本日、日課にしているTwitterを眺めていたら、気になる投稿が目に留まりました。
ちょっと扱いこまるやつなので。
— hiro_ (@papa_anniekey) July 8, 2020
標的型メール訓練、開封、報告率とか「だけ」にフォーカスするのは訓練として足らない。そういった不審なモノが送られてきたら、それを約款に基づく外部サービスに対して提供をしない、といった社内リテラシ徹底がむしろ重要です。https://t.co/6fQrROEeBH
ANY.RUNにとある企業で利用したと思われる標的型訓練のファイルがアップロードされていたようです。
ANY.RUNやVirusTotalなどのオンライン検査サイトの使い方を誤ると重大な情報漏洩が発生してしまいます。
そこで今回は、この問題を簡単にですがまとめてみました。
【目次】
VirusTotalやANY.RUNって何?
VirusTotalやANY.RUNとは大雑把に言ってしまうと、無料でファイル・サイトが危険なものかどうかを判定してくれるオンラインのサービスになります。
以下にいくつかのサービスを紹介します。
VirusTotal
VirusTotalはWebサイトにファイルをアップロードすることにより、複数のアンチウイルス製品(記事投稿時には73種)による検査を行ってくれるサービス。
ファイルの検査のほかにドメイン/IPを指定するとウェブサイト検査製品による検査も行ってくれる。
HybridAnalysis
HybridAnalysisはアップロードしたファイルの挙動情報などの詳細な解析結果が得られるサービス。
Hybrid Analysis
urlscan.io
指定したウェブサイトを代理アクセス・スキャンし、分析してくれるサービス。過去のページや現在のライブ映像を確認することができる。
何が問題なの?
昨今、標的型メールやランサムウェア、フィッシングサイトについてセキュリティの専門家やTV・新聞などのメディアが取り上げてきたことにより、セキュリティに詳しくない人にも少しずつ認知されてきました。そして、より一歩進んだ人はVirusTotalやANY.RUNといったファイルを上げるだけでマルウェアかどうかを判定してくれる無料のオンラインサービスがあることを知っています。
そのため、不審なファイルがメールに添付されていたり、ダウンロードしたりすると安全を確認するためにVirusTotalにファイルをアップロードしてマルウェア判定が出ないことを確認したのちにファイルを開くことが考えられます。*1
しかしながら、このサービスについての仕組みを理解していないと企業の機密情報の漏洩につながりかねません。
というのも、上記に示したサービスの大半はアップロードしたファイルの結果だけを残しているのではなくアップロードしたファイルもデータベースに残されているのが大半です *2。そして大半のサービスでは、セキュリティ研究のために有償のサービスを提供しており、各サービスに保存された検体ファイルをダウンロードすることができます*3。
つまり、企業の社外秘の資料などをアップロードしてしまうと有償サービスを利用している人はダウンロードできてしまい企業の情報が漏洩してしまいます。
どうすればいいの?
じゃあ、上記のサービスは使用しない方がいいのでしょうか。
私は、オンラインの検査サービスの仕組みと利用するリスクをきちんと理解したうえで利用する分にはとても便利なサービスだと思っています。
以下の意見を述べる専門家の方もいらっしゃいました。
(続き)
— にゃん☆たく (@taku888infinity) July 8, 2020
大事なことは3つだと僕個人は思っていて、
①『個人の判断でファイルを外部の調査サイトで調べない』
②『不審なものだと感じた時に組織内のどこに連絡すれば良いか知っておく』
③『組織に所属している人間が②をしたいと思った時にすぐ知れる状態にしておく』
だと思っています。
(続く)
サービスの利用方法例
参考のため、私のオンライン検査サービスの利用方法について記します(会社での場合)。
- 不審なファイルのハッシュ値*4を取得(Windows:certutil -hashfile、Unix:md5sum)
- 1.で取得したハッシュ値を各サービスで検索
- 検索結果がなかった場合、組織内のセキュリティ対策部門などの対策・通報先に連絡
- 対策部門の指示に従う
ファイルのアップロードは本当に最後の手段であり、対策部門や上司などの許可を取ったうえで、行うべきであります。
明らかにマルウェアとわかるものであっても安易にアップロードすることはお勧めしません。なぜなら、標的型攻撃に使用されるマルウェアの場合、組織の内部NWに合わせて調整している可能性もあるため、アップロードして第三者がダウンロードしてしまうと、攻撃者しか知らない内部NW情報が知られてしまい。また別の攻撃者に利用されることも考えられるからです。
プライベートの場合でも、1., 2.を実行する以外に、インターネットからダウンロードしたフリーウェアについてのみ、必要に応じてアップロードしています。
関連ツイート
というか、VTとかanyrunとかそういうサービス紹介するんだったら併せてそういうリスクも紹介して欲しい(自分はいつもそうしてる
— ほよたか (@takahoyo) July 8, 2020
VirusTotal でやってしまった事例 (想定) より 3例
— Neutral8✗9eR (@0x009AD6_810) June 13, 2018
(事例1) 標的型メール攻撃訓練において、被験者が騙されやすいように実在の社内組織、担当者個人名、連絡先を記載した攻撃メールを送付したところ、受信者のうち 1名が VirusTotal に提出してしまった。
(続き)
— にゃん☆たく (@taku888infinity) July 8, 2020
しかし、こういったVTや最初の引用ツイートで使われているAnyrun等はアップロードされたファイルを自分以外の誰かに確認されてしまう(ダウンロードされてしまう)可能性が十分にあるので注意が必要です。
ではこういう事態にならないためにはどうすれば良いのでしょうか。
(続く)
「怪しいメールを受け取った・開いたと思ったらどうしたらよいか?」が社内に浸透してないのに、なんで標的型メール訓練やろうとするんだ?避難経路とか避難時の手順とか知らないのに避難訓練やるようなもんだろ。
— Sen UENO (@sen_u) July 8, 2020
まとめ
VirusTotalやANY.RUNなどのマルウェアを判定してくれるオンラインサービスは便利である反面、情報漏洩のリスクが伴います。
各サービスの特徴や仕組み、リスクを調査したうえで利用しましょう。
また、安易に企業のファイルなどをオンラインサービスに上げないように社内リテラシーを上げることも重要になります。
おすすめの対応方法
- VirusTotalやANY.RUNなどのオンライン検査サービスへのファイルアップロードは基本行わない
- ファイルの確認をする場合は、ハッシュ値で検索
- 対策部署への連絡を視野に入れる
拙い文章になりますが、ここまで読んでくださりありがとうございました。
【更新履歴】
2020/07/08 PM 公開
2020/07/23 AM 更新
2020/08/06 AM 更新
*1:VirusTotalでマルウェア判定が出ないからといって安全とは限りませんが今回は言及しません。
*2:ANY.RUNに至っては、動画としても残っているためファイルを開いたら中身も映像・画像として記録される
*3:VirusTotalではVirusTotal Intelligence
*4:ハッシュ値とは、元になるデータから特定の計算をして求めることができる固定長の値のこと。データが異なれればハッシュ値も異なるため、同一ファイルであるか、改ざんされていないかを確認する際に利用されます(完全性)