インターネット上でファイルをダウンロードしたり、初めてのウェブサイトにアクセスしたりする際、安全性の確認は重要です。
その検証に役立つのが、70種類以上のセキュリティエンジンを用いてファイルやURLの安全性を一括でスキャンできる無料ツール「VirusTotal(ウイルストータル)」です。
本記事では、VirusTotal公式サイトを利用した基本的なスキャン方法や結果の見方、および利用時に知っておくべき注意点も解説します。
また、ブラウザ拡張機能「vt4browsers + Google TI」を使い、日常のブラウジング内で脅威を検証する方法も紹介します。
VirusTotal(ウイルストータル)とは?
VirusTotalは、不審なファイルやURL、IPアドレスなどをアップロード・入力するだけで、複数のセキュリティソフトで一括スキャンできる無料のオンラインサービスです。
現在はGoogle(正確には親会社のAlphabet)の子会社が運営しており、その信頼性と精度の高さから、世界中のセキュリティ担当者やITエンジニアに利用されています。
特定のソフトウェアを自分のPCにインストールすることなく、公式サイトやブラウザの拡張機能から安全にファイルを検証できる点が大きなメリットです。
メリット
VirusTotalを利用することで、ウェブ閲覧やファイル管理における安全性を高めることができます。
70種類以上のエンジンによる一括スキャン
一度の操作で、世界中の主要なセキュリティエンジンやブロックリストを用いた検証が可能です。
単一のセキュリティソフトでは見逃される可能性のある脅威も、複数のエンジンで照合することで検知の精度が上がります。
ブラウザのみで完結
専用のソフトウェアをPCにインストールする必要はありません。ウェブブラウザ上で動作するため、OSや端末の環境に依存せず利用できます。
幅広いスキャン対象
ファイルだけでなく、ウェブサイトのURL、ドメイン、IPアドレス、ファイルのハッシュ値なども調査できます。
これにより、ファイルのダウンロード前やウェブサイトへのアクセス前に危険を予測することが可能です。
拡張機能との連携による検証作業の効率化
ブラウザ拡張機能「vt4browsers + Google TI」を導入することで、ウェブサイトの閲覧中やファイルダウンロード時の検証をブラウザ上から実行できます。
検証のためにVirusTotal公式サイトを開く手間が省けます。
デメリットと注意点
VirusTotalは便利なツールですが、仕組みを理解せずに利用すると予期せぬトラブルにつながる可能性があります。以下の点に注意して活用してください。
情報漏洩のリスク(機密ファイルは厳禁)
VirusTotalにアップロードしたファイルやスキャン結果は、データベースに保存され、セキュリティコミュニティや有料版(Enterprise)ユーザーに共有されます。
そのため、社外秘の資料、顧客データ、個人情報が含まれるファイルは絶対にアップロードしないでください。
ツールキットや一般的なソフトウェアの検証にとどめるのが安全な使い方です。万が一誤って機密ファイルをアップロードしてしまった場合は、公式サイトから削除申請を行う必要があります。
誤検知の可能性
70種類以上のエンジンで一括スキャンを行う特性上、実際には安全なファイルであっても、一部のエンジンが「危険」と判定するケース(誤検知)が発生します。
1〜2個のマイナーなエンジンのみが反応している場合は誤検知の可能性が高いため、全体のスコアや検出したエンジン名を総合的に見て判断することが重要です。
ファイル容量と機能の制限
無料版では、アップロードできるファイルサイズに最大650MBの上限が設定されています。
また、リアルタイム保護機能はないため、PCを常時監視してウイルス感染を未然に防ぐことはできません。
あくまで「疑わしい対象をスポットで検査するツール」として、PCに導入済みのセキュリティソフトと併用する形が適しています。
制限事項と有料版(Premium Services)の違い
VirusTotalは基本的に無料で利用できますが、個人利用や小規模な検証を想定しているため、いくつかの制限が設けられています。
企業のセキュリティチームなどでより高度な調査を行う場合は、有料版の利用が必要です。
無料版の主な制限事項
- ファイルサイズ制限:アップロードしてスキャンできるファイルは、最大650MBまでです。
- APIの利用制限:自動化などに用いる無料API(Public API)は、1分あたり4回、1日あたり500回までのリクエスト上限があります。
- 検索機能の制限:ハッシュ値での単純な検索は可能ですが、ファイルの特徴やメタデータを組み合わせた複雑な条件検索はできません。
有料版の主な特徴
