Dアラート情報
- 12月
- 11月
- 10月
- 09月
- 08月
- 07月
- 06月
- 05月
12月に弊社から発信した『Dアラート』情報サマリー
バンキングマルウェア攻撃をブロック
-
メール受信した
弊社お客様14社 URLアクセスした
弊社お客様3社 -
2018/12/27
12/27から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:Re: ヴィスト修正 添付ファイル名:原価請求書ですnnnnnn.doc ※太赤字の「n」はランダムな数字が入ります。 添付ファイルハッシュ値: ①3a2e9a8399595c2e821725e2eb0a95d6ea8ccf4863f49f72b8ecbdc12c4119a9 ②c45f22040ee62f7bdd33083152bef6d3a85ef4c025aac4e658f5c1d8bdb4d466 ※上記のほか、異なるHASH値のファイルが多数存在しております。 ------------- ※本件に関する追加情報等 一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月27日部分 ------------- 感染プロセス メール受信 ↓ 添付ファイルを開き、マクロを有効化する ↓ hxxp://free[.]diegoalex[.]com/3289fkjsdfyu3[.]bin ↓ hxxp://thatconditions[.]online/ ※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。 製品対応状況 ▽m-FILTER 偽装レベル5以上 ・添付ファイル偽装判定 ・送信元偽装判定 →「隔離設定」でブロック可能 ▽i-FILTER hxxp://free[.]diegoalex[.]com/3289fkjsdfyu3[.]bin hxxp://thatconditions[.]online/ 2018年12月27日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 (※1)「推奨フィルタ―設定」でブロック可能 (※2)i-FILTER Ver.10のみ
-
メール受信した
弊社お客様12社 URLアクセスした
弊社お客様1社 -
2018/12/25
12/25から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:12月、原価請求書です。 添付ファイル名:原価請求書ですnnnnnn.doc ※太赤字の「n」はランダムな数字が入ります。 添付ファイルハッシュ値: ①0d94117b669e9c102ecf754173c3fbf6ce19445d17eacf2882b323fb465b67be ②75ecc5845bec21b1fdf98680de180e0fc227d312f58c02dec7cc52c8ceaab1d7 ※上記のほか、異なるHASH値のファイルが多数存在しております。 ------------- ※本件に関する追加情報等 一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月25日部分 ------------- 感染プロセス メール受信 ↓ 添付ファイルを開き、マクロを有効化する ↓ hxxp://emotion[.]bethlapierre[.]com/8923rfj[.]bin ↓ hxxp://185[.]82[.]216[.]62/images/1[.]png hxxp://theanyexppatent[.]online/images/ランダムな文字列 ※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。 製品対応状況 ▽m-FILTER 偽装レベル4以上 ・添付ファイル偽装判定 ・本文偽装判定 ・送信元偽装判定 →「隔離設定」でブロック可能 ▽i-FILTER hxxp://emotion[.]bethlapierre[.]com/8923rfj[.]bin 2018年12月25日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 hxxp://185[.]82[.]216[.]62/images/1[.]png 2018年12月25日 [違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加 hxxp://theanyexppatent[.]online/images/ランダムな文字列 2018年12月25日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 (※1)「推奨フィルタ―設定」でブロック可能 (※2)i-FILTER Ver.10のみ
-
メール受信した
弊社お客様18社 URLアクセスした
弊社お客様2社 -
2018/12/18
12/18から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:①(※1) 立替金報告書の件です。 ②(※1) 申請書類の提出 ③(※1) 注文書の件 ④(※1) 請求データ送付します ⑤(※1) 納品書フォーマットの送付 (※1) 次の5種類のいずれかの記号になります。 ① ∗ ② - ③ _ ④ | ⑤ ~ 添付ファイル名:①D O C 18122018nnnnn.XLS ②3D"D O C 18122018nnnnn.XLS" ※太赤字の「n」はランダムな数字が入ります。 添付ファイルハッシュ値: ①fa5eb74adc22749ffd113ceaa71d23a693af55e605bea1354dc7d352303e9bff ------------- ※本件に関する追加情報等 一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月18日部分 ------------- 感染プロセス メール受信 ↓ 添付ファイルを開き、マクロを有効化。 