不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様22社 URLアクセスした
弊社お客様9社

2020/01/17
※2020/01/20 更新
01/16から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
ご入金額の通知・ご請求書発行のお願い ●●●
会議開催通知
請求書の件です。 ●●●
請求書送付のお願い ●●●

※上記以外にも、実際に利用されたメールの件名が引用されている可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
　　例）請求書送付のお願い 214200 2020_01_16


添付ファイル名：
ご入金額の通知・ご請求書発行のお願い ●●●.doc
会議開催通知.doc
請求書の件です。 ●●●.doc
請求書送付のお願い ●●●.doc
情報 January 16 2020.doc
document January 16 2020.doc
INF January 16 2020.doc

※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
　　例）請求書送付のお願い 214200 2020_01_16.doc


添付ファイルハッシュ値：
1de852624e7d9789e2942b797d5faa88a5ab50be850a9223a13dfb35b6fe65c0
196d764acb6d57e38a1d326dd8369a2ee5e2b6c4f118bace95cb31dc10d5f195
b44638c59970903aff549cbdb9555ba334f7471ff807475bb8e1713cfa35b0af
1243b8bff831969783b47e614391d4b2fd0fb2ee634743a000848c76e8dd6b1b
ecec6c45a1661f54116ad15370358adc8f64b2cc8c944a94ebdcfffe3b3bdff1
9068c7cad1055d605a4a60bffdbeb14394a7198e04e780f7e51ee54429cbfbd2
e54979318c06a7cc3d8fb5f00d32d0fa2a169f8447a224ec8822749071c550f6

※他にも多数のHASH値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://blulinknetwork[.]com/wp-content/260shby-cdsu5t59-05/
hxxp://bassman1980-001-site5[.]gtempurl[.]com/799612/IIadxvvB/
hxxps://chasem2020[.]com/0589072/iMaKKrcbL/
hxxps://zhangyiyi[.]xyz/wp-content/jrERty/
hxxp://www[.]hondajazzclubindonesia[.]org/wp-content/HJnTOcOvw/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://biztreemgmt[.]com/wordpress/5gvh2bvxjk-adyl4d-51055/
hxxp://adampettycreative[.]com/x92k25/StPHhUr/
hxxp://roseperfeito[.]com[.]br/loading/ime0a3-5ga-2870726553/
hxxp://nguoidepxumuong[.]vn/wp-content/uploads/PBsETJ/
hxxp://www[.]builditexpress[.]co[.]uk/exclusive/gvDKTV/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル2以上
　　・添付ファイル偽装判定
　アンチスパム(※場合により判定されないものがあります)
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://chasem2020[.]com/0589072/iMaKKrcbL/
　01月16日 [違法ソフト・反社会行為]
　01月17日 [脅威情報サイト](※2)を追加

hxxp://blulinknetwork[.]com/wp-content/260shby-cdsu5t59-05/
hxxp://bassman1980-001-site5[.]gtempurl[.]com/799612/IIadxvvB/
hxxps://zhangyiyi[.]xyz/wp-content/jrERty/
hxxp://www[.]hondajazzclubindonesia[.]org/wp-content/HJnTOcOvw/
　01月16日 [カテゴリ外](※1)→[違法ソフト・反社会行為]を追加
　01月17日 [脅威情報サイト](※2)を追加

hxxp://roseperfeito[.]com[.]br/loading/ime0a3-5ga-2870726553/
　01月17日 [ショッピング]→[違法ソフト・反社会行為]を追加
　01月20日 [脅威情報サイト](※2)を追加

hxxp://adampettycreative[.]com/x92k25/StPHhUr/
　01月17日 [企業・ビジネス・業界団体]→[違法ソフト・反社会行為]を追加
　01月20日 [脅威情報サイト](※2)を追加

hxxp://biztreemgmt[.]com/wordpress/5gvh2bvxjk-adyl4d-51055/
　01月17日 [企業・ビジネス・業界団体][脅威情報サイト](※2)

hxxp://www[.]builditexpress[.]co[.]uk/exclusive/gvDKTV/
hxxp://nguoidepxumuong[.]vn/wp-content/uploads/PBsETJ/
　01月17日 [IT情報・サービス]→[違法ソフト・反社会行為]を追加
　01月20日 [脅威情報サイト](※2)を追加
　
上記すべてのURL：ダウンロードフィルター(※3)


（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ
（※3）i-FILTER Ver.10.3以降、ファイルのダウンロードをブロック可能。