PC
VirusTotalセキュリティハッシュ

ファイルをアップロードせずにVirusTotalで調べる方法!Hashで安全&危険性をチェック

ファイルをアップロードせずにVirusTotalで調べる方法!Hashで安全&危険性をチェックPC
この記事は約14分で読めます。
スポンサーリンク
しゃお
しゃお

毎回VirusTotalのサイトにいってハッシュチェックするの面倒くさい!

D君
D君

右クリックから簡単にできるよ。

しゃお
しゃお

OK!さっそくやってみるよ。

 

この記事をおすすめしたい方
  • ダウンロードしたファイルの安全&危険性を楽にチェックしたい
  • VirusTotal(ウイルストータル)について簡単に知りたい
  • ハッシュ(Hash)について簡単に知りたい
  • ファイルをアップロードせずにチェックしたい
  • ファイルをアップロードしたときの危険性について知りたい
  • ダウンロード時に自動チェックするブラウザ拡張機能はどうなのか?

 

通常のVirusTotalハッシュ検索

しゃお
しゃお

以前までのハッシュ検索手順

ハッシュコピー方法1:ハッシュタブ導入済の場合

 

ハッシュ(Hash)を調査_ハッシュタブ導入済の場合

下記のように右クリックから簡単にハッシュのコピーができます。

  • ハッシュを調べたいファイルを右クリック > プロパティ
  • 「SHA-256をクリック > ctrl + c」or「SHA-256を右クリック > コピー」

 

ハッシュコピー方法2:コマンドプロンプトの場合

ハッシュ(Hash)を調査_コマンドプロンプト

コマンドプロンプトを立ち上げ、下記コマンドを入力

certutil -hashfile 調査したいファイルのフルパス sha256

コマンドプロンプト上に出力されたハッシュをコピー

 

ハッシュコピー方法3:PowerShellの場合

ハッシュ(Hash)を調査_PowerShell

PowerShellを立ち上げ、下記コマンドを入力

Get-FileHash 調査したいファイルのフルパス

 

VirusTotalでハッシュ検索

VirusTotalへアクセス

VirusTotal(ウイルストータル)_ハッシュ検索方法

Search」をクリック > 赤枠内にさきほどコピーしたハッシュ貼付け > Enter

 

スキャン結果:怪しい or 危険と判定された数が0

VirusTotal(ウイルストータル)_ハッシュ検索結果0 of 73

怪しい or 危険と判定された数/総判定数が「0 / 73」なので、安全なファイルだと分かります。

 

右クリックからVirusTotal簡単ハッシュ検索

VT Hash Check_右クリックからファイルのハッシュをVirusTotalでチェック、Virus Total Reportまで

こちらの方法では、調査したいファイルを「右クリック > Check File Hash」するだけで、簡単にVirusTotalからハッシュ検索結果を取得することができます。

ツールのダウンロード&インストール、設定方法詳細はこちら

 

VirusTotalとは?

VirusTotal(ウイルストータル)_ロゴ

 

VirusTotalかんたん解説
  • 簡単にいうと、Googleが運営するマルウェア(ウイルス)チェックサイト
  • ファイル・URL・IPアドレス・ドメイン・ファイルハッシュ(Hash)からマルウェア検査が可能
  • 2021年現在、70種類以上のセキュリティベンダーのウイルススキャンエンジン(ウイルス対策ソフト)のオンライン検査結果を一瞬で表示
メリット
VirusTotalとは?
  • ウイルス、ワーム、トロイの木馬、その他の種類の悪意のあるコンテンツのファイルとURLを分析する無料のサービスとして2004年に設立
  • VirusTotalの目標は、ウイルス対策業界のメンバー、研究者、あらゆる種類のエンドユーザー間のコラボレーションを通じて、インターネットをより安全な場所にすること
  • Fortune 500企業、政府、および主要なセキュリティ企業はすべてVirusTotalコミュニティの一部であり、50万人を超える登録ユーザー数に成長中

引用:About us – VirusTotal

 

ハッシュ・Hash値とは?

