疑わしいメールの安全性を確認するための無料ツール3選
近年、電子メールはビジネスコミュニケーション手段の一つとして多くの企業で日常的に利用されています。一方で、メールを経由したサイバー攻撃は後を絶たず、特に標的型攻撃メールによる被害は深刻さを増しています。標的型攻撃メールは、特定の企業や個人を標的にし、メール内に不正なURLや危険なファイルが添付されており、クリックや開封によって感染します。また、信頼できる送信者を装ったり、業務に関連する内容であったりするため、通常のメールと見分けがつきにくいという特徴があります。筆者も、いかにも怪しそうなメールを受信することが度々ありますが、メールを眺めただけでは安全なのか危険なのか判断できません。そんな時に使えるのが、ファイルやURLの安全性を確認できる無料ツールです。本ブログでは、ALSOKのセキュリティアナリストが厳選した、初心者から上級者まで利用可能な無料ツール3選をご紹介します。
目次
無料ツール3選
これからご紹介する3つの無料ツールには、共通する注意事項があります。それは、「解析するためにアップロードしたファイルや解析結果は、そのサービス会員や非会員などの第三者に公開される」ということです。機密情報や個人情報を含むファイルをアップロードすると情報漏えいにつながるので、ファイルをアップロードする際は慎重に行ってください。
VirusTotal
特徴
VirusTotalは、ファイルやURLを複数のアンチウイルスエンジンでスキャンし、マルウェアや脅威の有無を確認するオンラインサービスです。2004年にスペインのHispasec Sistemasによって設立され、2012年にGoogleに買収されました。最大の特徴は、1回の検査で90社を超えるアンチウイルスエンジンを使って検査ができる点です。操作が非常に簡単なので、初心者や技術的な知識が少ないユーザーでも扱えます。VirusTotalはスキャンのみを行い、マルウェアの駆除は行いません。スキャンできるファイルの最大サイズは650MBです。
基本機能
ファイルスキャンとURLスキャンおよびIPアドレス、ドメインなどの各種情報検索機能があります。
使い方
・VirusTotalのウェブサイト(https://www.virustotal.com/gui/home/upload)にアクセスします。
<ファイルスキャンの場合>
・「Choose file」をクリックしてスキャンしたいファイルを選択し、「Confirm upload」をクリックします。
・アップロードが完了すると、複数のアンチウイルスエンジンによるスキャンが行われます。
<URLスキャンの場合>
・ホームページの「URL」タブを選択します。
・スキャンしたいURLを入力し、「Enter」キーを押下すると、スキャンが始まります。
・結果を確認します。画面左上にスキャンの結果が表示されます(分子:危険と判定したベンダーの数 / 分母:スキャンを実施したベンダーの総数)。
また、画面中央から下の方にかけて、各ベンダーのスキャン結果が一覧で表示されます。
有料版でできること
有料版のVirusTotal Enterpriseでは、アップロードされたファイルをダウンロードしたり、解析結果を閲覧したり、より高度な機能を利用することができます。また、ファイルや解析結果を他の会員に公開しないPrivate Scanning機能を利用することで、機密情報や個人情報を含むファイルも安心してスキャンできます。
利用する際の注意点
Virustotalで最も注意しなければならないのが情報漏えいです。冒頭でも述べましたが、スキャンのためにアップロードしたファイルと解析結果は、セキュリティコミュニティに共有されます。セキュリティコミュニティには、有料会員として世界中のセキュリティアナリストや研究者が参加しており、アップロードされたファイルや解析結果は研究に役立てられます。しかし、セキュリティコミュニティにはサイバー犯罪者も参加しており、サイバー攻撃に使えそうな情報を物色しています。機密情報や個人情報を含むファイルをアップロードすると、情報漏えいやサイバー攻撃のための情報を提供することになる可能性があるため、アップロードする際は極めて慎重な判断が必要です。
JOE Sandbox Cloud BASIC
特徴
JOE Sandbox Cloud BASICは、ファイルやURLをサンドボックス環境で実行し、その挙動を詳細に解析するクラウド型のマルウェア解析サービスです。2011年にスイスのStefan Buehlmannによって設立されたJoe Security社によって開発されました。最大の特徴は、詳細な動的解析を行い、マルウェアの挙動や影響を深く理解するための包括的で詳細な分析レポートを提供する点です。また、様々なOSをサポートしており、Windows、macOS、Android、Linux環境でのマルウェア解析ができます。ファイルスキャンでは、複数のファイルを選択することができます。ファイルの合計最大サイズは100MBです。
基本機能
ファイル解析とURL解析です。
使い方
・JOE Sandbox Cloud BASICのウェブサイト(https://www.joesandbox.com)にアクセスします。
<ファイル解析の場合>
・「Choose file(s)」をクリックしてスキャンしたいファイルを選択し、「Analyze with Joe Sandbox」をクリックします。
・ファイルと解析結果が公開される旨の警告メッセージが表示されます。「I confirm」をクリックすると、ファイルがアップロードされ、解析が始まります。
<URL解析の場合>
・「Browse URL」のテキストボックスにスキャンしたいURLを入力します。
・「Analyze with Joe Sandbox」ボタンをクリックします。
