11月末に一般社団法人 JPCERT コーディネーションセンターがマルウェア「Emotet」の国内での感染拡大について注意喚起がありました。実在する組織や人物になりすましたメールに添付された悪性なWord文書ファイルによる感染被害が多数認められているとのこと。
参考情報
IPA
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html
JPCERT
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html
JPCERT/CC Eyes
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
以下、当社サポートポータルより
support.terilogy.com
弊社取り扱いのセキュリティ製品におけるEmotetマルウェアの検知状況は以下のとおりりです。Emotetにつきましては亜種などが存在しますのでご注意ください。
ご不明点については、それぞれの製品サポート窓口からお問い合わせください。
製品および弊社に興味がある場合はコンタクトフォームからお問い合わせください。
Lastline
Network traffic analysis 機能
感染端末からのHTTPによるC&C通信を検知可能です。
Web Sandbox 機能
HTTPにてダウンロードされるDocなどのOfficeファイルに含まれるダウンローダおよびEmotet本体を検知可能です。
Mail Sandbox 機能
パスワードによる保護がされていない場合、DocなどのOfficeファイルに含まれるダウンローダおよびEmotet本体の添付ファイルおよびURLを検知可能です。
Tippingpoint
Nシリーズ
NXシリーズ
Tシリーズ
TXシリーズ
下記フィルタは手動で有効化することで感染端末から行われる既知のHTTPによるC&C通信を検知可能です。
28409: HTTP: Emotet Checkin Request(Default:Disable)
別途Threat DVオプションの契約が必要ですが、以下のフィルタ番号についても手動で有効化することで感染端末からの既知のHTTPによるC&C通信を検知可能です。
34262: HTTP: Worm.Win32.IcedID.A Runtime Detection (Default:Block/Notify)
34263: HTTP: Worm.Win32.IcedID.A Runtime Detection (Default:Block/Notify)
CarbonBlack
Cb Defense
NG-AV機能:Officeおよびスクリプトに対して適切な制限を行うことで感染防止が可能です。
※具体的なポリシーの内容については弊社サポートへお問い合わせください。
EDR機能:感染時の端末挙動を確認可能です。
Cb Response
感染時の端末挙動を確認可能です。
Cb Threat Hunter
感染時の端末挙動を確認可能です。
NOZOMI NETWORKS
Guardianシリーズ
YaraルールおよびIDSルールを手動定義することでマルウェア本体ならびに既知のC&C通信を検知可能です。
※具体的なポリシーの内容については弊社サポートへお問い合わせください。
Infoblox
ActiveTrust Cloud
DNS Firewall
既知のドメインを用いたC&C通信についてはC&C通信のブロックが可能です。
sumox
SumoLogicはCrowndStrikeのThreat Intel feedを利用可能なため、Infobloxと連携されていれば名前解決の要求に関する履歴の確認が可能です。
以上
