが可能。

VT Insights の契約がある場合、主に以下のことが可能になります。

check References / Threat Actorsの情報の閲覧
check References / Collections / Threat Actorsの検索
check IoC Streamの活用

それぞれ、以下にて詳説します。

References / Threat Actorsの情報の閲覧

各種IoCのCOMMUNITYタブにおいて、そのIoCに関連すると判断される「References」と「Threat Actors」の情報が表示されます。関連する「References」「Threat Actors」が複数ある場合は、全て表示します。「Collections」の情報と合わせて確認することにより、攻撃者がどういった集団で、どういった特性の攻撃を受けた可能性があるかの理解が容易になります。

無料会員の場合

なお「Collections」の情報は、無料会員でも表示されます。以下画像は、VT Insights の契約がない場合の表示です。

References / Collections / Threat Actorsの検索

「Threat Landscape」において、「Collectionsの検索」「Threat Actorsの検索」「Referencesの検索」が可能です。検索結果のいずれかを選択すると、その詳細(IoC、TTPsなど)を確認することが可能です。

Collections

(検索結果の例)
日本を含む各国をターゲットにする脅威に関連するCollectionsの検索結果

VT Collections
画像を拡大する

(Collectionsの詳細確認画面の例)
上図一覧のうち「CryptoCore Threat Actor (Lazarus Group) Targeting Cryptocurrency Exchanges」に関して説明した詳細確認画面の例

VT Collections 詳細
画像を拡大する

なお、それぞれのCollectionsは、STIXなどの形式でエクスポートすることも可能です。STIXは、MITREが中心となって策定した脅威情報に関する構造化言語で、これを例えばEDR等に取り込み検知ルールに加えることで、より自組織に適した対策を講じることが可能になります。

Collections エクスポート
画像を拡大する

Threat Actors

(検索結果の例)
日本を含む各国をターゲットにする攻撃者グループの検索結果

画像を拡大する

(Threat Actorsの詳細確認画面の例)
上図一覧のうち「Lazarus Group」に関して説明した詳細確認画面

Threat Actors 詳細
画像を拡大する

References

(検索結果の例)
2023年1月1日以降に作成、かつキーワード「emotet」での検索結果

画像を拡大する

(Referencesの詳細確認画面の例)
上図一覧のうち「OneNoteで拡散中のEmotetマルウェア – ASECブログ」の詳細確認画面

画像を拡大する
「Screenshot」をクリックすることで、素早く当該ソース記事を確認することも可能です。
画像を拡大する

IoC Streamの活用

「Threat Landscape」において、検索結果として表示されているCollectionsまたはThreat Actorsの中から、1つまたは複数を選択して、IoC Streamのソースとして追加(Subscribe)することが可能です。

画像を拡大する

あるいは、各種IoCのCOMMUNITYタブで閲覧している特定のCollectionsまたはThreat Actorsを、個別にIoC Streamのソースとして追加(Subscribe)することも可能です。

画像を拡大する

IoC Streamのソースとして追加したCollections、Threat Actors、livehuntルールのいずれかに該当するIoCが、VirusTotalに新たに追加された場合、ユーザーに通知が飛ぶとともに、IoC Streamのページでそれらの詳細を確認することができます。

画像を拡大する

IoC Stream 紹介動画

各種追加オプションサービス

VirusTotal Basic Bundleなどの各Bundleライセンスに標準で含まれないサービスとして、Threat Hunter PRO、VT Feeds、VT Alerts、Private Scanningといったサービスがあります。これらは、各サービス単体での契約、または追加オプションとしての契約が可能です。

※Threat Hunter PROは、Professional+ BundleとDuet Bundleのライセンスにのみ、標準で付帯します。また、Private Scanningは、Duet Bundleにのみ100回 / 月の権利が付帯します。

Threat Hunter PRO

前提として、VirusTotal Basic BundleとVirusTotal Professional Bundleは、通常、Intelligence Search、Content Search (VTGREP)、Retrohuntの3つを、過去3ヶ月間分を対象して実行可能です。
Threat Hunter PROは、この対象期間を過去12ヶ月間分にまで拡張するためのオプションです。

Professional+ BundleDuet Bundleには、Threat Hunter PROのサービスが標準で付帯しております。

Threat Hunter PROを付与することによるメリット

このオプションを付帯することにより、例えば以下のメリットが得られます。

マルウェアファミリーを調査する場合、その最初の亜種にまで遡って調査することが有用です。
攻撃キャンペーンの初期段階では、攻撃者の不注意により、デバッグの残骸として残された情報(デバッグメッセージ、デバッグビルド、ログファイルなど)やネットワークインフラに関する情報などの手がかりが残っていることが多く、アトリビューションにより攻撃者の詳細を知ることができます。