企業向けの有料版(Premium Services)では、無料版の制限が解除されるほか、高度な脅威分析機能が提供されます。
公式サイトに料金表はなく、「Contact Us」から問い合わせて利用規模(APIリクエスト数やユーザー数)に応じた個別見積もりを取得する仕組みです。
- Premium APIの解放:SIEMやSOARといった自社のセキュリティシステムと連携し、大量のログやアラートを自動で検証・強化できます(リクエスト数の上限緩和)。
- 高度な検索(VT Intelligence):「特定のマルウェアファミリー」「特定の国からアップロードされたファイル」など、VirusTotalの膨大なデータベースに対して条件を指定した詳細な検索が可能です。
- Retrohunt機能:自作のマルウェアの検知ルール(YARAルール)を用いて、VirusTotalが過去に収集した膨大な検体データベースを遡って検索・分析できます。
個人でブラウザから単発のファイル検証を行う範囲であれば、無料版で十分な機能が備わっています。
基本的な使い方と結果の見方
ここでは、ブラウザから直接アクセスする「外部スキャンツール(公式サイト)」と、日常の作業を効率化する「拡張機能」の2つの使い方を解説します。
日本語化する方法
VirusTotalの公式サイトや設定画面には、言語を日本語に切り替える機能(公式の日本語版)は用意されていません。
ただし、スキャン結果の画面については、英語のままでも直感的に判断が可能です。
「0/70(緑色)」や「赤色」といったスコアと色で安全性がはっきりと示されます。詳細な分析レポートを読み込む場合を除き、視覚的に結果を判断できるため、基本的には英語のままでも十分に活用できます。
日本語のインターフェースで利用したい場合は、お使いのブラウザに搭載されている翻訳機能を活用します。
Google Chromeでの翻訳したい場合は、以下2つの方法があります。
- 右上の「三点リーダ(︙)」>「翻訳」の順にクリック
- Webページ上で右クリックして「日本語に翻訳」をクリック
その他、部分的に翻訳したい場合は、自動翻訳ツールをご活用ください。
本記事では「DeepL」翻訳の解説をします。 2017年ドイツにて生まれたこのサービスは、一時Google翻訳を超えるツールとして話題になりました。話題になっていたローンチ当初は日本国内に登記している企業は税法上の理由で、サンプル程度の無料版しか使えませんでしたが、今ではすべての機能を使えるよ...
公式サイトの外部スキャンツール
公式サイトにアクセスすると、画面中央に「FILE」「URL」「SEARCH」の3つのタブが表示されます。用途に合わせて選択してスキャンを実行します。
FILE(ファイルのアップロード)
「Choose file(ファイルを選択)」をクリックし、PC内のファイルを選択してアップロードします。
「Confirm upload(アップロードを確認)」をクリックしてファイルをアップロードします。
URL(ウェブサイトのURLを入力)
「URL」のタブをクリックし、検査したいウェブサイトのURLを入力します。その後、「Search」またはEnterキーを押します。
SEARCH(データの中から該当情報を検索)
IPアドレス、ドメイン、ファイルのハッシュ値(ファイルを固有の文字列に変換したもの)を入力して、過去のデータベースを検索します。
ハッシュ値の取得方法
ファイルを固有の文字列に変換したハッシュ値を使った検索は、ファイルそのものをアップロードしないため、情報漏洩のリスクを完全に防ぐことができる最も安全な検証方法です。
機密情報が含まれるファイルなどを調査したい場合は、この手順を活用してください。
OS別のハッシュ値(SHA-256)確認コマンド
コマンド入力画面(PowerShellやターミナル)を開き、以下のコマンドと検証したいファイル名(またはファイルのパス)を入力して実行します。
- Windows(PowerShell):
Get-FileHash ファイル名 - macOS(ターミナル):
shasum -a 256 ファイル名 - Linux(ターミナル):
sha256sum ファイル名
すると、ランダムな文字列のハッシュ値が表示されますので、ファイル名は含めない状態でコピーしておきます。
結果の見方(スコアと判定)
さまざまな方法でのスキャン完了後、各セキュリティエンジンの判定結果が一覧で表示されます。
左上の数字(例:0/59)が検出スコアになっています。
- 緑色(0/59など):すべてのエンジンで「安全」と判定されています。
- 赤色(3/59など):複数のエンジンで「悪意のあるコンテンツ」として検出されています。
