VirusTotal(バイアス・トータル)は、ファイルやURL、ドメイン、IPアドレスなどを分析してマルウェアなどの脅威を検出してくれるGoogleのサービスです。
VT4Browsersは、このVirusTotalとの通信を自動化してくれるブラウザへのアドオンツールです。
尚、VT4Browsersで自動チェックできるファイルサイズは20MBで、VirusTotalの650MBと異なり両者をケースバイケースで使い分ける必要があります。
これらのツールは大変便利なツールですが、企業や大学等の機密情報が流出する事故が頻発しており、多くの大学等が注意喚起されているのが実情です。
1.名古屋大学
2.慶應義塾
3.東工大
4.日本歯科医師会
5.一橋大学
又、どの様な情報が流出しているかは下記URLを見ると参考になります。
しかしどの様に注意喚起しても、一般の社員や学生に正しい使い方を強制するのは不可能です。
そこでどの様な理由で情報が流出するのかと、CloudflereのZero Trustを利用してこの情報流出をブロックする方法を下記で解説します。
尚、CloudflereのZero Trustは50名まで無料で利用できるので、大学でも研究室レベルなら無料で利用できるツールになります。
3.CloudflareのZero TrustでVirusTotalへのアップロードをブロックする設定
1.VirusTotalによる情報流出
ブラウザから[https://www.virustotal.com/]をアクセスすると下記画面が表示されます。
■Fileタブ
PCにあるファイルをVirusTotalにアップロードしてスキャンすることで、そのファイル自体がウイルスやマルウェアに感染していないかを調べます。
URLをVirusTotalに送る事により、そのURLが指すウェブサイトやリンク先が悪意のあるものでないかを確認するものです。
チェックはURL自体に関するもので、実際にダウンロードされるファイルやソフトウェアそのものが安全かは見ていません。
Cloudflare Radarと同じ機能なのでCloudflareのZero Trustを利用しているユーザには不要な機能です。
VirusTotalにアップロードされたファイルを MD5、SHA-1、SHA-256 の3つのハッシュ形式で検索する事ができます。
尚、ファイルのハッシュ計算は下記ツールで調べる事ができます。
https://lazesoftware.com/ja/tool/hash/
よってVirusTotalへの情報流出はFileタブでの操作時に起こります。
1.Fileタブでファイルをアップロードした時の挙動
・Fileタブを開きます。
・上図の[choose file]ボタンを挿入し、チェックしたいファイルを選択します。
ファイルを選択するとファイルのハッシュ値が計算されます。
そこで、VirusTotalで過去に検査したハッシュ値があった場合は、この段階で評価結果が表示されます。
①検索されたハッシュ値
②63のチェックツールで検査した結果、問題があるとしたサイトは0件でしたを表しています。
③この検査は1が月以上も前に検査した結果を表しています。
・過去に検査結果が無い場合は下記が表示されます。
[Confirm upload]ボタンを挿入するとファイルがVirusTotalに送られて評価データと共に情報自体が公開されます。これが情報流出です。
2.VirusTotalからの情報流出を阻止する為には
PCにダウンロードしたプログラムファイルをアップロードするのは問題ないのですが、社内にある通常ドキュメントをアップロードすると情報流出が発生します。
よってCloudflereのZero TrustのHTTPポリシでプログラム以外の物がアップロードされるのをブロックするポリシを作成すれば情報流出を防ぐ事ができます。
2.VT4Browsersによる情報流出
VT4Browsersはブラウザに追加するアドオンで、これをインストールすると下記の2つの機能が追加されます。
1.ブラウザ画面に VirusTotal を操作するメニュが追加されます。
2.VirusTotalへのファイルの自動アップロード機能が追加されます。
尚、ブラウザにVT4Browsersをアドオンする方法は5項を参照して下さい。
1.ブラウザに VirusTotal を操作するメニュが追加されます。
下図はプログラムをダウンロードするURLを右クリックした画面です。
■上記のメニュからこのURLに問題がないか否かをチェックできます。
上記の[VT4Browsers]メニュから操作できるのはVirusTotalのURLタブとSerachタブ機能です。
よってこの機能は情報流出とは関係ありません。
2.VirusTotalへのファイルの自動アップロード機能とは
VT4Browsersをインストールするとブラウザ画面に下記アイコンが追加されます。
上記アイコンをクリックすると下記のデフォルトの設定画面が表示されます。
①Scan downloads with VirusTotal
これに✓が付いているとファイルのダウンロード時に自動でVirusTotalにこのファイルをアップロードします。
②Don’t scan documents (docx, pdf, etc.)
