VirusTotal 概要
VirusTotalは、さまざまな脅威インテリジェンスを提供する、無償・有償で利用することのできるGoogle Cloud社のソリューションです。
専用のWebインターフェースとして提供されるほか、自組織におけるGmailとChrome のログイベントに関連するセキュリティレポートをも提供しており、有償サービスのVirusTotal Enterpriseを契約する組織では、Google管理コンソールから脅威に関する詳細レポートを確認することが可能です。
※未契約組織でも、標準レポートを確認することが可能です。詳細はGoogle Workspaceのヘルプページをや公式アップデート情報ご参考ください。
またVirusTotalは、Chronicle Security Operationsの脅威インテリジェンスソリューションを支えるテクノロジーでもあります。
なお「VirusTotal Enterprise」は、広義にはVirusTotalの有償サービス全体を指しますが、狭義には、有償サービスの中のライセンス形態のうちの一形態を指すこともあります(Basic Bundle, Professional Bundle, Enterprise Bundle, Duet Bundleのうちの、Enterprise Bundleのことを指す)。
弊社では、前者を「VirusTotal Enterprise」、後者を「VirusTotal Enterprise Bundle」として区別しています。
バンドルライセンス一覧
VirusTotal Enterpriseのバンドルライセンスとしては、以下の4種類が提供されています。
- VirusTotal Basic Bundle
- VirusTotal Professional Bundle
- VirusTotal Enterprise Bundle
- VirusTotal Duet Bundle
それぞれ、以下の機能(サービス)および制限があります。また、Premium API、Intelligence Search、Retrohuntといった各種サービスは、バンドルで契約いただく以外に、各サービス単体でご契約いただくことも可能です。詳細につきましては、お問い合わせください。
Basic Bundle | Professional Bundle | Enterprise Bundle | Duet Bundle | |
---|---|---|---|---|
Premium API | 1,000/日 | 10,000/日 | 30,000/日 | 100,000,000/月 |
Intelligence Search/Download | 300/月 | 1,000/月 | 5,000/月 | 20,000/月 |
RetroHunt | 2回/月 | 5回/月 | 25回/月 (過去12ヶ月間分が対象) | 1,000回/月 |
Threat Hunter PRO | 別途オプション | |||
LiveHunt YARAルール数 | 25ルール | 25ルール | 100ルール | 20,000ルール |
Private Graph | 別途オプション | |||
VT Insights | 別途オプション | |||
VT Feeds - File Feed - URL Feed - Sandbox Feed - Domain Feed - IP Address Feed | 別途オプション | |||
VT Alerts | 別途オプション | |||
Private Scanning | 別途オプション | |||
メーカーサポート | 標準サポート | 優先サポート |
追加オプションサービス
上記のVirusTotal Enterpriseに標準で含まれないサービスとして、Threat Hunter PRO、VT Feeds、VT Alerts、VT Insights、Private Scanningといったサービスがあります。詳細は、各種追加オプションサービス で後述します。
主な特徴
VirusTotalは、世界最大クラウドソース脅威インテリジェンスです。
- 2004年からウイルスデータを収集・蓄積してきた実績
- グローバルで232カ国以上、月間平均で200万以上のユーザーが利用
- 30億以上のファイル(圧縮ファイルを含めると、500億以上)
- 50億以上のURL、30億以上のドメイン、50億以上のPassive DNSレコード
- 検出のためのデータソースとして、70以上の アンチウイルス / 70以上の URLデータベース / 15以上の サンドボックス / 20以上の ルール (YARA, SIGMA, IDS)
※ソースのリストはこのページで確認可能です。
VirusTotal Enterpriseに含まれる各種サービス
VirusTotal Enterpriseには、以下のサービスが含まれます。各サービス内容の詳細は後述します。
- VT Intelligence
- VT Graph
- VT Hunting
- VT API
VT Huntingを除く、VT Intelligence/VT Graph/VT APIは、機能制限があるものの、機能の一部は無料で利用できます。
- ゲストとしてログインせずに利用する場合:
VT Intelligence の一部機能が利用可能。 - 無料会員として利用する場合:
