VirusTotal Intelligence の使い方 ~ドメインやURL調査ツールとしての VTI~
VirusTotal ではファイルの悪性判定だけではなく、ドメインや URL についての判定も確認することができます。これを利用することで閲覧しようとしているサイトやドメインに問題があるのかどうかを把握することができますし、そのドメインが過去にどのような活動を行っていたかも知ることができます。
2つの検索方法
VirusTotal (Web)では調査の入り口が大きく分けると2つあります。1つは URL のスキャン、もう一つはキーワードとしての検索です。
URL のスキャンの入り口
キーワードとしての検索する場合の入り口
URL のスキャン
URL のスキャンでは、http(s):// から始まる URL を入力するか、ドメイン名を入力することで、スキャン結果を確認することができます。ドメイン名が入力された場合は自動的に http として(domain.name ⇒ http://domain.name)スキャンすることになります。過去にスキャンされたことがある URL の場合はその結果が表示されます。反対に過去にスキャンされたことがない URL の場合は新たにスキャンを行い、その結果を表示します。スキャン結果として表示できる情報は以下の通りです。
Detection
各ウィルス対策ソフトやセンサでの検知状況
Details
HTTP の Response 情報
- Final URL
- Serving IP Address
- Status Code
- Body Length
- Headers
挿入されている Tracker
その URL で取得した HTML ファイルに関する情報
- Title ( HTML 中に <title> として記述されている内容)
- Meta Tags ( HTML 中に <meta name="xxxx"> として記述されている内容)
キーワードとしての検索
キーワードとしてドメインや URL を検索する場合は次の動きになります。
ドメインを入力した場合
そのドメインの情報を表示します。ドメインの表示ができるのは過去に URL をスキャンされたことがあるドメインであることが推測されます。その為、誰も URL をスキャンしたことがないドメインの場合、「Item not found」と表示されます。表示できる情報は以下の通りです。
- サイトのカテゴリ:Alexa, BitDefender, Forcepoint (Websence), TrendMicro
- レーティング:Auantcast, Majestic, Cisco Umbrella, Alexa
- DNS レコード
- HTTPS 証明書情報
- Whois
- Google 検索結果
URL を入力した場合
キーワードとしての検索の際に http(s):// から始まる URL を指定した場合、上述の「キーワードとしての検索」と同じ動きとなります。過去にスキャンされたことがあればその最新の結果を、なければ新規スキャンとなります。
サイトやドメインに関連する情報 (Relations)
VirusTotal によるドメインや URL の検索結果にはファイルの検索結果と同じように関連する URL やドメイン、ファイルを確認することができます。この検索の際、VirusTotal にはいくつかの「クセ」があるので、知っておくと検索の際に捗ります。
URL の詳細情報を表示させたときの関連情報の癖
URL の関連情報にはあまり多くの情報が表示されません。具体的には以下の仕様内での表示となるため、出そうだな、と思った情報(例えばそのURLのドメイン)が表示されないです。以下が URL で検索した場合の注意点となります。
- ドメインが出ない
URL の詳細情報を表示した際に、その URL のドメインは関連するアイテムとして表示されません。 - ファイルが出るパターン
URL が特定のファイルを示す場合、関連するアイテムとしてそのファイルのスキャン結果が表示されます。
ドメインの詳細情報を表示させたときの関連情報の癖
URL の関連情報を検索したときと比べて多くの情報が表示されます。その為、その URL やドメインに関連する何かを調べたい場合、ドメインを中心に調べた方が効率よく情報が集まるといえるでしょう。表示される情報は以下の通りです。
表示される関連情報一覧 (※カッコ内は併記される情報)