不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様25社 URLアクセスした
弊社お客様31社

2019/12/16
※2019/12/18 更新
12/16から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
12月賞与
19.12月賞与関係会社請求について
2019冬・業績賞与支給
Bonus Report, dated 17/12/2019
Invoice status update
failure notice
KFC 18.12.2019
KFCテーブル 18.12.2019
届
払
払届
月賞与
賞与
賞与支
賞与支払届
賞与支給に際しての社長メッセージ
ご入金額の通知・ご請求書発行のお願い ●●●
請求書の件です。 ●●●
請求書送付のお願い ●●●

※上記以外にも、実際に利用されたメールの件名が引用されている可能性があります。
※上記件名の前後に、■◆※◎などの記号が含まれる場合があります。
　　例）◎◎◎ 19.12月賞与関係会社請求について ◎◎◎
※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
　　例）ご入金額の通知・ご請求書発行のお願い 9233079-2019_12_16

添付ファイル名：
12月賞与.doc
19.12月賞与関係会社請求について.doc
2019冬・業績賞与支給.doc
Doc.doc
KFCテーブル 18.12.2019.doc
Your Invoice.doc
status-Bonus   11 2019.doc
届.doc
払.doc
払届.doc
賞与.doc
賞与支.doc
賞与支払.doc
賞与支払届.doc
●●●.doc
ご入金額の通知・ご請求書発行のお願い ●●●.doc
請求書の件です。 ●●●.doc
請求書送付のお願い ●●●.doc

※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
　　例）請求書の件です。 KLQZMQEQJ 2019_12_16.doc

添付ファイルハッシュ値：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※他にも多数のHASH値ファイルがあると思われます。

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://lilikhendarwati[.]com/wp-admin/JbdTQoQQ/
hxxp://www[.]zhangboo[.]com/wp-admin/lwhcvV/
hxxp://test[.]windsorheatingandair[.]com/wp-includes/r9lv-4teq5ff-8759846140/
hxxps://www[.]jackiejill[.]com/wp-includes/yiqr4r6a-dwt7s0u-26965878/
hxxp://apolina[.]pl/engl/1tuh6ul-gakf89-994/

または
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://www[.]borneofoodie[.]com/cgi-bin/rdho-kaposyh3-874/
hxxp://shalomgame[.]com/wp-content/ni5-71674ss-350168/
hxxps://www[.]unifourfamilypractice[.]com/cgi-bin/ex58l6i-zewm-41/
hxxp://aloneskisehir[.]com/wp-admin/MbvsOruux/
hxxp://livecigarevent[.]com/sys/jDfebiizm/

または
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://felixmakjr[.]com/wp-content/z9782/
hxxps://mall[.]hklivefeed[.]tv/wp-content/rw1472/
hxxp://www[.]townhousedd[.]com/wp-content/uploads/d86bb02/
hxxps://www[.]onlinepardaz[.]com/sitemap/sq762/
hxxp://ukmsc-gammaknife[.]com/wp-includes/w4cs632/

または
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://www[.]formations-maroc[.]com/fr/8XFT/
hxxp://www[.]alsirtailoring[.]com/wp-includes/q04qsi/
hxxps://marematto[.]it/wp-snapshots/pEgYL/
hxxps://iacg[.]ti-defence[.]org/wp-content/EuYcOwN/
hxxps://bestofblood[.]com/cgi-bin/ksg/

または
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://apkiasaani[.]com/wp-includes/YDpCjo/
hxxp://dathachanhphongthuy[.]com/wp-content/4jul9js6-nees-96/
hxxp://d4[.]gotoproject[.]net/calendar/stg8bg-eqs8q528-652549445/
hxxp://ekobygghandel[.]se/wp-content/tflGWFifb/
hxxp://feroscare[.]klyp[.]co/CRM/4w74w-ubw-364157142/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。

製品対応状況
▽m-FILTER
　偽装レベル4以上
　　・添付ファイル偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://lilikhendarwati[.]com/wp-admin/JbdTQoQQ/
hxxp://www[.]zhangboo[.]com/wp-admin/lwhcvV/
hxxp://test[.]windsorheatingandair[.]com/wp-includes/r9lv-4teq5ff-8759846140/
hxxps://www[.]jackiejill[.]com/wp-includes/yiqr4r6a-dwt7s0u-26965878/
hxxp://apolina[.]pl/engl/1tuh6ul-gakf89-994/
　12月16日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加

hxxps://www[.]borneofoodie[.]com/cgi-bin/rdho-kaposyh3-874/
hxxp://shalomgame[.]com/wp-content/ni5-71674ss-350168/
hxxps://www[.]unifourfamilypractice[.]com/cgi-bin/ex58l6i-zewm-41/
hxxp://aloneskisehir[.]com/wp-admin/MbvsOruux/
　12月17日 [カテゴリ外](※1)→[脅威情報サイト](※2)を追加
hxxp://livecigarevent[.]com/sys/jDfebiizm/
　12月17日 [IT情報・サービス]→[脅威情報サイト](※2)を追加

hxxp://felixmakjr[.]com/wp-content/z9782/
　12月17日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxps://mall[.]hklivefeed[.]tv/wp-content/rw1472/
　12月17日 [カテゴリ外](※1)→[違法ソフト・反社会行為]を追加
　12月18日 [脅威情報サイト](※2)を追加
hxxp://www[.]townhousedd[.]com/wp-content/uploads/d86bb02/
hxxps://www[.]onlinepardaz[.]com/sitemap/sq762/
hxxp://ukmsc-gammaknife[.]com/wp-includes/w4cs632/
　12月17日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加

hxxp://www[.]formations-maroc[.]com/fr/8XFT/
　12月17日 [コンテンツサーバー]→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://www[.]alsirtailoring[.]com/wp-includes/q04qsi/
　12月17日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxps://marematto[.]it/wp-snapshots/pEgYL/
hxxps://iacg[.]ti-defence[.]org/wp-content/EuYcOwN/
hxxps://bestofblood[.]com/cgi-bin/ksg/
　12月17日 [カテゴリ外](※1)→[違法ソフト・反社会行為]を追加
　12月18日 [脅威情報サイト](※2)を追加

hxxp://apkiasaani[.]com/wp-includes/YDpCjo/
hxxp://dathachanhphongthuy[.]com/wp-content/4jul9js6-nees-96/
hxxp://d4[.]gotoproject[.]net/calendar/stg8bg-eqs8q528-652549445/
hxxp://ekobygghandel[.]se/wp-content/tflGWFifb/
　12月18日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://feroscare[.]klyp[.]co/CRM/4w74w-ubw-364157142/
　12月18日 [企業・ビジネス・業界団体]→[脅威情報サイト](※2)を追加

上記すべてのURL：ダウンロードフィルター(※3)

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ
（※3）i-FILTER Ver.10.3以降、ファイルのダウンロードをブロック可能。