TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

フィッシング: 楽天 を詐称する攻撃 (まとめ)

【要点】

◎筆者の観測ポイントでは、8月下旬に「楽天」 を詐称するフィッシングメールが一時的に急増しました。ドコモ口座の攻撃開始の直前である点に引っかかりを感じています


【図表】

f:id:tanigawa:20200921110744p:plain
日別の着信数推移
f:id:tanigawa:20200901024103p:plain
月別の着信数推移
f:id:tanigawa:20200901024128p:plain
詐称メールに使用される「メールのタイトル」
独自情報(筆者が運用している「あるメールアドレス」宛のRakutenを詐称するフィッシングメール着信数をプロット)


【詐称されているメールアドレス・件名】

谷川のあるメールアドレス(biglobeのアドレス)が最近受け取った (楽天)Rakuten を詐称するフィッシングメールをご紹介します。

■特徴

  • Amazonほどではないですが、よく着信します
  • AmazonへのPhishing メールと手法が極めて似ています。


■送信日

年月日 週合計
2020/06/01 0 0 0 0 0 0 0 0
2020/06/08 0 0 0 0 0 0 1 1
2020/06/15 0 0 0 0 0 1 0 1
2020/06/22 0 0 0 0 0 1 1 2
2020/06/29 2 1 0 0 1 1 0 5
2020/07/06 0 1 0 0 0 1 0 2
2020/07/13 1 0 0 0 1 0 0 2
2020/07/20 0 0 0 1 1 0 0 2
2020/07/27 0 2 0 1 1 1 0 5
2020/08/03 2 1 2 2 1 2 0 10
2020/08/10 2 6 1 2 7 4 3 25
2020/08/17 1 1 3 3 1 5 3 17
2020/08/24 1 10 7 4 24 13 11 70
9 22 13 13 37 29 19 142


