不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様35社 URLアクセスした
弊社お客様18社

2019/04/04
※2019/04/05 更新
04/03から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック

件名：
4月1日ご契約の件・初期費用のご請求書のご送付
RE: 【メール確認済】1/1
Re: 【再送】し依頼
【ご提出】
【連絡】2019.4.1
受注連絡


添付ファイル名：
文書名 -scan-nnnn.xls
※太赤字の「x」は3～4文字のランダムな英数字、「n」はランダムな数字が入ります。


添付ファイルハッシュ値：
a5294a62b4cd9eae6d53816f8335d4e4aa9e48e3947621383658ca595bea4da6


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://gerdosan[.]com/uploads/change.pdf
↓
hxxps://images2.imgbox[.]com/c3/57/soU1A2HV_o.png
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
hxxps://i.imgur[.]com/CPHK1L5.png
↓
hxxps://sumeriun[.]com

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル4
　　・添付ファイル偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://gerdosan[.]com/
　2019年4月3日
　　[カテゴリ外]（※1）→[脅威情報サイト]（※2）で登録

hxxps://sumeriun[.]com
　2019年4月3日
　　[違法ソフト・反社会行為]→[脅威情報サイト]（※2）で登録

hxxps://images2[.]imgbox[.]com/c3/57/soU1A2HV_o[.]png
　2019年4月3日
　　　[アップローダー]→[脅威情報サイト]（※2）を追加
　Webサービス制御
　　　[imgbox / imgbox]リスクレベル5（※3）

hxxps://i.imgur[.]com/CPHK1L5.png
　2019年4月4日
　　　[アップローダー]→[脅威情報サイト]（※2）を追加
　Webサービス制御
　　　[imgur / imgur]リスクレベル5（※3）
　　　

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ
（※3）「Webサービス制御」機能でブロック可能