VT Intelligence、VT Graph、VT API の一部機能が利用可能。
VT Intelligence
VT Intelligenceには、無料サービスに含まれる機能と、有償サービスにのみ含まれる機能があります。
有償サービスでは、無料サービスで利用可能な機能に加えて、以下機能を利用できます。
また、確認可能な情報の種類が増加します(contentページ, submissionページなど)。
Intelligence Search
- 以下の項目の値をもとにした高度な検索が可能です。
※検索対象となる期間は、過去遡及可能な範囲に制限があります(契約によりますが、過去3ヶ月または1年間)。詳細は追加オプションサービスの「Threat Hunter PRO」を参照ください。
※クエリの記載方法についてはこちらをご参照ください。- ファイルの種類(代表的なもの)
- 悪性判定数
- ファイルサイズ(最小/最大)
- AV ソフトの検知名
- Behavior(サンドボックス)レポートに含まれる文字列
- メタデータに含まれる文字列
- 署名に含まれる文字列
- 検体がダウンロードされる時のURL に含まれる文字列
- ファイル名
- 初めて/最後に投稿された日付
- 投稿数
- 投稿者数
Content Search (VT Grep)
- ハッシュ値やメタデータなどを対象にして検索するのではなく、含まれるバイナリデータを対象にして検索する機能です。VBAマクロなども検索対象にすることが可能です。
content: { (value) } というクエリを用いて検索を行います。
※(value)には、検索したい値を指定。
※検索対象となる期間は、過去遡及可能な範囲に制限があります(契約によりますが、過去3ヶ月または1年間)。詳細は追加オプションサービスの「Threat Hunter PRO」を参照ください。
※クエリの記載方法については、こちらをご参照ください。
VT Intelligence紹介動画
VT Graph
VT Graphは、VirusTotalのデータベースから情報を収集し、ファイル、URL、ドメイン、IP アドレスなど様々な関係性を示すグラフを生成します。グラフは、ノード(データ)とエッジ(関係性)で構成され、グラフの見た目やフィルタリング、検索、表示オプションの変更など、様々なカスタマイズが可能です。
VT Graphを利用することにより、大量の情報を直感的に理解できるので、関連するデータを素早く特定し、分析をより迅速に行うことができます。Maltegoと似た操作感でご利用いただけます。
VT Graphには、無料サービスに含まれる機能と、有償サービスにのみ含まれる機能があります。
有償サービスでは、無料サービスで確認可能な情報に加えて、以下情報を確認できます。
ファイルの場合
- Itw Urls
- Itw Domains
- Embedded Domains
- Compressed Parents
- Pcap Parents
- Overlay Parents
URL の場合
- Downloaded Files
VT Graph紹介動画
VT Hunting
VT Huntingは、ハッシュ値やメタデータなどを対象にして検索するのではなく、含まれるバイナリデータを対象にした検索機能(RetroHunt)またはリアルタイムの監視機能(LiveHunt)です。
例えば、以下のような組み合わせによる活用も可能です。
- Retrohuntを使用して、特定のマルウェアまたはその他脅威に関連する情報を収集し、その情報をもとにYARAルールやVTGREPクエリを作成する。
- LiveHuntを使用して、上記で作成したYARAルールやVTGREPクエリによる脅威のリアルタイム監視を行う。
RetroHunt
Content Searchと同様に、バイナリデータを使って検索する機能です。
検索にYARAルールを使用し、より精度の高い検索をすることが可能です。
過去3ヶ月間または12ヶ月間(※)に VirusTotalにアップロードされたファイルを、任意のYARA ルールでスキャンできます。Retrohuntのジョブは、2~3時間で5億ファイル以上(~680TB相当)のコーパスをスキャンし、指定したYARAルールに一致したファイルに関するレポートを得ることができます。
※12ヶ月間まで対象にできるのは、Enterprise Bundle以上をご契約の場合、または別途アドオンサービス「Threat Hunter PRO」をご契約の場合に限定されます。また、期間を任意の長さに限定することも可能です。詳細は追加オプションサービスの「Threat Hunter PRO」を参照ください。
また、グッドウェアとされる約100万ファイルからなる比較的小規模のコーパスをスキャンすることも可能で、YARAルールをテストする際に偽陽性を発見しやすくなるので便利です。これは通常1分未満で完了します。
LiveHunt
検知ルールに該当する投稿やスキャンがないかリアルタイムで監視し、該当するものがあれば通知を出す機能です。検知ルールとしてYARAルールを使用します。
VTDIFF
ファイルグループ(マルウェアファミリー、脅威キャンペーン、脅威アクターツールセット)を検出するための最適なパターンの特定を自動化することで、脅威分析担当者のYARA ルール作成を支援する機能です。これらのパターンは、LivehuntのYARAルール、Retrohuntのジョブ、VT GREPのContent Searchで使用することができます。