■メールアドレス

※ 送信メールアドレスは基本的に偽装されています

日時 送信メールアドレス 件名
2020/08/21(金) 03:05 myinfo@lkjgj.xyz 【楽天市場】アカウントを更新してください [参照:zAys085353]
2020/08/20(木) 08:37 postmaster@live.com [楽天]あなたのアカウントを確認
2020/08/20(木) 06:30 ovprr@rakuten.co.jp 【楽天市場】支払情報一致していません
2020/08/20(木) 05:30 nkuy@rakuten.co.jp 【楽天市場】支払情報一致していません
2020/08/19(水) 17:36 admin@s223707.cloud.flynet.pro [楽天]プライムの自動更新設定を解除いたしました!番号:150945707482
2020/08/19(水) 09:42 Rakuten@rcpt-impgw.biglobe.ne.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/08/19(水) 04:36 Rakuten@rcpt-impgw.biglobe.ne.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/08/18(火) 09:55 admin@s224107.cloud.flynet.pro [楽天]プライムの自動更新設定を解除いたしました!番号:590058866937
2020/08/16(日) 23:51 account@rakuten.co.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/16(日) 09:27 myinfo@rakuten.co.jp [楽天]会員情報変更失敗のお知らせ
2020/08/16(日) 04:03 account@rakuten.co.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/15(土) 12:57 cwvuonzar@rakutenaccountwwrrbn.monster [楽天]会員情報変更失敗のお知らせ
2020/08/15(土) 08:51 account@rakuten.co.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/15(土) 06:45 account@rakuten.co.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/15(土) 03:34 Rakuten@rcpt-impgw.biglobe.ne.jp 楽天安全センター
2020/08/14(金) 19:10 dnqxagziob@rakutenaccountwef.monster [楽天]あなたのアカウントを確認
2020/08/14(金) 15:46 vyogmsw@rakutenaccountwwrrbn.buzz [楽天]あなたのアカウントを確認
2020/08/14(金) 11:07 btkzmzwu@nvdf.com [楽天]プライムの自動更新設定を解除いたしました!
2020/08/14(金) 09:37 bbmy@bbmyun.xyz 【重要】楽天市場 カスタマセンタ-からのご案内
2020/08/14(金) 09:26 info@rakuten.co.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/14(金) 09:22 account@rakuten.co.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/13(木) 05:18 info@rakuten.co.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/12(水) 22:31 postmaster@live.com あなたの会員IDにはセキュリティ上の問題があります。ログインしてセキュリティを検証してください
2020/08/11(火) 21:03 Rakuten.co.jp@rcpt-impgw.biglobe.ne.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/11(火) 15:48 jbv@nlk.info 【楽天】不正アクセスを検知したため15:48:51
2020/08/11(火) 08:59 myinfo@rakuten.co.jp 【楽天市場】あなたのアカウントを確認
2020/08/11(火) 06:18 myinfo@rakuten.co.jp 【楽天市場】あなたのアカウントを確認
2020/08/11(火) 05:58 myinfo@rakuten.co.jp 【楽天市場】あなたのアカウントを確認
2020/08/11(火) 05:10 myinfo@rakuten.co.jp 【楽天市場】あなたのアカウントを確認
2020/08/10(月) 19;51 Rakuten.co.jp@rcpt-impgw.biglobe.ne.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/10(月) 07:24 Rakuten.co.jp@rcpt-impgw.biglobe.ne.jp [楽天]プライムの自動更新設定を解除いたしました!
2020/08/08(土) 03:14 rakuten@rakuten.co.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/08/08(土) 02:37 rakuten@rakuten.co.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/08/06(木) 14:53 motes51967@kleogb.com [楽天] ログインしましたか?
2020/08/06(木) 07:13 motes51967@kleogb.com [楽天] ログインしましたか?
2020/08/05(水) 07:44 rakuten.co.jp@rcpt-impgw.biglobe.ne.jp 【楽天市場】お支払い方法を更新してください知らせ。
2020/08/04(火) 21:13 Rakuten.co.jp@rcpt-impgw.biglobe.ne.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/08/03(月) 12:58 rakuten.co.jp@rcpt-impgw.biglobe.ne.jp お支払い方法の情報を更新
2020/08/03(月) 03:32 rakuten.net@rcpt-impgw.biglobe.ne.jp 【重要】あなたのアカウントは盗難の危険にさらされています
2020/08/01(土) 01:52 Rakuten.co.jp@rcpt-impgw.biglobe.ne.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/07/31(金) 02:00 Rakuten.co.jp@rcpt-impgw.biglobe.ne.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/07/30(木) 20:53 Rakuten.co.jp@rcpt-impgw.biglobe.ne.jp [楽天]ログインしましたか?(2020/07/05)61.215.62.229
2020/07/28(火) 12:55 rakuten.co.jp@rcpt-impgw.biglobe.ne.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/07/24(金) 06:19 mrfwy@qdwkq.cn お支払い方法を更新してください知らせ (番号:760044)
2020/07/23(木) 13:18 update@rakuten.co.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/07/17(金) 06:19 update@rakuten.co.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/07/13(月) 07:25 update@rakuten.co.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/07/11(土) 19:34 update@rakuten.co.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/07/07(火) 05:08 account@rakuten.co.jp 【楽天市場】お支払い方法を更新してください知らせ
2020/07/04(土) 07:25 account-update@rakuten.co.jp お支払い方法を更新してください知らせ
2020/07/03(金) 15:18 noreply@metallic.thepatriotacts.com 【緊急】楽天カードから緊急のご連絡

フィッシング: Amazonを詐称する攻撃 (まとめ)

【要点】

◎ 2020/06 以降、Amazon を騙ったフィッシングメールが急増しています。7月・8月は激増、9月も異常な受信数を記録しています

f:id:tanigawa:20200920042859p:plain
日別の着信数推移
f:id:tanigawa:20200901023220p:plain
月別の着信数推移
f:id:tanigawa:20200901023638p:plain
詐称メールに使用される「メールのタイトル」
独自情報(筆者が運用している「あるメールアドレス」宛のAmazonを詐称するフィッシングメール着信数をプロット)


