VirusTotal 完全ガイド
使い方とOSINT活用法
70種類以上のセキュリティエンジンで一括チェックできる無料サービスの基本操作から、Intelligence・Retrohunt・Graphといった高度機能、OSINT調査でのピボット活用、安全に使うための注意点までまとめて解説します。
🦠 VirusTotalとは?基本の使い方
1つのファイル・URLを、世界中のセキュリティエンジンに一括で「セカンドオピニオン」してもらえるサービス
「自分のウイルス対策ソフトだけ」の不安を解消する
VirusTotalは、ファイルやURL、ドメイン、IPアドレスなどを送信するだけで、70種類以上のアンチウイルスエンジンやサイト評価ツールを使って一括チェックできる無料のオンラインサービスです。2004年にスペインのセキュリティ企業が設立し、2012年にGoogleが買収、現在はGoogle傘下のChronicle社が運営しています。普段使っているウイルス対策ソフトが1種類だけだとしても、VirusTotalを使えば多数の「専門家の意見」を一度に集められるのが最大の魅力です。
🔧 基本スキャンの仕組み
URLスキャン
怪しいメールやSMSに記載されたリンクを貼り付けるだけで、フィッシングサイトかどうかの判定材料が得られます。クリックする前のひと手間として手軽に使えます。
ファイルスキャン
添付ファイルやダウンロードしたプログラムをドラッグ&ドロップでアップロードすると、自動的にスキャンが始まります(最大650MBまで対応)。
ハッシュ値検索
SHA256などのハッシュ値を検索ボックスに入力すれば、過去にアップロードされた検体ならファイル自体を送らずに結果だけ確認できます。社外秘ファイルの検証に便利です。
結果の見方
検出数だけでなく、ファイルのチェックサム・種類・署名・過去のスキャン履歴も確認できます。マルウェアの検出はできますが、駆除機能は付いていないので、別途ウイルス対策ソフトでの対応も必要です。
🚀 高度な機能と自動化への応用
単発のチェックから、攻撃キャンペーン全体を追いかける「狩り」のフェーズへ
VirusTotalは「判定ツール」から「調査基盤」へ
無料版の基本スキャンに対し、VT Intelligenceなどの上位機能を使うと、VirusTotalが過去に収集した膨大なデータベースそのものを調査対象にできます。マルウェアファミリーや攻撃者の手口を継続的に追跡したいセキュリティチームにとって欠かせない機能群です。
VT Intelligence
高度な検索エンジンで膨大なデータベースに条件指定の検索をかけられます。「特定のマルウェアファミリー」「特定の国からアップロードされたファイル」といった絞り込みが可能です。
Retrohunt
自作のYARAルールを過去のデータセットに遡って適用し、最近見つけた攻撃の初期バージョンを発見したり、攻撃者の手口の変化を追跡できます。1ジョブで500万件超・約680TBのファイルを2〜3時間でスキャンする規模感です。
VT Graph
Retrohuntなどで見つかった関連ファイル・URL・ドメインをノードグラフ上に視覚的に配置し、攻撃キャンペーン全体の共通点やインフラ構造を直感的に把握できます。
Livehunt
YARAルールを登録しておくと、VirusTotalに新たに送信されるすべてのファイルがそのルールと照合され、特定の攻撃者や手口をリアルタイムで監視できます。
📊 無料版と有料版(API)の主な違い
| 項目 | Public API(無料) | Premium API(有料) |
|---|---|---|
| リクエスト制限 | 1分4回・1日500回まで | 必要に応じたレート・クォータを選択可能 |
| 高度な検索 | 単純なハッシュ検索のみ | VT Intelligenceでの複合条件検索 |
| 脅威ハンティング | 利用不可 | Retrohunt・Livehunt・VT Graph |
| SOAR/SIEM連携 | 限定的 | Splunk・Cortex XSOARなどとの公式統合 |
※ 仕様・プラン名は変更される可能性があるため、最新情報は公式サイトをご確認ください。
API・SOAR連携で「調べる」を自動化
VirusTotal APIを使うと、セキュリティ監視で上がってきたアラートに含まれるIoC(ハッシュ値・URL・ドメイン・IPなど)を自動でVirusTotalに問い合わせ、結果をSIEM/SOARに取り込んで判断材料を増やす、というワークフローが組めます。あくまで「検知」ではなく既存の検知結果を「補強(エンリッチ)」する位置づけで使われます。
