# マルウェアについて

## マルウェアDB

### VirusTotal

* 運営: Google
* ハッシュまたは(ファイル / URL)1つで 既知マルウェアか即判定
* 実務の判断スピードが段違い

**実務での使い方**
* 不審ファイル → hash → VT
* IP / Domain も確認可能

### MITRE ATT&CK

* マルウェアの「やってること」を共通言語で整理できる
* CVE / インシデント報告 / 製品アラートと直結
* 調査・報告・再発防止に必須

**実務での使い方**
* 「Command Execution」「Credential Dumping」
* 攻撃フェーズ整理
* 対策の抜け漏れ確認

調査より「整理と説明」に使います

### AlienVault OTX

* IP / Domain の 危険度即確認
* 「この通信先ヤバい？」を即判断
* APIで自動化可

外向き通信が怪しい場合
WAF / FW / Cloud Armor
(通信系の異常確認用)

---

## 実務でのアクション

1. 何かおかしい、から始まる
   * よくあるトリガー：
     * CPUが急に100%
     * 外向き通信が増えた
     * 見覚えのないプロセス
     * ログに怪しい文字列
     * `Trivy / Dependabot / Alert`

### パータン1 怪しいファイル発見時

```mermaid
graph TD
    A[怪しいファイル発見] --> B[VirusTotalにhash投げる]
    B --> C[マルウェア名 / 種類を確認]
    C --> D[Hybrid Analysisで挙動確認]
    D --> E[MITRE ATT&CKで行動分類]
```

### パータン2 コンテナ異常（CPU100%）

```mermaid
graph TD
    A[コンテナ異常] --> B[プロセス確認 xmrigなど]
    B --> C[VirusTotal で hash 照合]
    C --> D[Hybrid Analysisで挙動確認]
    D --> E[Cryptominerと判明]
```

### プロセスや挙動の確認

```sh
ps aux
top
```

* 見るポイント：
  * `xmrig`
  * `curl | sh`
  * `wget http`
  * `bash -i`
  * 見覚えのないバイナリ

この時点で「マルウェアっぽいか」はほぼ判断できる

### ネットワーク確認

```sh
netstat -tunp
ss -tunp
```

* 不審な外部IP
* 定期通信（C2っぽい）

### ファイルの確認

```sh
ls /tmp
ls /var/tmp
```

* ランダム名
* 実行権限付きファイル

### ハッシュ確認

```sh
sha256sum suspicious_file
```

VirusTotal にハッシュを投げる

### 実務上での判断

| 状況           | 実務判断            |
| -------------- | ------------------- |
| マイナー       | 即停止 → 再デプロイ |
| RAT / Backdoor | インスタンス破棄    |
| ランサム       | 即隔離              |
| 原因不明       | 再作成              |

* 「調査より破棄」が普通です
  * クラウドは作り直せる
  * 解析は 時間がかかる
  * 本番で解析は危険
  * 責任範囲が広がる

Cloud Run / Docker / K8s では「再構築」が正解です

---

## マルウェア一覧表

| 分類                 | マルウェア名         | 概要                       | 主な目的   | 代表例            |
| -------------------- | -------------------- | -------------------------- | ---------- | ----------------- |
| **ランサムウェア**   | Ransomware           | データを暗号化し身代金要求 | 金銭       | WannaCry, LockBit |
| **トロイの木馬**     | Trojan               | 正規ソフト偽装             | 侵入       | Zeus              |
| **ウイルス**         | Virus                | 自己複製・感染             | 破壊       | CIH               |
| **ワーム**           | Worm                 | ネットワーク自己拡散       | 拡散       | Conficker         |
| **バックドア**       | Backdoor             | 不正アクセス口             | 永続化     | DoublePulsar      |
| **スパイウェア**     | Spyware              | 情報窃取                   | 監視       | Pegasus           |
| **キーロガー**       | Keylogger            | キー入力記録               | 窃取       | AgentTesla        |
| **ボット**           | Bot                  | C2制御                     | DDoS       | Mirai             |
| **ボットネット**     | Botnet               | 複数端末制御               | 大規模攻撃 | Mirai             |
| **ルートキット**     | Rootkit              | 痕跡隠蔽                   | 永続化     | ZeroAccess        |
| **ダウンローダ**     | Downloader           | 他マルウェア取得           | 展開       | Emotet            |
| **ドロッパー**       | Dropper              | 内部に格納して展開         | 配置       | TrickBot          |
| **アドウェア**       | Adware               | 広告表示                   | 収益       | Fireball          |
| **クリプトマイナー** | Cryptominer          | 仮想通貨採掘               | 金銭       | XMRig             |
| **ワイパー**         | Wiper                | データ破壊                 | 妨害       | NotPetya          |
| **ローダー**         | Loader               | メモリ展開                 | 回避       | Cobalt Strike     |
| **RAT**              | Remote Access Trojan | 遠隔操作                   | 支配       | njRAT             |
| **ファイルレス**     | Fileless Malware     | メモリ常駐                 | 検知回避   | PowerShell系      |
| **ブートキット**     | Bootkit              | 起動領域感染               | 永続化     | Mebroot           |
| **スケアウェア**     | Scareware            | 偽警告                     | 詐欺       | FakeAV            |