①の子メニュで、一般ドキュメントは VirusTotal にアップロードしないという設定です。
③Show ‘Send to VirusTotal’ prompt when downloading files
デフォルトはOFFです。
①の子メニュで、ファイルをアップロードする時に「VirusTotal に送信」プロンプトを表示します。
④Pause downloads when sending to VirusTotal
デフォルトはOFFです。
①の子メニュで、スキャン結果を確認してからPCにダウンロードさせる機能です。
⑤Send anonymous passive DNS data to VirusTotal
VT4Browsersはデフォルトで匿名のパッシブDNSデータをVirusTotalに送信しますが、このオプションを無効にすることも可能です。これにより、プライバシーをさらに強化できます。
3.VirusTotalへのファイルの自動アップロード機能の問題
インターネットからプログラムをダウンロードすると20MB未満のファイルは自動でウェルスチェックが起動し下記が表示されます。
■上記の[Go to VirusTotal File report]をクリックすると評価レポートを見る事ができます。
大変、便利な機能です。
但し、20MBを超えるプログラムは自動チェックできないのでダウンロードされたプログラムをVirusTotalに直接アップロードしてチェックする必要があります。
問題は社内のファイルサーバに保存したファイルをブラウザ操作でPCにダウンロードする時です。
これもインターネットと同様に VirusTotal にアップロードされ、これが情報流出につながります。
WebDAVやSMBでファイルをダウンロードする場合は関係ありません。
下記に社内のファイルサーバから一般ドキュメントをPCにダウンロードする時の挙動を解説します。
①Don’t scan documents (docx, pdf, etc.)がONの場合
下記が表示されます。
■プライバシーフィルタによりファイルは無視されましたと表示されます。
よって通常ファイルの情報流出は起こりません。
②Don’t scan documents (docx, pdf, etc.)がOFFの場合
下記が表示されます。
■VirusTotalでスキャンするかを聞いてきます。
ここで[キャンセル]を挿入すると、VirusTotalへのアップロードは中止されます。
[OK]を押すとVirusTotalにアップロードされ、情報流出の事故が発生します。
4.VT4Browsersからの情報流出を阻止する為には
VT4Browsersからの情報流出は、ブラウザ操作で社内のファイルサーバからPCに一般ドキュメントファイルをダウンロードする時に発生しますが、正しい使い方をすれば情報流出は発生しません。
しかし、これを一般社員や学生に守らせる事は不可能です。
よってCloudflereのZero TrustのHTTPポリシでプログラム以外の物がVirusTotalにアップロードされた場合はブロックするポリシを作成すればこの様な情報流出を防ぐことができます。
3.CloudflareのZero TrustでVirusTotalへのアップロードをブロックする設定
下記はCloudflareのZero Trustが構築され、WARP運用の[Split Tunnels]が[Include]で利用している場合の設定方法を解説しています。
又、ブロック方針は下記になります。
①exeファイル等のプログラムはアップロードを認める。
②オフィスファイルやzipファイル及びイメージファイルはアップロードをブロックする。
メモ
上記のポリシーはzipファイルのアップロードも禁止しています。
そこで、メール等で送られてきたzipファイルに心配がある場合は下記で処理します。
①メールからzipファイルをPCにダウンロードする。
②ダウンロードフォルダにあるzipファイルを右クリックしメニュを表示させる。
③メニュの[Microsoft Defenderでスキャンする]を実行する。
④スキャンの結果が表示されます。
1.既存のHTTPポリシの変更
既存のHTTPポリシに[Cert Pinning]が自動で設定されてない場合は、何もする必要がありません。
[Cert Pinning]が設定されていた場合ば、Status欄の所をOFFにして下さい。
これがONの場合は、この中の設定の一部がブラウザによるファイル検知機能を無効化してしまいます。
メモ
当初、Upload File Typesでブロックできないという問題があり、原因究明に苦労しました。
原因は Google Meet (Do Not Inspect) がONの場合は、ブラウザ拡張機能がTSL復号化されないというのが原因でした。
よって[Cert Pinning]自体をOFFにするか 、Google Meet をOFFにする事により、Upload File Typesが利用できる事が判りました。
但し、今後この仕様は変更になる可能性があります。
2.VirusTotalとの通信をHTTPポリシ経由にする
[Settings→WARP Client]の[Device settings]の[Splite Tunnel]の設定でHTTPポリシ経由にしたいドメインを追加します。
具体的にはManage Split Tunnels (include) – Cloudflare Oneで下記のドメインを追加します。
*.virustotal.com
メモ
VirusTotalのドメインは[www.virustotal.com]なのですが、ファイル転送にはWWWサブドメイン以外のサブドメインを利用しているようで、これらをブロックする為に[*.virustotal.com]で指定しています。
これで[VirusTotal]との通信はHTTPポリシー経由になります。
3.HTTPポリシの追加
①Gateway→Firewall policiesを実行する
②HTTPタブを開く
③Add a Policyで下記を追加します。
・Policy name:任意名称 例)VirusTotalのUpLoadブロック
・Trafficの設定
| Selector | Operator | Value |
| Domain | is | virustotal.com |
and
| Selector | Operator | Value |