次のいずれかのストレージサービスにアップされた画像のURLにアクセス ↓ hxxps://images2[.]imgbox[.]com/4a/4f/BlSALZQZ_o[.]png hxxps://i[.]imgur[.]com/o7h7NeV[.]png hxxps://image[.]frl/i/g5lw84pmkrsqdk0z[.]png hxxps://i[.]postimg[.]cc/RSvh2V9v/R3[.]png?dl=1 ↓ ※以降の通信は外部情報と弊社ログ情報から推測 ↓ さらに次のいずれかのストレージサービスにアップされた画像のURLにアクセス hxxps://images2[.]imgbox[.]com/パス文字列 hxxps://i[.]imgur[.]com/パス文字列 hxxps://image[.]frl/パス文字列 hxxps://i[.]postimg[.]cc/パス文字列 ↓ hxxps://cabertun[.]com/ hxxp://cabertun[.]com/uploads/lcopriasqpdf31[.]tif ※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。 製品対応状況 ▽m-FILTER 偽装レベル4以上 ・添付ファイル偽装判定 ・本文偽装判定 ・送信元偽装判定 →「隔離設定」でブロック可能 ▽i-FILTER hxxps://images2[.]imgbox[.]com/4a/4f/BlSALZQZ_o[.]png 2018年12月18日 [オンラインストレージ]→[脅威情報サイト](※2)を追加 hxxps://i[.]imgur[.]com/o7h7NeV[.]png 2018年12月20日 [アップローダー]→[脅威情報サイト](※2)を追加 hxxps://image[.]frl/i/g5lw84pmkrsqdk0z[.]png 2018年12月20日 [オンラインストレージ]→[脅威情報サイト](※2)を追加 hxxps://i[.]postimg[.]cc/RSvh2V9v/R3[.]png?dl=1 2018年12月20日 [IT情報・サービス]→[脅威情報サイト](※2)を追加 hxxps://cabertun[.]com/ hxxp://cabertun[.]com/uploads/lcopriasqpdf31[.]tif 2018年12月19日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 (※1)「推奨フィルタ―設定」でブロック可能 (※2)i-FILTER Ver.10のみ
-
メール受信した
弊社お客様17社 URLアクセスした
弊社お客様24社 -
2018/12/13
12/13から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:【楽天市場】注文内容ご確認(自動配信メール) メール記載のURLリンク: 195[.]123[.]233[.]150に解決するURL ※以下を弊社確認済み。該当メールにはこのうちいずれかのURLあり。 ①hxxp://michelefarina563[.]isplevel[.]pro/ ②下記ドメインを持つ、サブドメインでのURL *.althusdgc[.]com *.gobtl[.]pe *.anchorartists[.]com *.kiraneproject[.]com *.ffoc[.]net *.joshshadid[.]com *.cncntrte[.]com *.themodernvillas[.]com *.shadidphotography[.]com ※それぞれ*部分には、複数種類の文字列が入ります。 URL例 hxxp://supportapple[.]gobtl[.]pe/ hxxp://uyj[.]anchorartists[.]com/ メール記載のURLからダウンロードされるファイル名: 注文内容ご確認.zip (※zip内には「注文内容ご確認.lnk」のほか、いくつかのファイルが含まれます) ファイルのHASH値(lnkファイル): ①7e7bee88bdd25ab9cc402e8a14ee08615618c55c977993646c89ffd95bc90815 ------------- ※本件に関する追加情報等 一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月13日部分 ------------- 感染プロセス メール受信 ↓ メール本文内のURLリンクをクリック ↓ zipファイルがダウンロードされる ↓ zipファイルを展開し、展開されたlnkファイルを実行することで以下URLにアクセス ↓ hxxp://ktr[.]kiraneproject[.]com/pohaq/info[.]ps1 hxxp://ktr[.]kiraneproject[.]com/pohaq/fit[.]txt ※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。 製品対応状況 ▽m-FILTER 偽装レベル5 ・本文偽装判定 ・送信元偽装判定 → 「隔離設定」でブロック可能。 ▽i-FILTER hxxp://michelefarina563[.]isplevel[.]pro/ *.althusdgc[.]com *.gobtl[.]pe *.anchorartists[.]com *.kiraneproject[.]com *.ffoc[.]net hxxp://ktr[.]kiraneproject[.]com/pohaq/info[.]ps1 hxxp://ktr[.]kiraneproject[.]com/pohaq/fit[.]txt 2018年12月13日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 *.joshshadid[.]com *.cncntrte[.]com *.themodernvillas[.]com *.shadidphotography[.]com 2018年12月11日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 (※1)「推奨フィルタ―設定」でブロック可能 (※2)i-FILTER Ver.10のみ