 

D君
D君

かんたんにいうと

多種多様なデータを、ハッシュ関数で唯一無二の「Hash値」に置き換えたもの

※ハッシュ(Hash)=ハッシュ(Hash)値と考えてOK

※ハッシュ関数:データを不可逆変換して、固定長の値に変換する関数

元データが同じなら、必ず同じハッシュ(Hash)値となる!

 

 

ハッシュの使い道(例)
  • VirusTotalでハッシュ検索(今回の記事)
  • ファイル比較(2つのハッシュを比較して異なれば、元の2つのデータは必ず異なる)
  • データやパスワードの暗号化(不可逆変換なので、元に戻して見ることができないことを利用)
ハッシュ関数を紹介
  • Adler32, BLACK2sp, BTIH, CRC32, CRC64, ED2K, GOST, Keccak-224, Keccak-256, Keccak-384, Keccak-512, MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, RIPEMD-256, RIPEMD-320, SHA-1, SHA-256, SHA-256 Base64, SHA-384, SHA-512, SHA3-224,, SHA3-256, SHA3-384, SHA3-512, TTH, Tiger, Whirlpool …etc
  • 種類が数多くありますが、よく使われるのは、MD5, SHA-1, SHA-256 あたり
※PCの性能が上がり、安全性が低い関数(MD5, SHA-1など)では解析されてしまう恐れがあるので、パスワードをハッシュ保存する場合は注意!
→現在は、SHA-256が推奨されている
ハッシュ・ハッシュ関数について、もう少し詳しく

 

VirusTotalへファイルをアップロードしてチェックする?

ファイルのアップロードは、絶対におすすめしません。

VirusTotalへのファイルアップロードの危険性について

ファイルをアップロードしてチェックするツール例

 

上記のフリーソフトは、ファイルをVirusTotalにアップロードしてチェックしています。

 

しかし、VirusTotalにアップロードされたファイルは

  • 有料会員であれば、だれでもダウンロードが可能
    →第三者がファイルを取得し、情報漏えいに繋がる危険性とありますが、「有料会員であれば、だれでもダウンロードが可能」な時点で、既に情報漏えいしたのと変わりません。

引用:【注意喚起】VirusTotal へのアップロードによる情報漏洩について – 情報連携推進本部(名古屋大学)

 

特に

  • 個人情報の入ったファイル
  • 会社の機密情報が記載されているファイル

については、アップロードは厳禁です!

 

参考:VirusTotalへアップロードされる機微情報 – セキュリティ研究センターブログ

こちらには、日本国内から社外秘に相当するファイルのアップロードや、アップロードしたファイルが実際に開かれるかのテストが行われています。

 

大事なことなので2回言いますが、VirusTotalへのファイルのアップロードは、絶対におすすめしません。

 

ファイルダウンロード時にURLを自動チェックする拡張機能もあるが

ブラウザの拡張機能で、ファイルをダウンロードしたときに、自動でURLをVirusTotalでチェックする方法もありますが、推奨しません。

ダウンロード時にVirusTotalでURLを自動チェックしてくれる拡張機能

 

なぜかというと、チェックしたURLが問題なくとも、ダウンロードしたファイルが絶対に安全とは言えないからです。

 

D君
D君

例をあげると

信頼度が高い&今まで無害だったアプリに急にマルウェアを仕込まれた場合

VirusTotal(ウイルストータル)_ファイルのバージョンアップでマルウェアが仕込まれた場合

  • 6日のバージョンアップでファイルにマルウェアが仕込まれる
  • VirusTotalで検査するURLは、5日も6日も変わらない
  • 6日時点で、VirusTotalのURL検索(https://test.com)の情報(セキュリティベンダーのウイルススキャンエンジン)が更新されているかは不明

 

VirusTotalのURL検索を行った結果
  • 5日までは安全なURLなので
    チェック異常なし
  • 6日時点で、セキュリティベンダーのウイルススキャンエンジンの「https://test.com」に対する情報が更新されている場合
    チェック異常あり(引っかかる)
    危険だと判断できるため、ダウンロードをしない
  • 6日時点で、セキュリティベンダーのウイルススキャンエンジンの「https://test.com」に対する情報が更新されていない場合
  • チェック異常なし(引っかからない)
    ダウンロード > 実行してしまう可能性!

