VirusTotalへアップロードされる機微情報

標的型攻撃等に対する警戒心の高まりから、以前にも増して、VirusTotalを活用される企業が多くなっているかと思います。疑わしいファイルを無料で分析できるため、気軽に使える反面、機微な情報を含むファイルをアップロードしてしまった場合、他の組織に入手されてしまうリスクがあります。いったんVirusTotalにアップロードしてしまったファイルは、それがマルウェアか否かに関係なく、VirusTotal Intelligence(有償サービス)の契約ユーザが自由に入手できることを意味します。

アンチウイルスベンダーをはじめ、多くのセキュリティベンダーは、VirusTotal Intelligenceを契約し、VirusTotalにアップロードされるマルウェア検体を分析することで、脅威の動向を把握しようと努めています。弊社も、特に日本からアップロードされるマルウェア検体を入手することで、脅威の動向観測に活用しようと試みておりますが、そういった活動の中で、マルウェアではないファイルが日本からアップロードされてしまっているのを多く見かけます。アップロードされたOffice系の文書ファイルの中には、社外秘に相当する情報を含んだものがあり、アップロードした方がVirusTotalの仕様を十分に認識していないことが推察されます。

Vt0101_3

Vt0102

   図1 VirusTotalにアップされている機微情報の例(文書ファイル)

また、Office系ファイルだけでなく、特にアップロード数が多いのが、Outlookやその他のメーラーからエクスポートしたメール形式のファイル(.msgや.emlファイル)です。マルウェアを含んでいないメール形式のファイルが、日本からかなり多くアップロードされています。多い日には100通を超えるメール形式ファイルがアップロードされており、中には、顧客とのやり取りで機微な情報を含むものも多く見られます。

Vt0201

Vt0202

   図2 VirusTotalにアップされている機微情報の例(メール形式ファイル)

はたして、これらのマルウェアではないファイルは、VirusTotalにアップロード後、本当に他の組織や人によって入手されているのでしょうか。それを確認するため、ビーコンを埋め込んだExcelファイル(マルウェアではないファイル)をVirusTotalにアップロードしてみました。ビーコンとは、ファイル開封時にサーバへリクエストを飛ばす仕掛けのことで、自分が管理するサーバへビーコンを飛ばすことで、どこかのシステム上でファイルが開封されたことを確認することができます。当該ファイルをアップロードしてから数日にわたって様々な国からビーコンが不定期に飛んできたことを確認しました。

Beacon01

   図3 ファイル開封時に飛んできたビーコン(Apacheのアクセスログ)

マルウェアをVirusTotalへアップロードした場合には、世界中の多くのサンドボックス上で実行されているようですが、今回、マルウェア判定されていない文書ファイルをアップロードしただけでも、これだけ開封されているということが分かりました。ビーコンのいくつかはサンドボックスらしきIPアドレスから飛んできているものもありましたが、マルウェア解析以外の目的を持ったシステムでも開封されている可能性を否定できません。

アップロードされたファイルは他人に共有されてしまうことを認識した上で、VirusTotalを利用する必要がありそうです。しかしながら、IT部門が正しい認識をしていても、IT部門以外の社員が機微な情報を含んだファイルをVirusTotalへアップロードしてしまうケースがあります。そういったケースを想定し、プロキシサーバ等で、VirusTotalへのアップロードを制限するなど、システム側での対処も必要かもしれません。
また、誤ってVirusTotalへアップロードしてしまったファイルに関しては、下記ページから削除申請をすることが可能です。

https://www.virustotal.com/gui/contact-us/technical-support

この記事によって、日本国内からVirusTotalへアップロードされる機微情報が少しでも減ることを願うばかりです。

前へ

フリーメールを使った差出人メールアドレスの詐称

次へ

マルウェア解析奮闘記 Powershell多用マルウェアの解析