欧州のコンピュータウイルス研究団体である「EICAR」と「CARO」が共同開発した「eicarテストファイル(無害なシミュレーション用ファイル)」をアップロードすると、以下のように赤く表示されます。
赤色の数字が大きいほど、マルウェアやフィッシングサイトである可能性が高くなります。ただし、1〜2個のマイナーなエンジンのみが反応している場合は、誤検知の可能性も考慮してください。
ページをスクロールすると、各セキュリティエンジンごとの結果です。緑色のチェックと「Undetected(未検出)」と表示されていれば問題ありません。
拡張機能「vt4browsers + Google TI」
「vt4browsers」は、ウェブブラウジング中の安全確認を簡略化する公式ブラウザ拡張機能(Chrome/Firefox対応)です。
さらにGoogle Threat Intelligence(Google TI)のAPIキーを連携させることで、ページ内の情報を自動で検証する高度な機能が利用できます。
初期設定と情報漏洩対策
拡張機能をインストール後、アイコンをクリックして「Scan and Upload Settings」タブを開きます。
- Scan downloads:ダウンロードファイルの自動スキャン設定
- Don’t scan documents:情報漏洩を防ぐため、ドキュメント(PDF、Word、Excelなど)を自動アップロードしない設定です。必ず有効(Active)になっていることを確認してください。
- Show ‘Send to VirusTotal’ prompt when downloading files:ファイルのダウンロード時に「VirusTotalに送信」の確認画面を表示する
- Pause downloads when sending to VirusTotal:VirusTotalへの送信中はダウンロードを一時停止する
- Send anonymous passive DNS data to VirusTotal:匿名化されたパッシブDNSデータをVirusTotalに送信する
APIキーの取得と連携
APIキーを取得するには、VirusTotalのアカウント作成が必要となります。
右上の「Sign up」をクリックして、SNSアカウントまたはお名前・メールアドレス・パスワードなどを入力してアカウントを作成します。
その後、「Sign in」して、APIキーをコピーします。
APIキーを連携するには、Google Chromeの右上で拡張機能のアイコンをクリックします。
表示されたポップアップ画面上の「Augment Setting」タブを開き、「My API key:」の欄にAPIキーを入力してフロッピーディスクのアイコンで保存します。
これにより、以下のコンテキスト化機能が有効になります。
IoC(侵害指標)の検証機能
ウェブページ上に記載されたハッシュ値、IPアドレス、ドメインなどのIoCに対し、VirusTotalの判定を付与できます。
IoC Highlighting(ハイライト機能)
ページ内のハッシュ値やIPアドレスの横に、VirusTotalの「アイコン」を追加する機能です。
- 表示内容:VirusTotalのアイコンのみ
- API消費:アイコンを「クリックした時」に1回消費
- 特徴:自分からクリックして調査を開始するまで通信を行わない。無料APIの制限(1分間に4回、1日に500回まで)を節約しながら使うことができる
実際にIPアドレスを確認できるウェブページを開いてみると、VirusTotalのアイコンが表示されます。こちらをクリックすると、APIが消費されます。
IoC Enrichment(情報強化機能)(有料版)
ページ内のハッシュ値やIPアドレスの横に、VirusTotalの「判定スコア」を自動的に取得して直接表示する機能です。
ただし、有料版(Premium Services)の機能となっており、無料版では操作できません。
- 表示内容:アイコン + 判定スコア(安全なら緑色、危険なら赤色など)
- API消費:ページを開いた時、「自動的」に消費(ページ内のIoC1つにつき1回)
- 特徴:クリックする手間なく一目で安全性がわかる。ページ内にIPアドレスやハッシュ値が複数あると、一瞬で無料APIの上限(1分間に4回)に達してしまいエラーになります。基本的に、制限のない有料API環境を想定した機能です。
共通の設定項目
- Highlight / Enrich ALL sites:すべてのサイトでアイコンを表示する
- Always highlight / Enrich current site:今開いているページでのみアイコンを表示する
