大堀 杏夏

大学で情報科学を専攻中。セキュリティ・キャンプ全国大会2024（脅威解析クラス）を修了し、同キャンプのチューターとしても活動。攻撃ツールや攻撃者の行動原理を実証的に分析し、検証を通じて理解を深める取り組みを主軸に活動を行なっている。現在はPowder Keg Technologiesのインターンとして、EPP・EDRおよびオンライン検知/回避サービスの検知評価に関する技術開発に従事している。

VirusTotalは攻撃者の味方か？ ― VT×ローカルEDRの実証分析と 検体共有エコシステムの調査から見える検知死角と攻撃猶予 ―

VirusTotal（VT）は、70以上のエンジンによるスキャンと検体共有を通じて、防御側にとって不審ファイルの分析・評価基盤として広く利用されています。一方で、「攻撃者は検体共有を恐れてVTを避ける」という見方も長く共有されてきました。しかし、2025年に流出した Black Basta ランサムウェアグループの内部チャットログを分析すると、実態はそれほど単純ではありません。内部では VT への投入が警戒されている一方で、実際には「VTで未検知であること」が攻撃開始の判断材料として参照されていたことが確認できました。共有リスクを理解しているはずの攻撃者が、なぜそれでも VT を使うのだろうか？ 本講演では、この問いを実証データから検討します。

本講演では、Black Basta の流出チャットログの分析に加え、検知回避技術を組み込んだ独自検体群を用いた VT 上での時系列観測と、主要 7 製品のローカル EPP/EDR 環境との比較検証を通じて、VT が攻撃者・防御者の双方にとってどのような意味を持つのかを検証します。その結果、アップロード後かなり時間が経過しても検知が十分に広がらないケースの存在や、VT 上での未検知がローカル実機での未検知をどの程度示唆するかが、ベンダーごとに大きく異なることが見えてきました。

さらに本講演では、VT とローカル実機の差を定量化する指標 VDG（Vendor Detection Gap）および SSR（Safety-side Rate）を提案し、攻撃者がこうした特性を踏まえて VT の利用戦略を使い分けている可能性と、防御者が VT の結果をどこまで信頼してよいかをどのように判断すべきかを考察します。あわせて、継続観測ツール VDG-Tracker のライブデモを通じて、VT の結果をどのように読み解くべきかを示します。