・解析結果が公開される旨の警告メッセージが表示されます。「I confirm」をクリックすると解析が始まります。
・解析が完了するとレポートがダウンロードできます。レポートには、解析結果を端的に表す「Detection」と詳細な解析結果がまとめられています。Detectionには「MALICIOUS(マルウェア感染), SUSPICIOUS(疑わしい), CLEAN(安全), UNKNOWN(不明)」のいずれか1つが表記されます。
有料版でできること
有料版のJOE Sandbox Cloud Proでは、高度な解析オプション、大規模データ分析、APIアクセス、優先サポートなどが利用できます。また、有料版は完全にプライベートな環境で解析を行うため、アップロードしたファイルや解析結果を他の会員や非会員などの第三者と共有しません。これにより、機密情報や個人情報を含むファイルも安心して解析できます。有料版は、高度な解析機能を提供し、技術的な知識を活用して深い分析が可能です。そのため、セキュリティに関する高度な知識を持つユーザーやセキュリティ専門家に適しています。
利用する際の注意点
無料版の場合、解析のためにアップロードしたファイルや解析結果は、会員、非会員を問わず全員に公開されます。Virustotalと同様に、機密情報を含むファイルのアップロードは避けるべきです。
ANY.RUN
特徴
ANY.RUNは、インタラクティブなオンラインマルウェア解析サービスで、リアルタイムでファイルやURLの挙動を解析することができます。ANY.RUNは2016年に設立されました。最大の特徴は、リアルタイムでのインタラクティブな解析が可能であり、ユーザーが解析中のプロセスを操作できる点です。視覚的な解析ツールが充実しており、インタラクティブな解析を必要とするセキュリティ専門家や技術者に向いています。無料版では、アップロードできるファイルの最大サイズが16MBに制限されています。
使い方
・ANY.RUNのウェブサイト(https://app.any.run/)にアクセスします。
<ファイルスキャンの場合>
・「Submit File / Email」をクリックしてスキャンしたいファイルを選択し、「Run a public analysis」をクリックします。
・ファイルと解析結果が公開される旨の警告メッセージが出たら、「I Agree」をクリックします。アップロードが完了すると、解析が始まります。
<URLスキャンの場合>
・「Submit URL」ボタンをクリックし、「Type or copy URL」のテキストボックスに解析したいURLを入力します。
・「Run a public analysis」ボタンをクリックします。
・解析が完了すると、画面上で解析結果を確認できます。
画面右上には解析結果を端的に表すメッセージが表示されます。
脅威が検出されなかった場合は、「No threats detected」と表示されます。
脅威が検出された場合は、「Malicious activity」や「Suspicious activity」と表示されます。詳細な解析結果は、初心者の方にとってやや難解かもしれませんが、セキュリティの熟練度が向上してくると非常に高度な解析が行われていることが分かります。
なお、無料版にはレポートダウンロード機能はなく、有料版で利用可能となります。
有料版でできること
有料版のANY.RUN HunterやEnterpriseでは、プライベートレポート、高度な解析オプション、APIアクセス、脅威インテリジェンスなどが利用できます。 また、有料版ではプライバシー設定機能が有効になり、アップロードしたファイルを非公開に設定できるため、機密情報や個人情報を含むファイルも安心してスキャンできます。有料版では、アップロードできるファイルの最大サイズが100MBに拡大されます。
利用する際の注意点
無料版の場合、解析のためにアップロードしたファイルや解析結果は、会員および非会員などの第三者に公開されます。従って、VirustotalやJOE Sandbox Cloud BASICと同様に、機密情報を含むファイルをアップロードしないことが重要です。
まとめ
今回ご紹介した3つのツールは、それぞれ高度な解析機能を持っているうえに無料で使えるため、疑わしいメールを受信したときにある程度の安全性を確認するための簡易診断ツールとして最適です。各ツールの無料版には機能制限があるため、より高度な解析や機能を必要としている方は有料版がおすすめです。まずは無料版から始め、担当者や組織のセキュリティ習熟度が上がってきたら有料版にアップグレードするのも一つの手です。場合によっては誤判定や誤診断の可能性もあるので、一つのツールだけでなく複数のツールを併用して結果を総合的に判断することをおすすめします。また、解析結果をしっかりと読み解くには、ある程度の基本的なセキュリティ知識が必要ですが、理解できない場合は専門家に相談しましょう。
一方で、ツールを使う際は注意点についても心得ておかなければなりません。これまで何度も述べてきましたが、無料版の場合、アップロードしたファイルや解析結果はそのサービス会員や有料会員、ツールによっては非会員にも公開されるため、機密情報を含むファイルの解析は避けます。また、第三者がアップロードしたファイル(いわゆる「検体」)をダウンロードできる無料ツールもあります。特に、ANY.RUNは無料版であっても検体のダウンロードが可能です。第三者がアップロードしたファイルや疑わしいメールに添付されているファイルは慎重に扱う必要があります。本当に危険なファイルの可能性もあるので、安易にファイルを開かないようにし、できれば仮想環境などの安全な環境で解析を行い、被害の未然防止に努めることが肝要です。これらの注意点を守りながら、今回ご紹介した無料ツールを適宜活用し、日々のセキュリティ向上にお役立てください。