🕵️ OSINT調査での活用法
判定結果だけでなく「Relations」タブの情報こそがOSINT調査の本当の価値
VirusTotalは定番のOSINTツールとして紹介されている
セキュリティ業務でのOSINT活用をまとめた解説でも、VirusTotalは「マルウェアのハッシュ値・URL・ファイル名のレピュテーション情報を検索でき、ファイルをアップロードすればサンドボックスで分析してくれるサービス」として定番ツールの一つに数えられています。単に「危険か安全か」を見るだけでなく、ドメインやIPアドレスの画面から得られる関連情報を使ったピボット調査が、OSINTでの主な使い道です。
🔗 ドメイン/IPアドレス画面で確認できる主な情報
| 調査対象 | 確認できる主な情報 |
|---|---|
| IPアドレス | ASN、Passive DNSの応答履歴、ホストされているドメイン一覧、SSL証明書、コミュニティのスコア |
| ドメイン | WHOIS情報、サブドメイン一覧、Passive DNSの応答履歴、同一IPに紐づく他ドメイン、MX/NS/SOAレコード |
| ファイル | 通信先ドメイン・IP、ダウンロード元、参照(リファラー)関係、類似ファイルのハッシュ |
🧑💻 インシデント対応
- アラートのハッシュ値・URLを即座に多面評価
- 同じ検体が他組織でも報告されているか確認
- マルウェアの通信先を洗い出してブロック判断
🔬 脅威インフラ調査
- 悪性と判定されたIPに紐づく他ドメインの発見
- WHOIS・Passive DNSから攻撃者インフラをピボット
- YARAルールで同系統のマルウェアを横断検索
🏢 攻撃対象領域の把握
- 自社ドメインのサブドメイン一覧を棚卸し
- 意図しない公開資産・古い証明書の発見
- 定期的なセルフチェックでリスクを早期発見
他のOSINTツールと組み合わせるのが基本
VirusTotal単体ではなく、WHOIS検索・DomainTools・Shodan・urlscan.io・SpiderFootなどと組み合わせて、得られたIoC(指標)をクロスチェックするのが一般的な調査の流れです。1つのツールの判定を過信せず、複数の角度から裏取りすることが調査の精度を上げるコツです。
⚠️ 安全に使うための注意点
「無料で便利」の裏にある、データ共有の仕組みを理解しておく
VirusTotalの検出結果は完全ではありません。スパムメールのフィッシングURLが「Clean」判定になることもありますし、逆に正規のファイルが一部のエンジンで誤検知(偽陽性)されることもあります。検出数だけで安全・危険を断定せず、URLの見た目やドメインの不自然さ、送られてきた経緯など周辺情報と合わせて総合的に判断しましょう。
VirusTotalにアップロードしたファイルやURLは、セキュリティ研究やコミュニティでの脅威対策の改善を目的として、参加企業や研究者、有料版ユーザーに検体として共有される仕組みになっています。社外秘の資料・顧客データ・個人情報・契約書など、機密情報を含むファイルは絶対にアップロードしないでください。誤ってアップロードしてしまった場合は、公式サイトから削除申請を行う必要があります。
無料版の利用制限を把握しておく
無料のPublic APIは1分あたり4回・1日あたり500回までのリクエスト上限があります。自動化や大量チェックを考えている場合は、有料版(Premium API/Enterprise)の検討が必要です。
🎯 まとめ:どんな人に向いているか
「判定ツール」としても「調査基盤」としても使える、間口の広いセキュリティサービス
一般ユーザー
怪しいリンク・添付ファイルの確認に
SOC/IR担当者
アラートの一次判定・証拠収集に
OSINT調査者
インフラのピボット調査に
脅威研究チーム
Retrohunt/Graphでの攻撃追跡に
VirusTotalは「ファイルやURLを貼るだけ」の手軽な判定ツールでありながら、Intelligence・Retrohunt・Graph・APIといった機能を使えば本格的な脅威インテリジェンス基盤としても活用できます。まずは無料版でURL・ファイルの基本チェックから始め、慣れてきたらRelationsタブでのピボット調査や、他のOSINTツールとの組み合わせにも挑戦してみましょう。ただし機密情報のアップロード厳禁という基本ルールは必ず守り、判定結果は「参考情報の一つ」として複数の根拠と合わせて判断することが大切です。
コメント