不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様16社 URLアクセスした
弊社お客様3社

2020/01/20
※2020/01/21 更新
01/18から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
請求書送付のお願い ●●●
請求書の件です。 ●●●
会議開催通知
会議への招待
ご入金額の通知・ご請求書発行のお願い ●●●

※上記以外にも、実際に利用されたメールの件名が引用されている可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
　　例）請求書送付のお願い 0819_2020_01_18


添付ファイル名：
請求書の件です。 ●●●.doc
請求書送付のお願い ●●●.doc
会議開催通知.doc
Instructions January 18 2020.doc
ご入金額の通知・ご請求書発行のお願い ●●●.doc
会議への招待.doc
doc January 20 2020.doc
Instructions January 20 2020.doc
INF January 21 2020.doc

※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
　　例）請求書送付のお願い 2151569 2020_01_18.doc


添付ファイルハッシュ値：
2f90590da13be020cab94f6054224224af5d674bb07964796cbb051cef5dde3a
93f24f1ba5d3e5a863c960b8223fe6ac4e65841fde9f86e9fb377d1ee4b01cc6
9ebebc76a8a3698d5280916c2ec34b70fb19923e13a80560f4427d6387421e09
b2db55eaf9277e0b111d1fa8a945606ed0a2d21e9d0d94c7bbf52dec664252d6
f82395d96cb3bf22cc417c3074933fc0640ec67b30a4a956f51ab90bb0da0d50
f8b596fcc2b2479cb066128126ed2da4c4301f10e697e99eac529408d5fe3d0b
c9b288f025cd8dd448fc3b9a7315b5f54fd97d274d7c3716334e92b10c22bad9

※他にも多数のHASH値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://okaseo[.]com/cache/12zl5o-duttqzih2-31839309/
hxxps://koddata[.]com/wp-content/VDgENx/
hxxps://parentingtopsecrets[.]com/pts/ys8cwojcvc-k1ks0vpkk9-3619095223/
hxxp://neproperty[.]in/cgi-bin/hjjz1r5p-5n7mea41-7609513198/
hxxps://mcuong[.]000webhostapp[.]com/wp-admin/aggrp2crnz-nt74vk3f-91560/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://sanketpatil[.]online/wp-includes/rBhbqf/
hxxp://deals[.]autostar[.]com[.]sa/wp-admin/tnibbgr-7y3i2-4052100/
hxxp://activatemagicsjacks[.]xyz/wp-admin/pzp2my-a4ma-335/
hxxp://heminghao[.]club/phpmyadmin/bos25l-sisvzsm-51/
hxxp://redbeat[.]club/wp-snapshots/fzAArnYv/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://engineer[.]emilee[.]jp/wp-admin/7kuoc3w-9mirtinc5h-4895988359/
hxxp://devifoodgrains[.]com/bhdz/f6bnbu-p5mk50-933/
hxxp://s9[.]cl6[.]us/dl/k3g17-hfafxhrq-235897/
hxxp://www[.]plsurgicals[.]com/wp/i3scs-2lv-03535841/
hxxp://descargatela[.]webcindario[.]com/wp-admin/PXstiz/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル2以上
　　・添付ファイル偽装判定
　アンチスパム(※場合により判定されないものがあります)
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://koddata[.]com/wp-content/VDgENx/
hxxps://mcuong[.]000webhostapp[.]com/wp-admin/aggrp2crnz-nt74vk3f-91560/
hxxp://neproperty[.]in/cgi-bin/hjjz1r5p-5n7mea41-7609513198/
hxxps://okaseo[.]com/cache/12zl5o-duttqzih2-31839309/
カテゴリ状況：01月18日 [カテゴリ外](※1)
追加済みまたは反映予定：[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxps://parentingtopsecrets[.]com/pts/ys8cwojcvc-k1ks0vpkk9-3619095223/
カテゴリ状況：01月18日 [カテゴリ外](※1)
追加済みまたは反映予定：[ブログ]、[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxp://deals[.]autostar[.]com[.]sa/wp-admin/tnibbgr-7y3i2-4052100/
hxxp://activatemagicsjacks[.]xyz/wp-admin/pzp2my-a4ma-335/
hxxp://heminghao[.]club/phpmyadmin/bos25l-sisvzsm-51/
hxxp://redbeat[.]club/wp-snapshots/fzAArnYv/
カテゴリ状況：01月20日 [カテゴリ外](※1)
追加済みまたは反映予定：[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxp://sanketpatil[.]online/wp-includes/rBhbqf/
カテゴリ状況：01月20日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト](※2)

hxxp://devifoodgrains[.]com/bhdz/f6bnbu-p5mk50-933/
hxxp://s9[.]cl6[.]us/dl/k3g17-hfafxhrq-235897/
hxxp://www[.]plsurgicals[.]com/wp/i3scs-2lv-03535841/
カテゴリ状況：01月21日 [カテゴリ外](※1)
追加済みまたは反映予定：[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxps://engineer[.]emilee[.]jp/wp-admin/7kuoc3w-9mirtinc5h-4895988359/
カテゴリ状況：01月21日：[企業・ビジネス・業界団体]、[求人情報]
追加済みまたは反映予定：[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxp://descargatela[.]webcindario[.]com/wp-admin/PXstiz/
カテゴリ状況：01月21日 [ホスティング]
追加済みまたは反映予定：[違法ソフト・反社会行為]、[脅威情報サイト](※2)

上記すべてのURL：ダウンロードフィルター(※3)


（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ
（※3）i-FILTER Ver.10.3以降、ファイルのダウンロードをブロック可能。