-
メール受信した
弊社お客様17社 URLアクセスした
弊社お客様38社 -
2018/12/11
12/11から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:【楽天市場】注文内容ご確認(自動配信メール) メール記載のURLリンク: 195[.]123[.]217[.]77に解決するURL ※以下を弊社確認済み。該当メールにはこのうちいずれかのURLあり。 ①hxxp://paoloriva666[.]isplevel[.]pro/ ②下記ドメインを持つ、サブドメインでのURL *.astronautgreen[.]com *.astronauthigh[.]com *.burningwithsharon[.]com *.cncntrte[.]com *.dancharlebois[.]com *.dixieversity[.]com *.dixieversity[.]net *.dreamtimetorealtime[.]com *.ghostzero[.]la *.ghostzero[.]tv *.ghostzerofilms[.]com *.joshshadid[.]com *.joshuashadid[.]com *.katierefling[.]com *.shadidphotography[.]com *.summerfamily[.]com *.sxkoparty[.]com *.themodernvillas[.]com ※それぞれ*部分には、複数種類の文字列が入ります。 URL例 hxxp://efb[.]astronauthigh[.]com/ hxxp://applesupport[.]joshshadid[.]com/ メール記載のURLからダウンロードされるファイル名: 注文内容ご確認.zip(※zip内にjsファイルあり) または 注文内容ご確認.PDF.js ファイルのHASH値(.jsファイル): ①e828d07247267fca9d80000fa29cba7d7d7d29e0aaad1cb9c70455825de2ad7c ②a606892ad38faa5c4f3810dd52a5282a873cbe8a0993a8530e28ea1065b1a584 ------------- ※本件に関する追加情報等 一般財団法人日本サイバー犯罪対策センター【送信日】2018年12月11日部分 ------------- 感染プロセス メール受信 ↓ メール本文内のURLリンクをクリック ↓ zip(zip内にjs)またはjsファイル、がダウンロードされる ↓ jsファイルを開いて実行、以下URLにアクセス ↓ hxxp://fgyt[.]shadidphotography[.]com/789234[.]bin?jBVtX または hxxp://fgyt[.]shadidphotography[.]com/789234[.]bin?XShpsm ※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。 製品対応状況 ▽m-FILTER 偽装レベル5 ・本文偽装判定 ・送信元偽装判定 → 「隔離設定」でブロック可能。 ▽i-FILTER hxxp://paoloriva666[.]isplevel[.]pro/ *.astronautgreen[.]com *.astronauthigh[.]com *.burningwithsharon[.]com *.cncntrte[.]com *.dancharlebois[.]com *.dixieversity[.]com *.dixieversity[.]net *.dreamtimetorealtime[.]com *.ghostzero[.]la *.ghostzero[.]tv *.ghostzerofilms[.]com *.joshshadid[.]com *.joshuashadid[.]com *.katierefling[.]com *.shadidphotography[.]com *.summerfamily[.]com *.sxkoparty[.]com *.themodernvillas[.]com hxxp://fgyt[.]shadidphotography[.]com/789234[.]bin?jBVtX hxxp://fgyt[.]shadidphotography[.]com/789234[.]bin?XShpsm 2018年12月11日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 (※1)「推奨フィルタ―設定」でブロック可能 (※2)i-FILTER Ver.10のみ
改ざんされたWebサイトへのアクセスをブロック
-
検知した改ざんサイト
656サイト
-
-
日本サイト
29サイト
-
海外サイト
627サイト
-
11月に弊社から発信した『Dアラート』情報サマリー
バンキングマルウェア攻撃をブロック
-
URLアクセスした
弊社お客様1社 -
2018/11/27
11/27ころから発生していたマルウェアEmotetに感染させるメールの受信・
URLアクセスをブロック