APT攻撃では、幾多の亜種が存在するような汎用的なマルウェアは用いられず、短期間で十分なサンプリングを得ることが困難です。過去12ヶ月間の十分なサンプリングを得て、全体像を見ることにより、攻撃者のTTPsの理解が深まります。

VT Feeds

VT Feedsは、定期的に更新される脅威情報を、API経由で提供するサービスです。巨大なユーザーコミュニティに裏打ちされた膨大な脅威情報を、リアルタイムで取得することができます。
脅威情報を自動的に取得し、自組織のセキュリティソリューションと統合して利用することにより、迅速な対応を行うことが可能です。
また、自社データをVirusTotalの環境上にアップロードすることなく分析を行うことができるため、意図しない情報開示も未然に防ぐことが可能です。

Feedの種類

以下の各種Feedがあり、それぞれ個別に契約することが可能です。

  • File Feed
  • URL Feed
  • Sandbox Feed
  • Domain Feed
  • IP Address Feed

VT Alerts

VT Alertsは、お客様のインフラや知的財産に一致するものをVirusTotalで新しく検出した時に、通知を提供するサービスです。自社のネットワーク関連資産や、ブランド、知的財産に関連する用語を含むウォッチリストを作成することにより、監視を開始します。

VT ALERTS
画像を拡大する

Private Scanning

Private Scanningは、自社以外の第三者の目に触れる形でファイルをアップロードすることなく、完全にプライベートな環境でファイルを分析するためのサービスです。

アップロード画面(例)
画像を拡大する

「Try to detonate in dynamic analysis sandboxes」にチェックを入れるとサンドボックスによる解析を行います。

「Enable Internet access」にチェックを入れると、サンドボックス環境がインターネット通信を行います。これにより、攻撃者が用意したC2サーバーとの通信を試みるなどが可能です。

「Retention period days」の値は、解析対象のファイルおよび解析結果をGoogle社のサーバーに残しておく期間(日数)です。1から28までの任意の値(日数)を指定できます。
※この値の設定にかかわらず、解析対象のファイルおよびその解析結果が他ユーザーには公開されることはありません。

Private Scanning 機能概要

静的解析、動的解析(サンドボックス解析)、ネットワーク解析、類似性解析、自動化された脅威情報収集が可能です。

標準サービスで得られるような、複数のアンチウイルスエンジンによるスコアリング結果は得られません。

VT APIまたはWebインターフェイスを介して利用可能で、また、コマンドラインスクリプトによる自動化も可能です。

暗号化されたZipファイルをアップロードした場合は、解除パスワードの入力が求められます。

もしスキャン結果がVirusTotalにすでに存在している(同一ハッシュ値のファイルが存在する)場合は、対象をアップロードすることなくその結果を確認することが可能です。
これにより、アップロード制限回数を消費することを避けることが可能です。

画像を拡大する

解析結果は、通常のVirusTotalの解析結果と概ね一緒ですが、Malicious / Suspicious / Undetected の3段階の危険度判定が表示されるなど、通常のVirusTotalの解析結果にはない結果も表示されます。ただし、複数アンチウイルスによる判定状況(「53/70」など)は表示できません。また、サンドボックスはInternal Sandbox (In-house Sandbox)のみ利用可能です。External Sandboxは利用できません。

画像を拡大する

各種認証

VirusTotalは、ISO 27001認証に準拠し、さらにSOC 1、SOC 2、およびSOC 3の全ての基準を満たすことで、情報セキュリティとデータ管理の高度な基準を維持しています。

FAQ

各ライセンス(Basic Bundle、Professional Bundle、Professional+ Bundle、Duet Bundle)と、各オプション(Threat Hunter PRO、Private Graph、各種File Feed、VT Alerts、Private Scanning Service など)の価格表はありますか?
見積が欲しいのですが、必要な情報はありますか?
有償で利用可能なVirusTotal Premium API (Private API) は、無料で利用可能なVirusTotal Public APIとはどう異なりますか?
ライセンスで定義されているAPIや、検索・ダウンロードなどに関する制限について、カウントのされ方が知りたい。
SSOは設定可能ですか?
MFA(多要素認証)は設定可能ですか?
利用規約はありますか?お客様に提供するセキュリティサービスの中で利用したいです。利用規約に抵触しないか確認したい。
トライアルは可能ですか?

関連記事

VirusTotal 関連記事一覧へ
TOP