はじめに
こんにちは、 ネクストモード株式会社 の sobar です。今回はアラート検知時のハッシュ値をVirusTotal search で確認する方法についてご紹介します。
※本内容はあくまでも対応の一例となりますので、最終的な対応、運用方針はそれぞれの社内で定められている運用ルールに従っていただければと思います。
VirusTotal(ウイルストータル)について
VirusTotal(ウイルストータル)は、世界中のセキュリティソフトを集結させた、オンライン検疫所のようなサービス(外部サービス)となります。
世界各国の主要なアンチウイルスエンジン(カスペルスキー、トレンドマイクロ、ノートンなど)が一斉に検査を行い、その結果をまとめて表示してくれます。現在は Google(Alphabet傘下) が運営しています。
CrowdStrikeでアラート検知時のハッシュ値の確認
エンドポイント検知があがりましたらまずは エンドポイントセキュリティ > エンドポイント検知 より対象のアラートを確認をします。(※予めメール通知や、Slack通知等の設定を行っておくことをお勧めいたします。)
それではハッシュ値の確認を行っていきます。詳細メニュー > ハッシュ(外部アクションメニュー) > VirusTotal search をクリックし確認していきます。(※この方法はCrowdStrikeの画面からハッシュ値のみで検索を行うため、ファイルそのものを送るという操作にはならないため安全です。)
VirusTotal でのハッシュ値を検索時の出力例
左上に値が表示されてきますが、該当するハッシュ値において調査した際、VirusTotalが連携しているアンチウイルスエンジンのうち、有害と判定したエンジン数が表示されています。0の場合は無害、0以外の数値がある場合は有害と判定されたことがわかります。
また、技術タグでは攻撃の手法・内容などが確認できます。
※VirusTotalが連携している59種類のアンチウイルスエンジンのうち、16種類がこのファイルを『有害』と判定した例。
※VirusTotalが連携している62種類のアンチウイルスエンジンのうち、すべてがこのファイルを『無害』と判定した例。
VirusTotalはファイルアップロードによる検査も実施可能ですがその際、※機密ファイルは絶対にアップロードしないでください。アップロードしたファイルは有料版を契約している世界中の専門家や企業がダウンロードして閲覧できる状態になります。
- OK例: 「拾った怪しいフリーソフト」「出所不明のWordファイル」
- NG例: 「社外秘の資料」「個人情報が入ったリスト」※もし機密情報を送ってしまうと、それがそのまま「ウイルス検体」として世界中に流通してしまう
VirusTotal search 利用において100%の安全は保証されない
検知0なら安全か?というとそうとは限りません。作られたばかりの新型ウイルスは、まだどのエンジンも学習していないため、すり抜けることがあります。
また、1つでも検知されたら危険か?というとセキュリティソフト側の「間違い(誤検知)」である場合も稀にあります。
とはいえ、怪しいファイル(ハッシュ値)はまずVirusTotal で見てみるという習慣は、PCを守る上で非常に有効です。1つ目の有害判定の参考例のように16個も反応がある場合は、Googleが持つ強力なインフラと世界中の知見が「これは危ない!」と警告している状態ですので、その警告に従うのが正解です。(正解の場合が多いです)
いづれもVirusTotal の検索結果はあくまで判断材料のひとつとしていただければと思います。
さいごに
アラート検知時のハッシュ値の確認についてVirusTotal search での確認方法についてご紹介しました。繰り返しとなりますが、本内容はあくまでも対応の一例となりますので、最終的な対応、運用方針はそれぞれの社内で定められている運用ルールに従っていただければと思います。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!