- Always highlight / Enrich current domain:今開いているドメイン(サイト全体)でアイコンを表示する
- Types of IoC to Highlight:無料版は「All」のみしか選択できない。有料版は「Domain」や「URLs」など個別に選択できる
※設定項目(Enrich ALL sites など)の意味は、Highlightingと同じです。
右クリックメニューの活用
ウェブページ上またはリンクを右クリックし、「VT4Browsers」>「Scan selected link」を選択すると、リンク先を開く前に安全性を検証できます。
- Scan current page:現在閲覧しているウェブページ自体のURLをスキャン
- Scan selected link:右クリックしたリンク先のURLをスキャン(リンク上を右クリックした時のみ項目が表示)
- Search selected hash:ページ上で選択(ハイライト)したハッシュ値の過去の検証結果を調査
- Insert text hash to search:入力ダイアログを開き、任意のハッシュ値や検索条件を手動で入力して検索
- Always highlight current domain:現在閲覧しているサイトのドメイン全体に対し、常にハイライト(アイコン表示)
- Always enrich current domain:現在閲覧しているサイトのドメイン全体に対し、常にスコアの表示(※無料版では制限がかかる場合あり)
- One-off highlighting of IoCs in current page:現在のページのIoCを1回だけハイライト(アイコン表示)
- One-off enrichment of IoCs in current page:現在のページのIoCを1回だけスコア表示
- VT Intelligence multi-search for IoCs in current page:現在のページ内にあるすべてのIoCを新しいタブで一括検索
- VT Graph for IoCs in current page:現在のページ内にあるすべてのIoCをグラフ表示(VT Graph)
よくある質問(FAQ)
機密ファイルをアップロードした後に削除できますか?
はい、削除申請が可能です。 公式サイト下部の「Contact Us」からお問い合わせフォームを開き、誤ってアップロードしたファイルのハッシュ値と、削除を希望する旨を英語で送信してください。
ただし、削除対応には日数がかかる場合があり、その間はデータが共有された状態になるため、事前の確認が最も重要です。
スキャン結果が少数反応した場合は危険ですか?
誤検知(False Positive)の可能性があります。 70種類以上のエンジンの中には、過敏に反応して安全なファイルを危険と判定するものが含まれることがあります。
少数のマイナーなエンジンのみが検出している場合は、全体のスコアや「Community Score(ユーザー評価)」を総合的に見て判断してください。
アップロードするファイルの容量制限はありますか?
無料版では、最大650MBまでのファイルをアップロードできます。
これより大きいファイルを検証したい場合は、PC上でハッシュ値を計算し、「SEARCH」タブから過去のデータベースを検索する方法を利用してください。
スマートフォンでも利用できますか?
はい、スマートフォンのブラウザから公式サイトにアクセスして利用でき、「VirusTotal Mobile」のAndroidアプリが提供されています(iPhoneアプリは未提供)。
ただし、このアプリはVirusTotalの公式ドキュメントで紹介されている「公認アプリ」ではありますが、VirusTotal運営会社が開発した「公式アプリ」ではありません。
拡張機能はインストールした方が良いですか?
必須ではありません。 不審なファイルを単発で調べたいだけであれば、公式サイト(外部スキャンツール)のみで十分です。
日常的に多くの海外サイトを閲覧したり、技術ブログのIPアドレスやハッシュ値をその場で検証したりする機会が多い場合は、拡張機能を導入すると作業が大幅に効率化されます。
まとめ
VirusTotalは、複数のセキュリティエンジンの判定を一度に確認できる便利なツールです。
不審なファイルやURLに遭遇した際、事前に安全性を検証することで、マルウェア感染やフィッシング詐欺のリスクを軽減できます。
無料かつ登録不要で使い始められるため、手元の環境ですぐに実践できます。
まずは本記事で紹介した「空のテキストファイル」などを用いて実際の動作を確認し、日々の安全なサイト運営や情報収集にお役立てください。
WordPressテーマ
コメント