不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様37社 URLアクセスした
弊社お客様4社

2019/04/18
※2019/04/18 更新
04/17から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック

件名：
4月分
FW: 【4月17日付】
FW: 【重要】
Fw: 納品書の修正の件
RE: お見積りの件
【添付書類】
【返信回答分】:
・ご契約金計算書
発注のお願い
請求書送付
備品発注依頼書の送付
注依頼書の送付


添付ファイル名：
170400n株式会社0nnnn.xls
新規 ドキュメントMicrosoft Excelnnn.xls
nnnnnnnnnnnnxx .xls
※太赤字の「x」はランダムな英数字、「n」はランダムな数字が入ります。


添付ファイルハッシュ値：
d903c93164561ee4135920fba5d81f8b43d4586bfeef120aea8d87e6bcb17906
17c7c60f81e7fec52fde305710670af7e7712834da3343e83ca45d82c8f63c78


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp(s)://images2[.]imgbox[.]com/35/1c/s6iNsHg3_o[.]png
または
hxxp(s)://i.imgur[.]com/Vyjnb0D.png
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
↓
hxxp(s)://pidobrake[.]com
hxxp(s)://ipunedtos[.]com

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル4
　　・添付ファイル偽装判定
　　・本文偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxp(s)://images2[.]imgbox[.]com/35/1c/s6iNsHg3_o[.]png
　2019年4月17日
　　　[アップローダー]→[脅威情報サイト]（※1）を追加
　Webサービス制御
　　　[imgbox / imgbox]リスクレベル5（※2）

hxxp(s)://i.imgur[.]com/Vyjnb0D.png
　2019年4月17日
　　　[アップローダー]→[脅威情報サイト]（※1）を追加
　Webサービス制御
　　　[imgur / imgur]リスクレベル5（※2）

hxxp(s)://pidobrake[.]com
hxxp(s)://ipunedtos[.]com
　2019年4月17日
　　　[カテゴリ外]（※3）→[脅威情報サイト]（※1）で登録


（※1）i-FILTER Ver.10のみ
（※2）「Webサービス制御」機能でブロック可能
（※3）「推奨フィルタ―設定」でブロック可能