不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様45社 URLアクセスした
弊社お客様7社

2019/11/19
※2019/11/20 更新
11/19から発生していたマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック

件名：
Accounting is inviting you to collaborate on payroll_nov_19.xls
accountant is inviting you to collaborate on payroll_nov_19.xls
Reception さんが "KJ181119.xls" をあなた
Reception さんが "payroll_nov_19.xls" をあなた
hr sent you a file "shortlisted_11.2019.xls" on Box
hrd sent you a file "shortlisted_11.2019.xls" on Box
HR sent you a file "shortlisted_11.2019.xls" on Box
HRD sent you a file "shortlisted_11.2019.xls" on Box
HRM sent you a file "shortlisted_11.2019.xls" on Box

感染プロセス
メール受信
↓
メールに記載された短縮URLをクリックしてアクセスするとリダイレクト
↓
hxxps://onedrive-live-en[.]com/
hxxps://dl1[.]onedrive-live-en[.]com/
hxxps://dl2[.]onedrive-live-en[.]com/
hxxps://dl3[.]onedrive-live-en[.]com/
↓
表示されたWebページのリンクをクリックしてxlsファイルをダウンロード
ダウンロードしたxlsファイルを開き、マクロを有効化
↓
hxxp(s)://microsoft-cnd[.]com/

または
メール受信
↓
メールに記載された短縮URLをクリックしてアクセスするとリダイレクト
↓
hxxps://cdf1[.]box-en-au[.]com/
hxxps://cdf2[.]box-en-au[.]com/
hxxps://cdf3[.]box-en-au[.]com/
↓
表示されたWebページのリンクをクリックしてxlsファイルをダウンロード
ダウンロードしたxlsファイルを開き、マクロを有効化
↓
hxxp(s)://microsoft-store-en[.]com/

※メールに記載された短縮URLによっては無効になっていたり、上記URLへアクセスが行われない場合があります。


製品対応状況
▽m-FILTER
　偽装レベル3以上（※場合によりレベル未満のものがあります）
　　・添付ファイル偽装判定
　　・本文偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能


▽i-FILTER
hxxps://onedrive-live-en[.]com/
hxxps://dl1[.]onedrive-live-en[.]com/
hxxps://dl2[.]onedrive-live-en[.]com/
hxxps://dl3[.]onedrive-live-en[.]com/
　2019年11月19日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
　　ダウンロードフィルター(※3)

hxxp(s)://microsoft-cnd[.]com/
　2019年11月19日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加

hxxps://cdf1[.]box-en-au[.]com/
hxxps://cdf2[.]box-en-au[.]com/
hxxps://cdf3[.]box-en-au[.]com/
　2019年11月20日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
　　ダウンロードフィルター(※3)

hxxp(s)://microsoft-store-en[.]com/
　2019年11月20日[カテゴリ外](※1)→[脅威情報サイト](※2)を追加

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ
（※3）i-FILTER Ver.10.3以降、ファイルのダウンロードを警告可能