 

セキュリティを意識するなら、ハッシュ検索がおすすめ!

  • ファイルのアップロードはダメ
  • URLの自動チェックは推奨しない(ダメとは言っていない)

となると、どうすれば良いのか?

 

→ファイルの「ハッシュ(Hash)検索」を行いましょう。

 

なぜハッシュ検索なのか?ハッシュ検索のメリット
  • ハッシュ検索にすることで、ファイルのアップロードは行われない
  • ハッシュ検索なら、URLに対する情報が更新されていない場合でも問題なし
    ファイルのチェックと同等の効果が得られる
  • 新バージョンのファイルの安全&危険性が不明の場合
    →「No matches found(一致するものが見つからない)」と表示される
    →実行やインストールは自己判断実行・インストールはしない

 

VirusTotalハッシュ検索_No matches found_一致するものが見つからないときの表示

一致するものが見つからないときは、こんな感じで表示される。

 

しゃお
しゃお

いよいよ右クリックからのハッシュ検索だね!

右クリックからVirusTotal簡単ハッシュ検索 – 詳細

【準備1】VirusTotalに無料登録

VirusTotalへアクセス

VirusTotal(ウイルストータル)_Sign up(無料登録)

画面右上の「Sign up」をクリック

 

https://www.virustotal.com/gui/

  • 名・氏・メールアドレス・ユーザ名・パスワード・パスワード再入力欄にそれぞれ入力
  • 「VirusTotalの利用規約とプライバシーポリシーを読み、同意します」にチェックし、「Join us」をクリック

 

すると、すぐにVirusTotalからメールが届くので

VirusTotal(ウイルストータル)_VirusTotal Communityからメール

「Welcome to VirusTotal Community. In order to activate your account please
follow this link:」の下にあるURLをクリックで、登録完了

 

【準備2】VirusTotalにサインインして、API keyを取得

VirusTotal(ウイルストータル)_Sign up(無料登録)

今度は登録ではなく、サインインしたいので「Sign In」をクリック

 

VirusTotal(ウイルストータル)_Sign In

登録時に入力したメールアドレス・パスワードを再度入力し、「Sign In」をクリック

 

VirusTotal(ウイルストータル)_Sign In後、API keyを取得01

右上のユーザ名をクリックするとリストが表示されるので、「API key」をクリック

 

VirusTotal(ウイルストータル)_Sign In後、API keyを取得02

黒く塗りつぶしたところにAPI keyが表示されます。

 

【準備3】VT Hash Checkのダウンロード&インストール

VT Hash Checkのダウンロード – freesoft100

VT Hash Checkのダウンロード – k本的に無料ソフト

上記のどちらか好きな方から「VT Hash Check」をダウンロード

 

「VT.Hash.zip」がダウンロードされるので、解凍後、VT.Hashフォルダ内の「setup.exe」を実行

 

VT Hash Check_インストール手順01

「I accept the agreement(ライセンスに同意)」にチェックし、「Next」×2クリック

 

VT Hash Check_インストール手順02

インストール先はそのままで、「Next」> 「Install」をクリック

 

VT Hash Check_インストール手順03

Finish」でインストールは完了

※画像だとデフォルトインストール先が小さくて見づらいので、載せておきます。
 →C:\Program Files (x86)\Boredom Software\VT Hash Check

 

【準備4】VT Hash CheckにAPI keyの導入

VT Hash Check_実行後、API key導入01

VT Hash Checkをインストールしたフォルダを開き、「VTHash.exe」を実行

 

VT Hash Check_実行後、API key導入02

「このアプリケーションはAPI keyが必須です。設定ウィンドウを開いて、今すぐキーを入力しますか?」と質問されるので、「はい」をクリック

 

VT Hash Check_実行後、API key導入03

API keyを入力し、「赤×(バツ)」から「緑✓(チェック)」に変われば、正しいAPI keyが入力されたという認識でOK

 

