SymSubmit の利用方法について

Products

Endpoint Protection

Issue/Introduction

Symantec Security Response は、2019年10月まで、未検出のマルウェアサンプル、誤検知の疑い、フィッシングドメインなどを報告できるいくつかの異なるポータルを維持していました。
この度、それらのポータルを統合した SymSubmit の提供を開始し、すべての製品とすべての用途についての報告を一か所から実施していただくようにいたしました。
このドキュメントは、このポータルの使用に関するガイダンスを提供し、FAQ に回答することを目的としています。

Resolution

感染が疑われる検体の提供について

シマンテック製品で、検出されていない疑わしいファイルやフィッシングの疑いのあるWebサイトは、セキュリティレスポンスに送信して調査することができます。
[Malware Not Detected] タイルを選択し、フォームに必要な情報を入力してご提供ください。
解析の結果脅威性があることが確認された場合には、それらに対する保護が追加されます。

既に検出対象となっている検体を [Malware Not Detected] タイルを利用してご提供いただいた場合は、再解析は行われずクローズとなります。

ファイルの提供については、下記の 3 つの形式のいずれかで実施できます。

実ファイルをアップロードする
MD5 あるいは SHA256 のハッシュ値での提供を行う (そのファイルが VirusTotal.com で公開されている場合のみ)
URL を指定して提供を行う (ただし URL から直接解析対象をダウンロードできる場合)

また、フィッシングの疑いのあるサイトについては、訪問者をだましてログインパスワードなどの資格情報の入手を試みるサイトを指し、合法的なサイトを模倣する Web ページなどが含まれます。
http:// またはhttps://または ftp:// を含む、フィッシングの疑いのあるページのURLを指定して提供いただくことが可能です。

過剰検出と思われる検体の提供について

ファイルが無害であると考えられているが検出されている場合は、[Clean Software Incorrectly Detected] タイルを選択して検体を送信します。
検体を解析し脅威性が無く過剰検出であると判断された場合には検出対象からの除外が行われます。

[Clean Software Incorrectly Detected] タイルよりご提供いただいた検体に対しての検出が担当部署で再現しなかった場合は、解析及び調査対応は行われず、その旨を記載したクロージングメールをお送りしてクローズとなります。
その場合は、クロージングメール記載の内容に従って追加情報をご提供いただく、あるいは検出の再確認を実施していただくといった対応をお願いいたします。

ファイルの提供については、下記の 3 つのうちのいずれかをご利用いただけます。

実ファイルをアップロードする
MD5 あるいは SHA256 のハッシュ値での提供を行う (そのファイルが VirusTotal.com で公開されている場合のみ)
URL を指定して提供を行う (ただし URL から解析対象ファイルをダウンロードできる場合)
注意：ダウンロードにパスワードの入力が必要な URL をご利用いただくことも可能です。

また Content and Malware Analysis あるいは Web Security Service Malware Analysis Service での過剰検出についても、遮断されたファイルの URL を指定する形で利用可能です。

[Clean Software Incorrectly Detected] タイルからの提供に際しては、検出が発生した製品やコンポーネントに関する詳細な情報をご提供いただくことが重要です。
セキュリティレスポンスは検体に対しての検出の再現を可能な限り試みますが、例えばアンチウイルスでの検出として、侵入防止機能のためのパケットキャプチャ (.pcap) をご提供いただいた場合は、アンチウイルスでの検出再現のみが行われ、 IPS での検出確認は原則行われません。

報告している検出はいつ発生しましたか？
その検出はどの製品で発生しましたか？
どの機能による検出を報告していますか？
シマンテック製品が提供する検出名

テクニカルサポートのケースを作成し、検出されたことを示すログを提供すると有益な場合があります。

他にはどのような情報が必要ですか

検体としてご提供いただくファイルあるいは URL に加えて最大 20,000 文字まで入力できる [Additional Details] 入力フィールドがあります。
テクニカルサポートでケースを開いている場合は、ここでケース番号を指定してください。セキュリティレスポンスエンジニアが検体を処理するのに役立つ追加情報を提供してください。
なおセキュリティレスポンスからは、[Additional Details] フィールドの質問や懸念に回答することはできません。テクニカルサポートにお問い合わせください。

その他のフィールドでは、次の情報を入力していただく必要があります。

提出の種類 (File / URL / Hash などの提出の種類を選択します)
お客様の氏名
メールアドレス（追跡用の番号および解析結果はこのアドレスに送信されます）
サイト ID 番号

サイト ID はどうやって確認すればよいですか

サイト ID はお客様のエンタイトルメントに記録されており、サポートポータルで確認することができます。

サイト IDを特定できない場合は、ケースを開いて追加のサポートを受けてください。

SymSubmit には制限がありますか

実ファイルでの提供についてはアップロード可能なファイルの最大サイズは 750 MB です。
また、それ自体に最大 9 個のファイルを含む ZIP または RAR アーカイブである場合があります。
パスワード保護されたファイルは解析されません。
添付ファイル付きの MSG または EML ファイルについては単独でご提供いただく必要があります。複数を圧縮してご提供されないようお願いします。

ハッシュ値でのご提供については VirusTotal で該当のファイルが公知されており、最大 500 MB になります。
受付可能なハッシュの形式は MD5 あるいは SHA256 となります。
ハッシュでのご提供は原則単一のファイルである必要があります。ZIP や RAR 等の圧縮ファイルはサポートしていません。

URL でファイルを指定された際の受付可能な最大サイズは、感染が疑われる検体の場合は 500 MB、過剰検出と思われる検体の場合は 1 GB となります。

注意：上記の条件に合致しない場合は、検体のご提供は受け付けられず、追跡用の番号は発行されません。

ファイルは一回にいくつまで提供できますか

WinZip または WinRar を使用して、複数のファイルを一度にアップロードできます。過剰検出の提供については 2019 年 9 月の時点では、zip ファイルはパスワードで保護できます。

1 回の提出の最大サイズは 750 MB です。サイズに関係なく、9 個を超えるファイルを含む ZIP ファイルを送信しないでください。

注意：.jar や .cab などの一部のファイルタイプは、最大ファイル数を超えるファイルを含むコンテナである場合があり、その際は受け付けられません。

関連する情報につきましては次のリンクをご参照いただけます。Symantec Insider Tip: Successful Submissions! (英語)

Additional Information

[英語文書] Using SymSubmit

SymSubmit は日本語には対応しておりません。入力欄などには英語で記入してください。