VT Hunting紹介動画
VT API
VirusTotal APIを利用することにより、さまざまなタスクをプログラムで実行し、VirusTotalデータセットを用いるワークフローを自動化することが可能です。
また、組織内で利用している、サードパーティのセキュリティソリューションと組み合わせて利用することにより、当該セキュリティソリューションを強化することもでき、幅広い種類の脅威情報(ハッシュ、ドメイン、IP、URL、SSL証明書など)を監視することが可能です。
無料で利用可能なVirusTotal Public APIと、有償で利用可能なVirusTotal Private APIの2種類があり、Public APIには一部制限があります。両者の違いについては、VirusTotalのPublic APIとPrivate APIの違い をご覧ください。
主な機能は、以下の通りです。
- ファイルをアップロードしてスキャン:各種セキュリティツール群(70以上のアンチウイルス製品、10以上の動的解析サンドボックス、その他多くのセキュリティツール、およびデータセット)によりファイルを解析し、脅威スコアとそれを理解するための関連情報を提供します。
- ハッシュ値によるファイルレポートの取得: MD5、SHA1、SHA256いずれかのハッシュ値を指定すると、各種セキュリティツール群によって生成された、脅威の評価と関連情報を含む解析レポートを取得します。
- URLスキャン:各種セキュリティツール群でURLを分析し、脅威のスコアと関連情報を生成します。
- URL分析レポート/ドメイン分析レポート/IPアドレス分析レポートの取得:URL/ドメイン/IPアドレスを指定すると、各種セキュリティツール群によって作成された、脅威の評価と関連情報を含む解析レポートを取得します。
各種追加オプションサービス
VirusTotal Enterprise(VirusTotal Basic Bundleなどの各ライセンス)に標準で含まれないサービスとして、Threat Hunter PRO、VT Feeds、VT Alerts、VT Insights、Private Scanningといったサービスがあります。これらは、単体または追加オプションとして契約することが可能です。
※Threat Hunter PROは、VirusTotal Enterprise Bundle以上のライセンスには標準で付帯します。また、その機能の性質上、単体での契約は不可で、少なくともVT IntelligenceまたはVT Huntingのいずれかの契約が必要です。
Threat Hunter PRO
- 前提として、VirusTotal Basic BundleとVirusTotal Professional Bundleは、Intelligence Search、Retrohunt、Content searching (VTGREP)の3つを、過去3ヶ月間分を対象して実行可能です。Threat Hunter PROは、この対象期間を過去1年間にまで拡張するためのオプションです。
- VirusTotal Enterprise BundleとVirusTotal Duet Bundleには、Threat Hunter PROのサービスが標準で付帯しております。
VT Feeds
VT Feedsは、定期的に更新される脅威情報を、API経由で提供するサービスです。巨大なユーザーコミュニティに裏打ちされた膨大な脅威情報を、リアルタイムで取得することができます。
脅威情報を自動的に取得し、自組織のセキュリティソリューションと統合して利用することにより、迅速な対応を行うことが可能です。
また、自社データをVirusTotalの環境上にアップロードすることなく分析を行うことができるため、意図しない情報開示も未然に防ぐことが可能です。
以下の各種Feedがあり、それぞれ個別に契約することが可能です。
-
- File Feed
- URL Feed
- Sandbox Feed
- Domain Feed
- IP Address Feed
VT Alerts
VT Alertsは、お客様のインフラや知的財産に一致するものをVirusTotalで新しく検出した時に、通知を提供するサービスです。自社のネットワーク関連資産や、ブランド、知的財産に関連する用語を含むウォッチリストを作成することにより、監視を開始します。
VT Insights
VT Insightsは、以下のCollectionsおよびThreat Actorsの機能を利用できるサービスです。
※ただし2023年2月現在、一部機能のみ利用可能で、今後順次全てのユーザーがご利用可能になる予定です。
Private Scanning
Private Scanningは、自社以外の第三者の目に触れる形でファイルをアップロードすることなく、完全にプライベートな環境でファイルを分析するためのサービスです。静的解析、動的解析、ネットワーク解析、類似性解析、自動化された脅威情報収集が可能です。ただし、標準サービスで得られるような、複数のアンチウイルスエンジンによるスコアリング結果は得られません。ファイルおよび分析結果は24時間以内に完全削除されます。
VT APIまたはWebインターフェイスを介して利用可能で、また、コマンドラインスクリプトによる自動化も可能です。
各種情報
- FAQ(開発元ウェブサイト)