Share
Download the
Global Threat
Intelligence Report
はじめに
SOCでは常に最新の脅威に対抗するため、標的型・ばらまき型問わず様々なリサーチ活動を行っています。リサーチ活動によって得られた情報や知見は、SOCでの検知ロジックに反映したり、お客様への注意喚起などで活用されています。また、自組織やお客様環境のみならず世界的にサイバー空間の安全を守るため、社外のリサーチャと情報交換を行っており、その一環としてブログ記事の執筆や国際カンファレンスでの登壇発表を行っています。
2025年3月28日に開催された「第2回 VirusTotal ユーザ会」にて、SOCアナリストの小池が講演を行いました。本稿では、小池による講演内容と、ユーザ会の様子について紹介します。
VirusTotal ユーザ会
VirusTotal ユーザ会は2023年9月から開催されており、今回で2回目となります。VirusTotalの機能を使いこなすための知見の共有を目的としており、今回は小池を含めて3名が講演を行いました。VirusTotal ユーザ会の詳細については以下を参照ください。
講演内容
VirusTotalには多くの検索修飾子が実装されており、中にはマイナーなものも存在します。今回はVirusTotalで使用できるネットワーク系の検索修飾子に焦点を当て、特にdomainエンティティのネームサーバ情報(ns_record修飾子)やWHOIS情報(whois修飾子)を使ったリサーチについて、具体的なケースを含めながら紹介しました。弊社ではこのリサーチ手法をTwinNS Constellationと呼んでおり、2023年中旬頃から多くの脅威リサーチで活用しています。
ユーザ会の様子
第2回 VirusTotal ユーザ会は渋谷ストリームにあるGoogleオフィスで開催されました。第1回の開催から約1年半ぶりでしたが変わらず盛況で、たくさんのVirusTotalユーザが一堂に会しました。
ユーザ会では小池の講演以外にも、ninosekiさんによる「Supercharing VT API With vt-py」ではVirusTotal APIの公式Pythonクライアントライブラリであるvt-pyの使い方について講演が行われたり、サイバーディフェンス研究所の中島さんによる「Living off the Search: 検索寄生型リサーチ」ではLivehuntやRetrohuntで使用するYaraルールをContent Search向けの検索クエリに変換しようという講演が行われました。
質疑やコメントも活発に行われており、日本におけるVirusTotalコミュニティの関心度の高さが伺えました。
おわりに
今回は第2回 VirusTotal ユーザ会での講演について紹介しました。VirusTotalの活用方法やリサーチアプローチについて、多くのアナリストやリサーチャと情報交換を行うこともでき、ネットワーキングという意味でも素晴らしいユーザ会でした。今後もリサーチ活動やその過程で得られた知見を積極的に発信し、サイバー空間の安全に寄与していきたいと思います。