« フリーメールを使った差出人メールアドレスの詐称 | メイン | マルウェア解析奮闘記 Powershell多用マルウェアの解析 »

2016年3月 9日 (水)

VirusTotalへアップロードされる機微情報

標的型攻撃等に対する警戒心の高まりから、以前にも増して、VirusTotalを活用される企業が多くなっているかと思います。疑わしいファイルを無料で分析できるため、気軽に使える反面、機微な情報を含むファイルをアップロードしてしまった場合、他の組織に入手されてしまうリスクがあります。いったんVirusTotalにアップロードしてしまったファイルは、それがマルウェアか否かに関係なく、VirusTotal Intelligence(有償サービス)の契約ユーザが自由に入手できることを意味します。

アンチウイルスベンダーをはじめ、多くのセキュリティベンダーは、VirusTotal Intelligenceを契約し、VirusTotalにアップロードされるマルウェア検体を分析することで、脅威の動向を把握しようと努めています。弊社も、特に日本からアップロードされるマルウェア検体を入手することで、脅威の動向観測に活用しようと試みておりますが、そういった活動の中で、マルウェアではないファイルが日本からアップロードされてしまっているのを多く見かけます。アップロードされたOffice系の文書ファイルの中には、社外秘に相当する情報を含んだものがあり、アップロードした方がVirusTotalの仕様を十分に認識していないことが推察されます。

Vt0101_3

Vt0102

   図1 VirusTotalにアップされている機微情報の例(文書ファイル)

また、Office系ファイルだけでなく、特にアップロード数が多いのが、Outlookやその他のメーラーからエクスポートしたメール形式のファイル(.msgや.emlファイル)です。マルウェアを含んでいないメール形式のファイルが、日本からかなり多くアップロードされています。多い日には100通を超えるメール形式ファイルがアップロードされており、中には、顧客とのやり取りで機微な情報を含むものも多く見られます。

Vt0201

Vt0202

   図2 VirusTotalにアップされている機微情報の例(メール形式ファイル)

はたして、これらのマルウェアではないファイルは、VirusTotalにアップロード後、本当に他の組織や人によって入手されているのでしょうか。それを確認するため、ビーコンを埋め込んだExcelファイル(マルウェアではないファイル)をVirusTotalにアップロードしてみました。ビーコンとは、ファイル開封時にサーバへリクエストを飛ばす仕掛けのことで、自分が管理するサーバへビーコンを飛ばすことで、どこかのシステム上でファイルが開封されたことを確認することができます。当該ファイルをアップロードしてから数日にわたって様々な国からビーコンが不定期に飛んできたことを確認しました。

Beacon01

   図3 ファイル開封時に飛んできたビーコン(Apacheのアクセスログ)

マルウェアをVirusTotalへアップロードした場合には、世界中の多くのサンドボックス上で実行されているようですが、今回、マルウェア判定されていない文書ファイルをアップロードしただけでも、これだけ開封されているということが分かりました。ビーコンのいくつかはサンドボックスらしきIPアドレスから飛んできているものもありましたが、マルウェア解析以外の目的を持ったシステムでも開封されている可能性を否定できません。

アップロードされたファイルは他人に共有されてしまうことを認識した上で、VirusTotalを利用する必要がありそうです。しかしながら、IT部門が正しい認識をしていても、IT部門以外の社員が機微な情報を含んだファイルをVirusTotalへアップロードしてしまうケースがあります。そういったケースを想定し、プロキシサーバ等で、VirusTotalへのアップロードを制限するなど、システム側での対処も必要かもしれません。
また、誤ってVirusTotalへアップロードしてしまったファイルに関しては、下記ページから削除申請をすることが可能です。

https://www.virustotal.com/ja/about/contact/#file-deletion

この記事によって、日本国内からVirusTotalへアップロードされる機微情報が少しでも減ることを願うばかりです。

« フリーメールを使った差出人メールアドレスの詐称 | メイン | マルウェア解析奮闘記 Powershell多用マルウェアの解析 »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat