Dアラート情報

  • 12月
  • 11月
  • 10月
  • 09月
  • 08月
  • 07月
  • 06月
  • 05月

12月に弊社から発信した『Dアラート』情報サマリー

バンキングマルウェア攻撃をブロック

メール受信した
弊社お客様14 URLアクセスした
弊社お客様3
2018/12/27
12/27から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:Re: ヴィスト修正

添付ファイル名:原価請求書ですnnnnnn.doc

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値:
 ①3a2e9a8399595c2e821725e2eb0a95d6ea8ccf4863f49f72b8ecbdc12c4119a9
 ②c45f22040ee62f7bdd33083152bef6d3a85ef4c025aac4e658f5c1d8bdb4d466
 ※上記のほか、異なるHASH値のファイルが多数存在しております。

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月27日部分
-------------


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://free[.]diegoalex[.]com/3289fkjsdfyu3[.]bin
↓
hxxp://thatconditions[.]online/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


 製品対応状況
▽m-FILTER
  偽装レベル5以上
  ・添付ファイル偽装判定
  ・送信元偽装判定
   →「隔離設定」でブロック可能

▽i-FILTER
hxxp://free[.]diegoalex[.]com/3289fkjsdfyu3[.]bin
hxxp://thatconditions[.]online/
 2018年12月27日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
メール受信した
弊社お客様12 URLアクセスした
弊社お客様1
2018/12/25
12/25から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:12月、原価請求書です。

添付ファイル名:原価請求書ですnnnnnn.doc

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値:
 ①0d94117b669e9c102ecf754173c3fbf6ce19445d17eacf2882b323fb465b67be
 ②75ecc5845bec21b1fdf98680de180e0fc227d312f58c02dec7cc52c8ceaab1d7
 ※上記のほか、異なるHASH値のファイルが多数存在しております。

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月25日部分
-------------

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://emotion[.]bethlapierre[.]com/8923rfj[.]bin
↓
hxxp://185[.]82[.]216[.]62/images/1[.]png
hxxp://theanyexppatent[.]online/images/ランダムな文字列

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。

製品対応状況
▽m-FILTER
  偽装レベル4以上
  ・添付ファイル偽装判定
  ・本文偽装判定
  ・送信元偽装判定
   →「隔離設定」でブロック可能

▽i-FILTER
hxxp://emotion[.]bethlapierre[.]com/8923rfj[.]bin
 2018年12月25日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

hxxp://185[.]82[.]216[.]62/images/1[.]png
 2018年12月25日
  [違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加

hxxp://theanyexppatent[.]online/images/ランダムな文字列
 2018年12月25日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
メール受信した
弊社お客様18 URLアクセスした
弊社お客様2
2018/12/18
12/18から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:①(※1) 立替金報告書の件です。
   ②(※1) 申請書類の提出
   ③(※1) 注文書の件
   ④(※1) 請求データ送付します
   ⑤(※1) 納品書フォーマットの送付

      (※1) 次の5種類のいずれかの記号になります。
      ① ∗
      ② -
      ③ _
      ④ |
      ⑤ ~

添付ファイル名:①D O C 18122018nnnnn.XLS
        ②3D"D O C 18122018nnnnn.XLS"

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値:
 ①fa5eb74adc22749ffd113ceaa71d23a693af55e605bea1354dc7d352303e9bff

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月18日部分
-------------

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化。
次のいずれかのストレージサービスにアップされた画像のURLにアクセス
↓
hxxps://images2[.]imgbox[.]com/4a/4f/BlSALZQZ_o[.]png
hxxps://i[.]imgur[.]com/o7h7NeV[.]png
hxxps://image[.]frl/i/g5lw84pmkrsqdk0z[.]png
hxxps://i[.]postimg[.]cc/RSvh2V9v/R3[.]png?dl=1
↓
※以降の通信は外部情報と弊社ログ情報から推測
↓
さらに次のいずれかのストレージサービスにアップされた画像のURLにアクセス
hxxps://images2[.]imgbox[.]com/パス文字列
hxxps://i[.]imgur[.]com/パス文字列
hxxps://image[.]frl/パス文字列
hxxps://i[.]postimg[.]cc/パス文字列
↓
hxxps://cabertun[.]com/
hxxp://cabertun[.]com/uploads/lcopriasqpdf31[.]tif

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
  偽装レベル4以上
  ・添付ファイル偽装判定
  ・本文偽装判定
  ・送信元偽装判定
   →「隔離設定」でブロック可能

▽i-FILTER
hxxps://images2[.]imgbox[.]com/4a/4f/BlSALZQZ_o[.]png
 2018年12月18日
  [オンラインストレージ]→[脅威情報サイト](※2)を追加

hxxps://i[.]imgur[.]com/o7h7NeV[.]png
 2018年12月20日
  [アップローダー]→[脅威情報サイト](※2)を追加

hxxps://image[.]frl/i/g5lw84pmkrsqdk0z[.]png
 2018年12月20日
  [オンラインストレージ]→[脅威情報サイト](※2)を追加

hxxps://i[.]postimg[.]cc/RSvh2V9v/R3[.]png?dl=1
 2018年12月20日
  [IT情報・サービス]→[脅威情報サイト](※2)を追加

hxxps://cabertun[.]com/
hxxp://cabertun[.]com/uploads/lcopriasqpdf31[.]tif
 2018年12月19日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
メール受信した
弊社お客様17 URLアクセスした
弊社お客様24
2018/12/13
12/13から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:【楽天市場】注文内容ご確認(自動配信メール)

メール記載のURLリンク:
195[.]123[.]233[.]150に解決するURL

※以下を弊社確認済み。該当メールにはこのうちいずれかのURLあり。

 ①hxxp://michelefarina563[.]isplevel[.]pro/

 ②下記ドメインを持つ、サブドメインでのURL
  *.althusdgc[.]com
  *.gobtl[.]pe
  *.anchorartists[.]com
  *.kiraneproject[.]com
  *.ffoc[.]net
  *.joshshadid[.]com
  *.cncntrte[.]com
  *.themodernvillas[.]com
  *.shadidphotography[.]com
  ※それぞれ*部分には、複数種類の文字列が入ります。
   URL例
   hxxp://supportapple[.]gobtl[.]pe/
   hxxp://uyj[.]anchorartists[.]com/

メール記載のURLからダウンロードされるファイル名:
 注文内容ご確認.zip
 (※zip内には「注文内容ご確認.lnk」のほか、いくつかのファイルが含まれます)

ファイルのHASH値(lnkファイル):
 ①7e7bee88bdd25ab9cc402e8a14ee08615618c55c977993646c89ffd95bc90815

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月13日部分
-------------

感染プロセス
メール受信
↓
メール本文内のURLリンクをクリック
↓
zipファイルがダウンロードされる
↓
zipファイルを展開し、展開されたlnkファイルを実行することで以下URLにアクセス
↓
hxxp://ktr[.]kiraneproject[.]com/pohaq/info[.]ps1
hxxp://ktr[.]kiraneproject[.]com/pohaq/fit[.]txt

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。

製品対応状況

▽m-FILTER
  偽装レベル5
  ・本文偽装判定
  ・送信元偽装判定
   → 「隔離設定」でブロック可能。

▽i-FILTER
hxxp://michelefarina563[.]isplevel[.]pro/
*.althusdgc[.]com
*.gobtl[.]pe
*.anchorartists[.]com
*.kiraneproject[.]com
*.ffoc[.]net
hxxp://ktr[.]kiraneproject[.]com/pohaq/info[.]ps1
hxxp://ktr[.]kiraneproject[.]com/pohaq/fit[.]txt
 2018年12月13日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

*.joshshadid[.]com
*.cncntrte[.]com
*.themodernvillas[.]com
*.shadidphotography[.]com
 2018年12月11日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
メール受信した
弊社お客様17 URLアクセスした
弊社お客様38
2018/12/11
12/11から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:【楽天市場】注文内容ご確認(自動配信メール)

メール記載のURLリンク:
195[.]123[.]217[.]77に解決するURL

※以下を弊社確認済み。該当メールにはこのうちいずれかのURLあり。

 ①hxxp://paoloriva666[.]isplevel[.]pro/

 ②下記ドメインを持つ、サブドメインでのURL
  *.astronautgreen[.]com
  *.astronauthigh[.]com
  *.burningwithsharon[.]com
  *.cncntrte[.]com
  *.dancharlebois[.]com
  *.dixieversity[.]com
  *.dixieversity[.]net
  *.dreamtimetorealtime[.]com
  *.ghostzero[.]la
  *.ghostzero[.]tv
  *.ghostzerofilms[.]com
  *.joshshadid[.]com
  *.joshuashadid[.]com
  *.katierefling[.]com
  *.shadidphotography[.]com
  *.summerfamily[.]com
  *.sxkoparty[.]com
  *.themodernvillas[.]com
  ※それぞれ*部分には、複数種類の文字列が入ります。
   URL例
   hxxp://efb[.]astronauthigh[.]com/
   hxxp://applesupport[.]joshshadid[.]com/

メール記載のURLからダウンロードされるファイル名:
 注文内容ご確認.zip(※zip内にjsファイルあり)
 または
 注文内容ご確認.PDF.js

ファイルのHASH値(.jsファイル):
 ①e828d07247267fca9d80000fa29cba7d7d7d29e0aaad1cb9c70455825de2ad7c
 ②a606892ad38faa5c4f3810dd52a5282a873cbe8a0993a8530e28ea1065b1a584

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月11日部分
-------------

感染プロセス
メール受信
↓
メール本文内のURLリンクをクリック
↓
zip(zip内にjs)またはjsファイル、がダウンロードされる
↓
jsファイルを開いて実行、以下URLにアクセス
↓
hxxp://fgyt[.]shadidphotography[.]com/789234[.]bin?jBVtX
または
hxxp://fgyt[.]shadidphotography[.]com/789234[.]bin?XShpsm

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。

製品対応状況

▽m-FILTER
  偽装レベル5
  ・本文偽装判定
  ・送信元偽装判定
   → 「隔離設定」でブロック可能。
   
▽i-FILTER
hxxp://paoloriva666[.]isplevel[.]pro/
*.astronautgreen[.]com
*.astronauthigh[.]com
*.burningwithsharon[.]com
*.cncntrte[.]com
*.dancharlebois[.]com
*.dixieversity[.]com
*.dixieversity[.]net
*.dreamtimetorealtime[.]com
*.ghostzero[.]la
*.ghostzero[.]tv
*.ghostzerofilms[.]com
*.joshshadid[.]com
*.joshuashadid[.]com
*.katierefling[.]com
*.shadidphotography[.]com
*.summerfamily[.]com
*.sxkoparty[.]com
*.themodernvillas[.]com
hxxp://fgyt[.]shadidphotography[.]com/789234[.]bin?jBVtX
hxxp://fgyt[.]shadidphotography[.]com/789234[.]bin?XShpsm
 2018年12月11日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ

改竄されたWebサイトへのアクセスをブロック

検知した改竄サイト

656サイト

  • 日本サイト

    29サイト

  • 海外サイト

    627サイト

11月に弊社から発信した『Dアラート』情報サマリー

バンキングマルウェア攻撃をブロック

URLアクセスした
弊社お客様1
2018/11/27
11/27ころから発生していたマルウェアEmotetに感染させるメールの受信・
URLアクセスをブロック 
件名:Your Amazon Cyber Monday coupon
    など

不審ファイル名:①cyber_monday_coupon_file.doc
          ②cyber_monday_coupon_nnnnn.doc
          ③cm_coupon_nnnn.doc
          ④cm_coupon_nnnnn.doc
          ⑤Invoice_Unnnnn_file.doc

※太赤字の「n」はランダムな数字が入ります。

不審ファイルハッシュ値:
 ①609aa5c8a3ecabfcb40fe7d67e958537db56c759294e3795d8115243c3cb3c99

感染プロセス
メール受信
↓
メール本文内のURLリンクをクリックし、.docファイルをダウンロード
hxxp://villacitronella[.]com/En/CyberMonday
または
メールに.docファイルが添付
.docファイルを開き、マクロを有効化する
↓
いずれかのURLにアクセス
hxxp://greatvacationgiveaways[.]com/i0Qwfwrn
hxxp://ulukantasarim[.]com/MuRtWv3lI
hxxp://cwbsa[.]org/POdR1eiw
hxxp://www[.]bellaechicc[.]com/HbuY5jle
hxxp://pibuilding[.]com/2pjNZddK
↓
177[.]224[.]87[.]110:443
181[.]193[.]115[.]50
181[.]60[.]228[.]203:8080
186[.]20[.]225[.]65:8080
190[.]191[.]88[.]126
209[.]182[.]216[.]177:443
210[.]2[.]86[.]94:8080
23[.]94[.]123[.]231:443
50[.]74[.]56[.]147:8080
75[.]161[.]71[.]124:990
79[.]129[.]42[.]122:990
81[.]18[.]134[.]18:8080

※弊社で観測したIPアドレスを載せています。環境等により異なる可能性があります。
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。

製品対応状況

▽i-FILTER
hxxp://villacitronella[.]com/En/CyberMonday
 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更
 2018年11月29日[脅威情報サイト](※2)を追加

hxxp://greatvacationgiveaways[.]com/i0Qwfwrn
 2018年10月[旅行・観光]
 2018年11月27日[脅威情報サイト](※2)を追加

hxxp://ulukantasarim[.]com/MuRtWv3lI
 2018年11月27日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加

hxxp://cwbsa[.]org/POdR1eiw
 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為][企業・ビジネス・業界団体]に変更
 2018年11月29日[脅威情報サイト](※2)を追加

hxxp://www[.]bellaechicc[.]com/HbuY5jle
 2018年11月24日[カテゴリ外](※1)→[脅威情報サイト](※2)に変更

hxxp://pibuilding[.]com/2pjNZddK
 2018年11月23日[カテゴリ外](※1)→[脅威情報サイト](※2)に変更

177[.]224[.]87[.]110:443
181[.]193[.]115[.]50
 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更
 2018年11月29日[脅威情報サイト](※2)を追加

181[.]60[.]228[.]203:8080
186[.]20[.]225[.]65:8080
 2018年11月29日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加

190[.]191[.]88[.]126
209[.]182[.]216[.]177:443
 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更
 2018年11月29日[脅威情報サイト](※2)を追加

210[.]2[.]86[.]94:8080
 2018年9月[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更
 2018年11月29日[脅威情報サイト](※2)を追加

23[.]94[.]123[.]231:443
 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更
 2018年11月29日[脅威情報サイト](※2)を追加

50[.]74[.]56[.]147:8080
75[.]161[.]71[.]124:990
79[.]129[.]42[.]122:990
81[.]18[.]134[.]18:8080
 2018年11月29日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
メール受信した
弊社お客様1 URLアクセスした
弊社お客様8
2018/11/27
11/27から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:-
   ※企業や組織等にて実際に利用されたことのあるメールに対して
   返信・転送の形で利用されているため、差し控えさせていただきます。

添付ファイル名:①ATTnnnnn.doc
        ②.doc

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値:
 ①d0d6557a1068b7519c1a7ce837b3e050114d7b6ae81214b205640bfd6252b3f8
 ②25b375699ab3c9af2732c8382837226e93b94b08b2a15bd28fd7c31c3294273c

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://oxaggebrer[.]com/QIC/tewokl.php?l=vunxn.spr
↓
hxxp://tawaxicatu[.]com/images/ランダムな文字列
hxxps://tuffectivo[.]com/images/ランダムな文字列

※太赤字の「n」はランダムな数字が入ります。
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。

製品対応状況
▽m-FILTER
  偽装レベル2以上
  ・添付ファイル偽装判定

▽i-FILTER
hxxp://oxaggebrer[.]com/QIC/tewokl.php?l=vunxn.spr
hxxp://tawaxicatu[.]com/images/ランダムな文字列
hxxps://tuffectivo[.]com/images/ランダムな文字列
 2018年11月27日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
メール受信した
弊社お客様4
2018/11/15
11/14から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:①/発注-181112
   ②【連絡 ※請求書】
   ③支払依頼書

添付ファイル名:①(n)DOC20181114nnn.doc
        ②3D_(n)DOC20181114nnn.doc_

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値:
 ①8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年11月14日部分
-------------

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
マクロ記述の失敗により通信は発生せず


製品対応状況
▽m-FILTER
  偽装レベル3以上
  ・添付ファイル偽装判定
  ・送信元偽装判定
   → 「隔離設定」でブロック可能。
メール受信した
弊社お客様6 URLアクセスした
弊社お客様9
2018/11/07
11/06から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:①請求書
   ②10月5日日付の管理費請求書
   ③別注お支払いの件
   ④ご請求書
   ⑤10月課金請求リスト
   ⑥~請求書11月1日~
   ⑦【再送】30年10月分請求書
   ⑧10月請求書 郵送のご連絡
   ⑨11月請求書連絡
   ⑩立替金報告書の件です。
   ⑪申請書類の提出
   ⑫注文書の件
   ⑬請求データ送付します
   ⑭納品書フォーマットの送付

添付ファイル名:①20181106nnnnn.xls ※件名の①~⑨に対応
        ②Doc0611201820nnnnnnnn.xls ※件名の⑩~⑭に対応

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値:
 ①81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804
 ②4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年11月06日部分
-------------

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://images2[.]imgbox[.]com/90/f1/gat2MVsK_o[.]png
↓
※以降の通信は外部情報と弊社にログ情報から推測
hxxp://olideron[.]com/connmouse
↓
hxxps://pogertan[.]com/
hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe
↓
hxxps://niperola[.]com/
hxxps://bagersim[.]com/

※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。

製品対応状況
▽m-FILTER
  偽装レベル3以上
  ・添付ファイル偽装判定
  ・本文偽装判定
  ・送信元偽装判定
   → 「隔離設定」でブロック可能。

▽i-FILTER
hxxps://images2[.]imgbox[.]com/90/f1/gat2MVsK_o[.]png
 2018年11月06日
  [オンラインストレージ]→[脅威情報サイト](※2)を追加

hxxp://olideron[.]com/connmouse
 2018年11月06日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

---推奨フィルタ―設定で上記URLでブロック---

hxxps://pogertan[.]com/
hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe
 2018年11月06日
  [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

hxxps://niperola[.]com/
 2018年11月06日
  [カテゴリ外](※1)→[脅威情報サイト](※2)に変更
hxxps://bagersim[.]com/
 2018年11月07日
  [カテゴリ外](※1)→[脅威情報サイト](※2)に変更

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ

改竄されたWebサイトへのアクセスをブロック

検知した改竄サイト

670サイト

  • 日本サイト

    63サイト

  • 海外サイト

    607サイト

10月に弊社から発信した『Dアラート』情報サマリー

バンキングマルウェア攻撃をブロック

メール受信した
弊社お客様2 URLアクセスした
弊社お客様12
2018/10/25
10/24から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:①立替金報告書の件です。
   ②申請書類の提出
   ③注文書の件
   ④請求データ送付します
   ⑤納品書フォーマットの送付

添付ファイル名:DOC2410201810nnnnnn.xls

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値:
 ①54303e5aa05db2becbef0978baa60775858899b17a5d372365ba3c5b1220fd2e
 ②b7a6ebfb32c76763473cf2d59a6cec856fe34c14bd47362e7fdf05bc8aa6a65c
 ③f8b3ebde86931a45ffe0e187704aee1968a023d2539c5ab622c7073d70a8fba6

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年10月24日部分
-------------

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
「hxxps://images2.imgbox[.]com/ca/88/A2ZSlW6S_o.png」
↓
※以降の通信は外部情報と弊社にログ情報から推測
「hxxp://pigertime[.]com/mksettting」
↓
「hxxps://oaril[.]com/」
「hxxp://lersow[.]com/images/beckky[.]exe」
↓「hxxps://purbs[.]com/」

※他上記以外に利用されたとされる通信URL
hxxp://lersow[.]com/images/calcs[.]exe
hxxp://akvilhelmova[.]cz/images/stories/fruit/history_c[.]exe
hxxp://socco[.]nl/galleries/html600lightscapes/datet[.]exe
hxxps://makarcheck[.]com/

※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。

製品対応状況
▽m-FILTER
  偽装レベル3以上
  ・添付ファイル偽装判定
  ・本文偽装判定
  ・送信元偽装判定
    → 「隔離設定」でブロック可能。

▽i-FILTER
hxxps://images2.imgbox[.]com/ca/88/A2ZSlW6S_o.png
 2018年10月24日
  [オンラインストレージ]→[脅威情報サイト](※2)を追加

hxxp://pigertime[.]com/mksettting
 2018年10月24日
  [カテゴリ外](※1)→[違法ソフト・反社会行為]に変更
 2018年10月25日
  [脅威情報サイト](※2)を追加。

---推奨フィルタ―設定で上記URLでブロック---

hxxps://oaril[.]com/
 2018年10月24日
  [カテゴリ外](※1)→[違法ソフト・反社会行為]に変更
 2018年10月25日
  [脅威情報サイト](※2)を追加。
hxxp://lersow[.]com/images/beckky[.]exe
 2018年10月25日
  [カテゴリ外](※1)→[IT情報・サービス]に変更
 2018年10月26日
  [違法ソフト・反社会行為]を追加
 2018年10月26日
  [脅威情報サイト]を追加(※2)

hxxps://purbs[.]com/
 2018年10月25日
  [カテゴリ外](※1)→[違法ソフト・反社会行為]に変更
  [脅威情報サイト]を追加(※2)

hxxp://lersow[.]com/images/calcs[.]exe
 2018年10月25日
  [カテゴリ外](※1)→[IT情報・サービス]に変更
 2018年10月26日
  [違法ソフト・反社会行為]を追加
 2018年10月26日
  [脅威情報サイト]を追加(※2)
hxxp://akvilhelmova[.]cz/images/stories/fruit/history_c[.]exe
 2018年10月26日
  [カテゴリ外](※1)→[IT情報・サービス][違法ソフト・反社会行為]に変更
 2018年10月29日
  [脅威情報サイト]を追加(※2)
hxxp://socco[.]nl/galleries/html600lightscapes/datet[.]exe
 2018年08月06日
  [脅威情報サイト](※2)登録
hxxps://makarcheck[.]com/
 2018年10月25日
  [カテゴリ外](※1)→[違法ソフト・反社会行為]に変更
  [脅威情報サイト]を追加(※2)

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
メール受信した
弊社お客様2
2018/10/31
10/30から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック 
件名:① 2018年10月度 御請求書
   ② 再)ご請求書~
   ③ 10月請求書の件
   ④ RE: 10月分WO
   ⑤ 預かり金依頼書の送付(追い金)
   ⑥ 請求書送信のご連絡
   ⑦ 【請求書、見積書送付】30/10-11

添付ファイル名:① nnn 請求書(2018年10月).xls
        ② 20181030nnnn.xls
        ③ 3D_20181030nnnn.xls_

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値:
 ①f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371
 ②cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年10月30日部分
-------------

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
マクロ記述の失敗により通信は発生せず


製品対応状況
 ▽m-FILTER
  偽装レベル3以上
  ・添付ファイル偽装判定
  ・本文偽装判定
  ・送信元偽装判定
   → 「隔離設定」でブロック可能。

改竄されたWebサイトへのアクセスをブロック

検知した改竄サイト

629サイト

  • 日本サイト

    45サイト

  • 海外サイト

    584サイト

9月に弊社から発信した『Dアラート』情報サマリー

不正URLへのアクセス

0アクセス
9月は弊社のお客様での不正URLへのアクセス数は0でした。

改竄されたWebサイトへのアクセスをブロック

検知した改竄サイト

477サイト

  • 日本サイト

    13サイト

  • 海外サイト

    464サイト

8月に弊社から発信した『Dアラート』情報サマリー

不正URLへのアクセスをブロック

弊社お客様24
2018/8/07
8/06から発生していた「.iqy」スパムメールに仕込まれていたバンキングマルウェアが 通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年8月6日部分
弊社お客様8
2018/8/08
8/06から発生していた「.iqy」スパムメールに仕込まれていたバンキングマルウェアが 通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】8月6日部分
弊社お客様8
2018/8/09
8/06から発生していた「.iqy」スパムメールに仕込まれていたバンキングマルウェアが 通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】8月6日部分
弊社お客様3
2018/8/10
8/06から発生していた「.iqy」スパムメールに仕込まれていたバンキングマルウェアが 通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年8月6日部分
弊社お客様2
2018/8/14
仮想通貨マイニングマルウェアが通信した悪性のURLへのアクセスをブロック

改竄されたWebサイトへのアクセスをブロック

検知した改竄サイト

1227サイト

  • 日本サイト

    17サイト

  • 海外サイト

    1210サイト

7月に弊社から発信した『Dアラート』情報サマリー

不正URLへのアクセスをブロック

弊社お客様5
2018/7/02
7/02から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年7月2日部分
弊社お客様3
2018/7/03
7/03から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年7月3日部分
弊社お客様1
2018/7/10
7/10から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年7月10日部分
弊社お客様5
2018/7/19
7/18から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年7月18日部分

改竄されたWebサイトへのアクセスをブロック

検知した改竄サイト

449サイト

  • 日本サイト

    6サイト

  • 海外サイト

    443サイト

6月に弊社から発信した『Dアラート』情報サマリー

不正URLへのアクセスをブロック

弊社お客様6
2018/6/05
6/05から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月5日部分
弊社お客様8
2018/6/12
6/12から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月12日部分
弊社お客様3
2018/6/25
6/25から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月25日部分
弊社お客様1
2018/6/26
6月中旬から6/26から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月26日部分
弊社お客様1
2018/6/27
6/12から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月12日部分
弊社お客様2
2018/6/28
6/28から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月28日部分

改竄されたWebサイトへのアクセスをブロック

検知した改竄サイト

225サイト

  • 日本サイト

    6サイト

  • 海外サイト

    219サイト

5月に弊社から発信した『Dアラート』情報サマリー

不正URLへのアクセスをブロック

弊社お客様2
2018/5/01
4/24から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年4月24日部分
弊社お客様2
2018/5/08
5/08から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年5月8日部分
弊社お客様3
2018/5/14
5/14から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年5月14日部分
弊社お客様1
2018/5/22
5/22から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年5月22日部分
弊社お客様2
2018/5/30
5/30から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年5月30日部分

改竄されたWebサイトへのアクセスをブロック

検知した改竄サイト

643サイト

  • 日本サイト

    16サイト

  • 海外サイト

    627サイト

<関連リンク>

「実録インシデント」では、実際に起きたサイバー攻撃の手法と弊社製品がどのようにしてそれらの攻撃をブロックしたのか、詳しい経緯をご紹介しております。

8月上旬に日本国内に拡散された「.iqy」スパムメールは、普段のスパムメールの10倍以上も拡散されました。
弊社では、オンラインセミナーを実施し、今回のスパムメールが「i-FILTER」・「m-FILTER」でなぜブロックできていたのか、第二の類似のスパムメールが拡散された場合に被害にあわないためにどんな対策をしておけば良いのかをご紹介しております。

『Dアラート』通知が届き、マルウェア感染(の可能性)がある際の対処手順を、
NISTが定義する「インシデントレスポンス」の4つのステップに則ってご紹介します。

【インシデントレスポンス】「i-FILTER」「m-FILTER」での対処方法 ~これからのセキュリティ対策「インシデントレスポンス」をわかりやすく解説~

資料請求やご購入・お見積りなどに関するお問い合わせは、こちらの窓口をご利用ください。

ご購入前のお客様

●お電話でのお問い合わせ
03-5220-3090
平日9:00~18:00(土・日・祝日、弊社指定休業日を除く)
●オンラインフォームでのお問い合わせ
お問い合わせ・資料請求

ご購入後のお客様

●オンラインフォームでのお問い合わせ
お問い合わせ・資料請求

イベント・セミナー情報

セキュリティ全般
Exchangeカンファレンス2019
福岡会場:2019年05月21日(火)
大阪会場:2019年05月24日(金)
東京会場:2019年05月28日(火)
セキュリティ全般
サイオステクノロジー×ヒートウェーブ×デジタルアーツ共催セミナー
~「やってはイケナイ」をやってみよう~
2019年05月30日(木)
セキュリティ全般
炎上してからでは遅い!
SNSリスクマネジメントの実態と対策
2019年06月11日(火)