VT Hash Check_実行後、API key導入04

ここで注意ですが、しれっと「Permit file upload(ファイルのアップロード許可)」にチェックが入っているので、外しておきます。

しゃお
しゃお

チェックを外しても正常動作することを確認済だよ。

あとは「OK」をクリックで、VT Hash CheckへのAPI key導入は完了

 

【実践】右クリックからVT Hash Checkでファイルのハッシュをチェック

VT Hash Check_右クリックからファイルのハッシュをVirusTotalでチェック

試しに「VTHash.exe」を右クリックし、「Check File Hash」をクリック

 

VT Hash Check_右クリックからファイルのハッシュをVirusTotalでチェックした結果

結果(Virus Total Report)の見方として

  • 1番上にスキャンの簡易結果として、「怪しい or 危険と判定した数 of 総スキャン数」を表示
    今回は、「1 of 69 found threats;Last Scan:スキャン日時」と表示されています。
  • その下にスキャナーのバージョンと結果詳細がずらりと表示
    ※スキャナー:スキャンエンジンやセキュリティ対策ソフトと考えればOK
D君
D君

0 of 総スキャン数なら、もちろん安全なファイル

 

これは、VirusTotalに登録してあるスキャンエンジンのうち

  • 69のスキャンエンジンで、同一ハッシュの登録があり
  • そのうちの1つで怪しい or 危険と判定

されたことを示します。

 

結果(Virus Total Report)の判定詳細を見てみると

  • スキャナー:VBA32
  • バージョン:4.4.1
  • 結果   :BScope.Trojan.Packed

バージョンはどうでも良いとして、「VBA32」というスキャンエンジンで引っかかっています。

 

今回のように、引っかかった判定数が少ないときは自己判断が必要です。

 

結果として、実行しても問題ないと自己判断しました。

  • 「VBA32」はマイナーなスキャンエンジンなので、今回は無視してOKと判断
  • 「BScope.Trojan.Packed」を調べてみると、「感染がアクティブな場合、タスクマネージャリストに不要なプロセスが表示されることがある」ようですが、不審なプロセスは見当たりませんでした。

 

VirusTotalで怪しい or 危険と判定されたスキャン結果に対する考え方

毎回

  • VirusTotalでスキャンした結果が「0 / 総スキャン数」
  • VT Hash Checkの結果(Virus Total Report)が「0 of 総スキャン数」

と、怪しい or 危険と判定される数が「0」ならば、全く問題ありません。

 

しかし、安全なファイルでもスキャンエンジンにより「1~3」程度は引っかかることがよくあるため、あくまで私の場合ですが、下記のようなルールを作って、ファイルを実行するかしないか自己判断しています。

スキャン結果に怪しい or 危険と判定されたときの自己判断
  • 引っかかったものが、マイナーなスキャンエンジンなら無視
  • 引っかかった数が「4」を超えるときは、ファイルについて必ず調査する
  • メジャーなスキャンエンジンで引っかかったときは、代用案(他のもので代用できないか)+調査
  • 怪しいが、どうしても使いたいファイルは、仮想環境(※1)で、動かしてみる(動的解析)

※1:VMware, VirtualBoxなど

 

まとめ

今回は、ちょうど運良く(悪く?)引っかかったので、スキャン結果に対する考えまで記載しました。

 

自己判断の方法や考え方は、人によって全く異なりますが、判断の仕方が全く分からないといった方には少しは参考になるかと思います。

 

「ハッカー」などというプロフェッショナルな悪人もいますが、「フィッシング」や「ワンクリック詐欺」など、そういった類の言葉は聞いたことがありますよね?

 

LINEの乗っ取りは結構身近でやられている人を見たことがありますし、フィッシングメールは日常茶飯事だったりします。

 

簡単にやられてしまうこの時代に生きているからこそ、少しずつでもセキュリティ意識を高めていきましょう!

 

時代は、「ハッシュタグよりもハッシュ(Hash)検索」ですよ!w

 

現場からは以上です!

ではまた(#`・ω・´*)/

 

 

コメント

タイトルとURLをコピーしました