不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様45社
URLアクセスした
弊社お客様7社
-
2019/11/19
※2019/11/20 更新
11/19から発生していたマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック
件名:
Accounting is inviting you to collaborate on payroll_nov_19.xls
accountant is inviting you to collaborate on payroll_nov_19.xls
Reception さんが "KJ181119.xls" をあなた
Reception さんが "payroll_nov_19.xls" をあなた
hr sent you a file "shortlisted_11.2019.xls" on Box
hrd sent you a file "shortlisted_11.2019.xls" on Box
HR sent you a file "shortlisted_11.2019.xls" on Box
HRD sent you a file "shortlisted_11.2019.xls" on Box
HRM sent you a file "shortlisted_11.2019.xls" on Box
感染プロセス
メール受信
↓
メールに記載された短縮URLをクリックしてアクセスするとリダイレクト
↓
hxxps://onedrive-live-en[.]com/
hxxps://dl1[.]onedrive-live-en[.]com/
hxxps://dl2[.]onedrive-live-en[.]com/
hxxps://dl3[.]onedrive-live-en[.]com/
↓
表示されたWebページのリンクをクリックしてxlsファイルをダウンロード
ダウンロードしたxlsファイルを開き、マクロを有効化
↓
hxxp(s)://microsoft-cnd[.]com/
または
メール受信
↓
メールに記載された短縮URLをクリックしてアクセスするとリダイレクト
↓
hxxps://cdf1[.]box-en-au[.]com/
hxxps://cdf2[.]box-en-au[.]com/
hxxps://cdf3[.]box-en-au[.]com/
↓
表示されたWebページのリンクをクリックしてxlsファイルをダウンロード
ダウンロードしたxlsファイルを開き、マクロを有効化
↓
hxxp(s)://microsoft-store-en[.]com/
※メールに記載された短縮URLによっては無効になっていたり、上記URLへアクセスが行われない場合があります。
製品対応状況
▽m-FILTER
偽装レベル3以上(※場合によりレベル未満のものがあります)
・添付ファイル偽装判定
・本文偽装判定
・送信元偽装判定
アンチスパム
・システムフィルター判定
→「隔離/削除設定」でブロック可能
▽i-FILTER
hxxps://onedrive-live-en[.]com/
hxxps://dl1[.]onedrive-live-en[.]com/
hxxps://dl2[.]onedrive-live-en[.]com/
hxxps://dl3[.]onedrive-live-en[.]com/
2019年11月19日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
ダウンロードフィルター(※3)
hxxp(s)://microsoft-cnd[.]com/
2019年11月19日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
hxxps://cdf1[.]box-en-au[.]com/
hxxps://cdf2[.]box-en-au[.]com/
hxxps://cdf3[.]box-en-au[.]com/
2019年11月20日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
ダウンロードフィルター(※3)
hxxp(s)://microsoft-store-en[.]com/
2019年11月20日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
(※3)i-FILTER Ver.10.3以降、ファイルのダウンロードを警告可能