不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様47社 URLアクセスした
弊社お客様11社

2019/04/10
※2019/04/10 更新
04/10から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック

件名：
4月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
メールに添付された請求書デー
添付ファイルをご確認下さい。

添付ファイル名：
(n).「原本」・.nnnn.xls
「原本」・_nnnn.xls
※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値：
9de470efde8b4bea45fd849e80118fc3f68d1754910066442d7ffc0ad64e7e68
9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://i[.]imgur[.]com/fC5Pcd2[.]png
または
hxxps://images2[.]imgbox[.]com/b0/81/gHAGqQjt_o[.]png
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
↓
hxxp(s)://omnifoxt[.]com/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル5
　　・添付ファイル偽装判定
　　・本文偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://i[.]imgur[.]com/fC5Pcd2[.]png
　2019年4月10日
　　　[アップローダー]→[脅威情報サイト]（※1）を追加
　Webサービス制御
　　　[imgur / imgur]リスクレベル5（※2）

hxxps://images2[.]imgbox[.]com/b0/81/gHAGqQjt_o[.]png
　2019年4月10日
　　　[アップローダー]→[脅威情報サイト]（※1）を追加
　Webサービス制御
　　　[imgbox / imgbox]リスクレベル5（※2）

hxxp(s)://omnifoxt[.]com/
　2019年4月10日
　　　[カテゴリ外]（※3）→[脅威情報サイト]（※1）で登録


（※1）i-FILTER Ver.10のみ
（※2）「Webサービス制御」機能でブロック可能
（※3）「推奨フィルタ―設定」でブロック可能