不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様5社 URLアクセスした
弊社お客様0社

2020/08/17
※2020/08/18 更新
08/13から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
会議の議題。
 金曜日の次の会議の議題。
 金曜日の会議のチェックリスト。
次の会議の議題。
請求書送付のお願い ●●●

※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
　　例）請求書送付のお願い 3706158_2020_08_12


添付ファイル名：
次の会議の議題.doc
会議の議題.doc
金曜日の会議のチェックリスト.doc
金曜日の次の会議の議題.doc
請求書送付のお願い ●●●.doc

※上記以外にも存在する可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
　　例）請求書送付のお願い 3706158-2020_08_12.doc



添付ファイルハッシュ値：
20951eb5e8472983adcfaae37901a68c942727a3f0e14cf62e0ee599c12df169
41bf6fae061d1cb621549ff9961eca7a61ac789aa4b744c7fd50fd6ff1ae1b03
b2c01fc1bb6ac0a7a2adfbf41ecf863484403df992133a8b237c613b967f1b93
bd379f0e0dcc9c8c75d70a99df9f95dc56d70fd92cbf446a21dcb7b22ded59f9
5e490e56f2d455d95d3e3e0339f871d1e65e99d09e69b196daefa904de8dc761

※他にも多数のハッシュ値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://www[.]bap-host[.]com/COPYRIGHT/ehtw3u2zpwx97815/
hxxp://ora-ks[.]com/BACKUPS/M8hgn2sqa0eqm076/
hxxp://michaelsteinfeld[.]com/cgi-bin/hkXmR/
hxxps://www[.]agenciaeureka[.]com[.]br/assinaturas/jXLI/
hxxps://pwiic[.]com/Cache/multipharma[.]pwiic[.]loc/MpzUrA/
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxp://www[.]bap-host[.]com/COPYRIGHT/ehtw3u2zpwx97815/
hxxp://ora-ks[.]com/BACKUPS/M8hgn2sqa0eqm076/
hxxp://michaelsteinfeld[.]com/cgi-bin/hkXmR/
カテゴリ状況：08月13日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxps://www[.]agenciaeureka[.]com[.]br/assinaturas/jXLI/
カテゴリ状況：08月13日 [脅威情報サイト]

hxxps://pwiic[.]com/Cache/multipharma[.]pwiic[.]loc/MpzUrA/
カテゴリ状況：08月13日 [IT情報・サービス]
追加済みまたは反映予定：[脅威情報サイト]

上記すべてのURL：ダウンロードフィルター(※2)

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。