件名:Your Amazon Cyber Monday coupon など 不審ファイル名:①cyber_monday_coupon_file.doc ②cyber_monday_coupon_nnnnn.doc ③cm_coupon_nnnn.doc ④cm_coupon_nnnnn.doc ⑤Invoice_Unnnnn_file.doc ※太赤字の「n」はランダムな数字が入ります。 不審ファイルハッシュ値: ①609aa5c8a3ecabfcb40fe7d67e958537db56c759294e3795d8115243c3cb3c99 感染プロセス メール受信 ↓ メール本文内のURLリンクをクリックし、.docファイルをダウンロード hxxp://villacitronella[.]com/En/CyberMonday または メールに.docファイルが添付 .docファイルを開き、マクロを有効化する ↓ いずれかのURLにアクセス hxxp://greatvacationgiveaways[.]com/i0Qwfwrn hxxp://ulukantasarim[.]com/MuRtWv3lI hxxp://cwbsa[.]org/POdR1eiw hxxp://www[.]bellaechicc[.]com/HbuY5jle hxxp://pibuilding[.]com/2pjNZddK ↓ 177[.]224[.]87[.]110:443 181[.]193[.]115[.]50 181[.]60[.]228[.]203:8080 186[.]20[.]225[.]65:8080 190[.]191[.]88[.]126 209[.]182[.]216[.]177:443 210[.]2[.]86[.]94:8080 23[.]94[.]123[.]231:443 50[.]74[.]56[.]147:8080 75[.]161[.]71[.]124:990 79[.]129[.]42[.]122:990 81[.]18[.]134[.]18:8080 ※弊社で観測したIPアドレスを載せています。環境等により異なる可能性があります。 ※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。 製品対応状況 ▽i-FILTER hxxp://villacitronella[.]com/En/CyberMonday 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更 2018年11月29日[脅威情報サイト](※2)を追加 hxxp://greatvacationgiveaways[.]com/i0Qwfwrn 2018年10月[旅行・観光] 2018年11月27日[脅威情報サイト](※2)を追加 hxxp://ulukantasarim[.]com/MuRtWv3lI 2018年11月27日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加 hxxp://cwbsa[.]org/POdR1eiw 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為][企業・ビジネス・業界団体]に変更 2018年11月29日[脅威情報サイト](※2)を追加 hxxp://www[.]bellaechicc[.]com/HbuY5jle 2018年11月24日[カテゴリ外](※1)→[脅威情報サイト](※2)に変更 hxxp://pibuilding[.]com/2pjNZddK 2018年11月23日[カテゴリ外](※1)→[脅威情報サイト](※2)に変更 177[.]224[.]87[.]110:443 181[.]193[.]115[.]50 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更 2018年11月29日[脅威情報サイト](※2)を追加 181[.]60[.]228[.]203:8080 186[.]20[.]225[.]65:8080 2018年11月29日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加 190[.]191[.]88[.]126 209[.]182[.]216[.]177:443 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更 2018年11月29日[脅威情報サイト](※2)を追加 210[.]2[.]86[.]94:8080 2018年9月[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更 2018年11月29日[脅威情報サイト](※2)を追加 23[.]94[.]123[.]231:443 2018年11月27日[カテゴリ外](※1)→[違法ソフト・反社会行為]に変更 2018年11月29日[脅威情報サイト](※2)を追加 50[.]74[.]56[.]147:8080 75[.]161[.]71[.]124:990 79[.]129[.]42[.]122:990 81[.]18[.]134[.]18:8080 2018年11月29日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加 (※1)「推奨フィルタ―設定」でブロック可能 (※2)i-FILTER Ver.10のみ
-
メール受信した
弊社お客様1社 URLアクセスした
弊社お客様8社 -
2018/11/27
11/27から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:- ※企業や組織等にて実際に利用されたことのあるメールに対して 返信・転送の形で利用されているため、差し控えさせていただきます。 添付ファイル名:①ATTnnnnn.doc ②.doc ※太赤字の「n」はランダムな数字が入ります。 添付ファイルハッシュ値: ①d0d6557a1068b7519c1a7ce837b3e050114d7b6ae81214b205640bfd6252b3f8 ②25b375699ab3c9af2732c8382837226e93b94b08b2a15bd28fd7c31c3294273c 感染プロセス メール受信 ↓ 添付ファイルを開き、マクロを有効化する ↓ hxxp://oxaggebrer[.]com/QIC/tewokl.php?l=vunxn.spr ↓ hxxp://tawaxicatu[.]com/images/ランダムな文字列 hxxps://tuffectivo[.]com/images/ランダムな文字列 ※太赤字の「n」はランダムな数字が入ります。 ※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。 製品対応状況 ▽m-FILTER 偽装レベル2以上 ・添付ファイル偽装判定 ▽i-FILTER hxxp://oxaggebrer[.]com/QIC/tewokl.php?l=vunxn.spr hxxp://tawaxicatu[.]com/images/ランダムな文字列 hxxps://tuffectivo[.]com/images/ランダムな文字列 2018年11月27日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 (※1)「推奨フィルタ―設定」でブロック可能 (※2)i-FILTER Ver.10のみ
- メール受信した
弊社お客様4社 -
2018/11/15
11/14から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:①/発注-181112 ②【連絡 ※請求書】 ③支払依頼書 添付ファイル名:①(n)DOC20181114nnn.doc ②3D_(n)DOC20181114nnn.doc_ ※太赤字の「n」はランダムな数字が入ります。 添付ファイルハッシュ値: ①8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9 ------------- ※本件に関する追加情報等 一般財団法人日本サイバー犯罪対策センター【送信日】2018年11月14日部分 ------------- 感染プロセス メール受信 ↓ 添付ファイルを開き、マクロを有効化する ↓ マクロ記述の失敗により通信は発生せず 製品対応状況 ▽m-FILTER 偽装レベル3以上 ・添付ファイル偽装判定 ・送信元偽装判定 → 「隔離設定」でブロック可能。
-
メール受信した
弊社お客様6社 URLアクセスした
弊社お客様9社 -
2018/11/07
11/06から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:①請求書 ②10月5日日付の管理費請求書 ③別注お支払いの件 ④ご請求書 ⑤10月課金請求リスト ⑥~請求書11月1日~ ⑦【再送】30年10月分請求書 ⑧10月請求書 郵送のご連絡 ⑨11月請求書連絡 ⑩立替金報告書の件です。 ⑪申請書類の提出 ⑫注文書の件 ⑬請求データ送付します ⑭納品書フォーマットの送付 添付ファイル名:①20181106nnnnn.xls ※件名の①~⑨に対応 ②Doc0611201820nnnnnnnn.xls ※件名の⑩~⑭に対応 ※太赤字の「n」はランダムな数字が入ります。 添付ファイルハッシュ値: ①81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804 ②4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab ------------- ※本件に関する追加情報等 一般財団法人日本サイバー犯罪対策センター【送信日】2018年11月06日部分 ------------- 感染プロセス メール受信 ↓ 添付ファイルを開き、マクロを有効化する ↓ hxxps://images2[.]imgbox[.]com/90/f1/gat2MVsK_o[.]png ↓ ※以降の通信は外部情報と弊社にログ情報から推測 hxxp://olideron[.]com/connmouse ↓ hxxps://pogertan[.]com/ hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe ↓ hxxps://niperola[.]com/ hxxps://bagersim[.]com/ ※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。 製品対応状況 ▽m-FILTER 偽装レベル3以上 ・添付ファイル偽装判定 ・本文偽装判定 ・送信元偽装判定 → 「隔離設定」でブロック可能。 ▽i-FILTER hxxps://images2[.]imgbox[.]com/90/f1/gat2MVsK_o[.]png 2018年11月06日 [オンラインストレージ]→[脅威情報サイト](※2)を追加 hxxp://olideron[.]com/connmouse 2018年11月06日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 ---推奨フィルタ―設定で上記URLでブロック--- hxxps://pogertan[.]com/ hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe 2018年11月06日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加 hxxps://niperola[.]com/ 2018年11月06日 [カテゴリ外](※1)→[脅威情報サイト](※2)に変更 hxxps://bagersim[.]com/ 2018年11月07日 [カテゴリ外](※1)→[脅威情報サイト](※2)に変更 (※1)「推奨フィルタ―設定」でブロック可能 (※2)i-FILTER Ver.10のみ
改ざんされたWebサイトへのアクセスをブロック
-
検知した改ざんサイト
670サイト
-
-
日本サイト
63サイト
-
海外サイト
607サイト
-
10月に弊社から発信した『Dアラート』情報サマリー
バンキングマルウェア攻撃をブロック
- メール受信した
弊社お客様2社 URLアクセスした
弊社お客様12社 -
2018/10/25
