Yami

メモとか、やったこととか。

VirusTotal(フル版・軽量版)でのURLサーチの動作の違い

初ポストはVirusTotalネタです。

VirusTotalにはフル版(https://www.virustotal.com/)と軽量版(https://www.virustotal.com/old-browsers/)が存在しますが、それぞれで機能の違いがあることを最近知ったのでその紹介です。

注意

  • VirusTotalを利用するうえで、インターネットに公開されるとマズイ情報を含むファイルの登録はやめてください。
  • URLの場合でも、URLパラメータの中に誰かを識別できる文字列が含まれている場合もあるため、利用する際は特に確認してください。
  • 本ポストの情報は本日(2021/11/02)時点のものです。今後仕様が変わり本ポストの情報と差異がでる可能性があります。
  • 本ポストを参考にした結果何等か問題が発生しても、当方は責任を負いかねます。

違いについて

早速その違いについてですが、URLをサーチした時の動作が異なります。

フル版ではサーチ機能でURLをサーチすると、

  1. VirusTotal内に記録されているデータを検索し表示
  2. もしデータがない場合は入力されたURLにアクセスしその結果を表示

という動作をします。

f:id:jrick:20211102142456p:plain
VirusTotalに登録されていない場合、スキャン処理が実行される
一方軽量版では、

  1. VirusTotal内に記録されているデータを検索し表示
    ※もしVirusTotal内に記録されていない場合は「Not found」と表示される

という動作になります。

f:id:jrick:20211102142252p:plain
VirusTotalに登録されていない場合、「Not found」と表示される

この違いを利用して

この機能の違いを利用し、不審なURLがVirusTotalに登録されているか安全に確認することができるのでは、と思います。(要は、検体・ファイルをハッシュ値で検索し、VirusTotalにアップロードすることなく安全・危険を調査する、という使い方です。)

フル版ではVirusTotalに登録されていない場合は強制的にURLにアクセスされてしまい、なおかつその結果がVirusTotalに登録されてしまいます。この弊害として、

  • 攻撃者に調査していることがバレてしまう(アクセスされることと、VirusTotalに登録されることから)
  • URLに何等かの識別子が含まれると情報流出につながる

などが考えられます。

軽量版を利用することで上記のような弊害なく、URLの調査ができるのではと考えます。
※ただし注意にも記載しましたが、いつこの仕様が変わるかわからないので、利用する際は事前に動作確認すべきです。