| Upload File Types | in | 下記に✓を付けます。
Compressed(compressed) |
・Select an action
Blockを選択
④Save Policyで保存します。
4.ファイルのアップロードブロックの確認
ここでは上記で設定したポリシが上手く機能しているのかを確認します。
1.VirusTotalの確認
[https://www.virustotal.com/]を実行すると下記画面が表示されます。
①[choose file]でダウンロードしたプログラムファイルをアップロードして見て下さい。
20MBを超えたexeファイルは VT4Browsersmb でチェックできないので、これで確認する事ができます。
②[choose file]でプログラムファイル以外のファイルをアップロードして見て下さい。
下記のエラー画面が表示され、アップロードできない事が確認できます。
■Upload failedが表示され、ファイルが読めないとのメッセージが表示されます。
2.VT4Browsersの確認
①プログラムのダウンロード
https://forest.watch.impress.co.jp/library/software/ffftp/
上記のURLの下記画面からFFFTP(64ビット版)をダウンロードボタンを挿入して下さい。
ダウンロードが完了すると下記が表示されます。
上図の[Go to VirusTotal File report]をクリックします。
■63のツールで評価した結果、問題があると判断したのは0件という結果です。
尚、評価結果が0でない場合は[評価が分かれた時の判断材料は?]を参考にしてそのプログラムを利用するか否かを決めて下さい。
②社内データのダウンロード
これはVT4Browsersの設定に関わらず、VirusTotalへのアップロードがブロックされなければなりませんので下図のVT4Browsersの Don’t scan documents (docx, pdf, etc.) の✓を外してテストします。
ブラウザから社内のファイルサーバをアクセスします。
私の場合はSynologyを利用しているので下記画面からのダウンロードになります。
■上記は、VirusTotal でスキャンしますか?と聞いています。ここで[OK]を挿入します。
しかし、下記画面でアップロードは途中で中止され、[Go to VirusTotal File report]が表示されなくなりました。
ブロックされたか否かは下記のメモで確認しています。
メモ
このファイルのハッシュを計算しVirusTotalのSearchタブで検索した結果、確実にブロックできたことが確認できました。
5.[VT4Browsers]のブラウザへの追加方法
1.Google Chromeの場合
Chromeで[VT4Browsers]を呼び出し画面の中にある[Chromeに追加]ボタンを挿入すると追加できます。
下記のアイコンが追加されます。
2.Firefoxの場合
Firefoxで[VT4Browsers]を呼び出し画面の中にある[Firefoxに追加]ボタンを挿入すると追加できます。
Google Chromeと同様なアイコンが追加されます。
3.Edgeの場合
Edgeで[VT4Browsers]を呼び出し画面の中にある[インストール]ボタンを挿入すると追加できます。
Google Chromeと同様なアイコンが追加されます。
6.評価が分かれた時の判断材料は?
各ツールの評価結果が別れた場合は下記を参考にダウンロードしたプログラムを利用するか否かを決めてください。
ChatGPTに[各評価ツールの中で信頼できるツールを5つ挙げるとしたらどれか?]を質問した結果が下記になります。
No1:Kaspersky
Kasperskyは長年にわたって業界で高い評価を受けており、優れたマルウェア検出能力を誇ります。
特に、独自の脅威インテリジェンスと包括的なセキュリティソリューションを提供しています。
また、AV-TESTやAV-Comparativesなどの認定機関によるテストでも高評価を受けています。
No2:CrowdStrike Falcon
CrowdStrikeはエンタープライズ向けのセキュリティソリューションに強みを持ち、特に高度なサイバー攻撃に対して優れた検出能力を発揮します。
クラウドベースのAIと機械学習を活用して、リアルタイムでの脅威検出と対応が可能です。
企業向けのセキュリティにおいて非常に信頼されています。
No3:TrendMicro
Trend Microは、特に企業向けのソリューションで広く認知されている企業です。
マルウェア対策、ウェブフィルタリング、メールセキュリティなど、包括的な製品群を提供しており、業界での実績もあります。
個人向けにも優れたアンチウイルスソフトを提供しています。
No4:McAfee Scanner
McAfeeは長年の実績を持つセキュリティ企業で、個人向けや企業向けに幅広いセキュリティ製品を提供しています。
特に、クラウドセキュリティ、ネットワークセキュリティに強みを持っており、定期的なアップデートと高度な検出機能で知られています。
No5:Fortinet
Fortinetは、特にファイアウォールやネットワークセキュリティで強力な製品を提供しており、エンタープライズ向けの高度なセキュリティを提供します。
FortiGateファイアウォールなど、ネットワークの防御において高い評価を受けています。
また不安があるものとしては下記を指摘しています。
①ClamAV
オープンソースで信頼性はあるものの、商業的なサポートがないため、家庭や企業での使用には少し不安が残ります。
②Bkav Pro
一部のユーザーから高評価を受けていますが、広く普及していないため、他の大手と比較して認知度や実績が低いです。
③Baidu、Tencent、AliCloud
上記は中国の企業であり、特にプライバシーやセキュリティに関して懸念がある場合があります。
④SUPERAntiSpyware、ViRobot、 Zoner
上記は一部のセキュリティ機能に特化していますが、総合的なセキュリティソリューションを提供する企業としては他の選択肢に比べて後れを取っています。
結論
各ツールの評価が分かれた場合は、Kaspersky、CrowdStrike Falcon、TrendMicro、McAfee Scanner、Fortinetの5社の評価がOKならば問題なしと考えて良いと思います。