10/24から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:①立替金報告書の件です。 ②申請書類の提出 ③注文書の件 ④請求データ送付します ⑤納品書フォーマットの送付 添付ファイル名:DOC2410201810nnnnnn.xls ※太赤字の「n」はランダムな数字が入ります。 添付ファイルハッシュ値: ①54303e5aa05db2becbef0978baa60775858899b17a5d372365ba3c5b1220fd2e ②b7a6ebfb32c76763473cf2d59a6cec856fe34c14bd47362e7fdf05bc8aa6a65c ③f8b3ebde86931a45ffe0e187704aee1968a023d2539c5ab622c7073d70a8fba6 ------------- ※本件に関する追加情報等 一般財団法人日本サイバー犯罪対策センター【送信日】2018年10月24日部分 ------------- 感染プロセス メール受信 ↓ 添付ファイルを開き、マクロを有効化する ↓ 「hxxps://images2.imgbox[.]com/ca/88/A2ZSlW6S_o.png」 ↓ ※以降の通信は外部情報と弊社にログ情報から推測 「hxxp://pigertime[.]com/mksettting」 ↓ 「hxxps://oaril[.]com/」 「hxxp://lersow[.]com/images/beckky[.]exe」 ↓「hxxps://purbs[.]com/」 ※他上記以外に利用されたとされる通信URL hxxp://lersow[.]com/images/calcs[.]exe hxxp://akvilhelmova[.]cz/images/stories/fruit/history_c[.]exe hxxp://socco[.]nl/galleries/html600lightscapes/datet[.]exe hxxps://makarcheck[.]com/ ※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。 製品対応状況 ▽m-FILTER 偽装レベル3以上 ・添付ファイル偽装判定 ・本文偽装判定 ・送信元偽装判定 → 「隔離設定」でブロック可能。 ▽i-FILTER hxxps://images2.imgbox[.]com/ca/88/A2ZSlW6S_o.png 2018年10月24日 [オンラインストレージ]→[脅威情報サイト](※2)を追加 hxxp://pigertime[.]com/mksettting 2018年10月24日 [カテゴリ外](※1)→[違法ソフト・反社会行為]に変更 2018年10月25日 [脅威情報サイト](※2)を追加。 ---推奨フィルタ―設定で上記URLでブロック--- hxxps://oaril[.]com/ 2018年10月24日 [カテゴリ外](※1)→[違法ソフト・反社会行為]に変更 2018年10月25日 [脅威情報サイト](※2)を追加。 hxxp://lersow[.]com/images/beckky[.]exe 2018年10月25日 [カテゴリ外](※1)→[IT情報・サービス]に変更 2018年10月26日 [違法ソフト・反社会行為]を追加 2018年10月26日 [脅威情報サイト]を追加(※2) hxxps://purbs[.]com/ 2018年10月25日 [カテゴリ外](※1)→[違法ソフト・反社会行為]に変更 [脅威情報サイト]を追加(※2) hxxp://lersow[.]com/images/calcs[.]exe 2018年10月25日 [カテゴリ外](※1)→[IT情報・サービス]に変更 2018年10月26日 [違法ソフト・反社会行為]を追加 2018年10月26日 [脅威情報サイト]を追加(※2) hxxp://akvilhelmova[.]cz/images/stories/fruit/history_c[.]exe 2018年10月26日 [カテゴリ外](※1)→[IT情報・サービス][違法ソフト・反社会行為]に変更 2018年10月29日 [脅威情報サイト]を追加(※2) hxxp://socco[.]nl/galleries/html600lightscapes/datet[.]exe 2018年08月06日 [脅威情報サイト](※2)登録 hxxps://makarcheck[.]com/ 2018年10月25日 [カテゴリ外](※1)→[違法ソフト・反社会行為]に変更 [脅威情報サイト]を追加(※2) (※1)「推奨フィルタ―設定」でブロック可能 (※2)i-FILTER Ver.10のみ
- メール受信した
弊社お客様2社 -
2018/10/31
10/30から発生していたバンキングマルウェアに感染させるメールの受信・
URLアクセスをブロック
件名:① 2018年10月度 御請求書 ② 再)ご請求書~ ③ 10月請求書の件 ④ RE: 10月分WO ⑤ 預かり金依頼書の送付(追い金) ⑥ 請求書送信のご連絡 ⑦ 【請求書、見積書送付】30/10-11 添付ファイル名:① nnn 請求書(2018年10月).xls ② 20181030nnnn.xls ③ 3D_20181030nnnn.xls_ ※太赤字の「n」はランダムな数字が入ります。 添付ファイルハッシュ値: ①f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371 ②cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3 ------------- ※本件に関する追加情報等 一般財団法人日本サイバー犯罪対策センター【送信日】2018年10月30日部分 ------------- 感染プロセス メール受信 ↓ 添付ファイルを開き、マクロを有効化する ↓ マクロ記述の失敗により通信は発生せず 製品対応状況 ▽m-FILTER 偽装レベル3以上 ・添付ファイル偽装判定 ・本文偽装判定 ・送信元偽装判定 → 「隔離設定」でブロック可能。
改ざんされたWebサイトへのアクセスをブロック
-
検知した改ざんサイト
629サイト
-
-
日本サイト
45サイト
-
海外サイト
584サイト
-
9月に弊社から発信した『Dアラート』情報サマリー
不正URLへのアクセス
- 0アクセス
- 9月は弊社のお客様での不正URLへのアクセス数は0でした。
改ざんされたWebサイトへのアクセスをブロック
-
検知した改ざんサイト
477サイト
-
-
日本サイト
13サイト
-
海外サイト
464サイト
-
8月に弊社から発信した『Dアラート』情報サマリー
不正URLへのアクセスをブロック
- 弊社お客様24社
-
2018/8/07
8/06から発生していた「.iqy」スパムメールに仕込まれていたバンキングマルウェアが 通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年8月6日部分
- 弊社お客様8社
-
2018/8/08
8/06から発生していた「.iqy」スパムメールに仕込まれていたバンキングマルウェアが 通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】8月6日部分
- 弊社お客様8社
-
2018/8/09
8/06から発生していた「.iqy」スパムメールに仕込まれていたバンキングマルウェアが 通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】8月6日部分
- 弊社お客様3社
-
2018/8/10
8/06から発生していた「.iqy」スパムメールに仕込まれていたバンキングマルウェアが 通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年8月6日部分
- 弊社お客様2社
-
2018/8/14
仮想通貨マイニングマルウェアが通信した悪性のURLへのアクセスをブロック
改ざんされたWebサイトへのアクセスをブロック
-
検知した改ざんサイト
1227サイト
-
-
日本サイト
17サイト
-
海外サイト
1210サイト
-
7月に弊社から発信した『Dアラート』情報サマリー
不正URLへのアクセスをブロック
- 弊社お客様5社
-
2018/7/02
7/02から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年7月2日部分
- 弊社お客様3社
-
2018/7/03
7/03から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年7月3日部分
- 弊社お客様1社
-
2018/7/10
7/10から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年7月10日部分
- 弊社お客様5社
-
2018/7/19
7/18から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年7月18日部分
改ざんされたWebサイトへのアクセスをブロック
-
検知した改ざんサイト
449サイト
-
-
日本サイト
6サイト
-
海外サイト
443サイト
-
6月に弊社から発信した『Dアラート』情報サマリー
不正URLへのアクセスをブロック
- 弊社お客様6社
-
2018/6/05
6/05から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月5日部分
- 弊社お客様8社
-
2018/6/12
6/12から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月12日部分
- 弊社お客様3社
-
2018/6/25
6/25から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月25日部分
- 弊社お客様1社
-
2018/6/26
6月中旬から6/26から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月26日部分
- 弊社お客様1社
-
2018/6/27
6/12から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月12日部分
- 弊社お客様2社
-
2018/6/28
6/28から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年6月28日部分
改ざんされたWebサイトへのアクセスをブロック
-
検知した改ざんサイト
225サイト
-
-
日本サイト
6サイト
-
海外サイト
219サイト
-
5月に弊社から発信した『Dアラート』情報サマリー
不正URLへのアクセスをブロック
- 弊社お客様2社
-
2018/5/01
4/24から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年4月24日部分
- 弊社お客様2社
-
2018/5/08
5/08から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年5月8日部分
- 弊社お客様3社
-
2018/5/14
5/14から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年5月14日部分
- 弊社お客様1社
-
2018/5/22
5/22から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年5月22日部分
- 弊社お客様2社
-
2018/5/30
5/30から発生していたスパムメールに仕込まれていたバンキングマルウェアが通信した悪性のURLへのアクセスをブロック
※本件に関するメールの、件名本文等
一般財団法人日本サイバー犯罪対策センター【送信日】2018年5月30日部分
改ざんされたWebサイトへのアクセスをブロック
-
検知した改ざんサイト
643サイト
-
-
日本サイト
16サイト
-
海外サイト
627サイト
-