【概要】

■攻撃によく使用される状況・テーマ

アカウント ID
アカウントロック
プライムサービス
リスク
セキュリティ警告
不審なサインイン
お支払い方法


■Amazon.co.jpからの情報

◆Amazon.co.jpからの連絡とフィッシングの見分け方について
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201909120


■Amazon.co.jpで使用している送信情報(Eメール)

amazon.co.jp
amazon.jp
amazon.com
amazonbusiness.jp
email.amazon.com
marketplace.amazon.co.jp
m.marketplace.amazon.co.jp
gc.email.amazon.co.jp
gc.amazon.co.jp
payments.amazon.co.jp

 以下は私のある1つのメールアドレスが、最近受け取った「Amazonを詐称するフィッシングメール」を分析したデータです。

■送信日

◎ 7/27以降、激増している

年月日 週合計
2020/06/01 0 0 0 1 2 0 0 3
2020/06/08 0 0 0 1 0 0 0 1
2020/06/15 0 1 2 0 0 0 5 8
2020/06/22 0 1 1 0 0 3 5 10
2020/06/29 0 2 1 2 1 0 2 8
2020/07/06 1 2 4 0 0 2 0 9
2020/07/13 1 1 2 0 0 0 0 4
2020/07/20 1 1 3 2 2 5 7 21
2020/07/27 5 15 13 5 7 13 8 66
2020/08/03 8 3 7 4 7 11 8 48
2020/08/10 8 14 7 9 5 9 6 58
2020/08/17 10 14 10 14 18 8 24 98
2020/08/24 22 12 34 38 18 35 30 189
2020/08/31 32 15 33 30 32 25 34 201
2020/09/07 (59) (59)
88 81 117 106 92 111 129 724

■送信時間帯

◎ 3時~7時に送信される比率が高い

月日 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23
07/20(月) 1 1
07/21(火) 1 1
07/22(水) 1 1 1 3
07/23(木) 1 1 2
07/24(金) 1 1 2
07/25(土) 1 1 1 1 1 5
07/26(日) 1 1 1 1 1 1 1 7
07/27(月) 1 1 1 1 1 5
07/28(火) 1 1 1 1 2 1 1 1 1 1 1 2 1 15
07/29(水) 1 2 3 1 1 2 2 1 13
07/30(木) 1 1 1 1 1 5
07/31(金) 1 1 1 1 1 1 1 7
08/01(土) 2 2 1 1 1 1 2 1 1 1 13
08/02(日) 1 2 1 1 1 1 1 8
08/03(月) 1 1 1 1 1 2 1 8
08/04(火) 1 1 1 3
08/05(水) 1 2 1 1 1 1 7
08/06(木) 1 1 1 1 4
08/07(金) 1 2 1 1 1 1 7
08/08(土) 1 1 1 1 1 1 2 2 1 11
08/09(日) 1 2 1 1 1 1 1 8
08/10(月) 1 1 1 1 1 1 1 1 8
08/11(火) 1 2 2 2 1 1 2 2 1 14
08/12(水) 1 2 1 1 1 1 7
08/13(木) 1 1 1 2 1 1 1 1 9
08/14(金) 1 2 1 1 5
08/15(土) 1 1 1 1 2 1 1 1 9
08/16(日) 1 1 1 1 1 1 6
08/17(月) 1 1 1 1 2 1 1 1 1 10
08/18(火) 1 2 1 1 3 2 2 1 1 14
08/19(水) 1 1 2 1 1 1 1 1 1 10
08/20(木) 1 2 1 3 1 1 1 2 1 1 14
08/21(金) 3 3 1 3 1 2 1 2 1 1 18
08/22(土) 1 2 1 1 2 1
合計 4 5 9 21 22 17 16 14 10 12 9 8 7 9 7 14 11 10 6 9 12 8 7 9
月日 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23

集計は 7/20~8/21 10:59 までのデータ


■頻繁に使用されるメール件名

件名 回数
お支払い方法の情報を更新 69
Amazon.co.jp アカウント所有権の証明(名前、その他個人情報)の確認 35
Amazonセキュリティ警告: サインインが検出されました 31
Amazonプライムの自動更新設定を解除いたしました!日時 4
Amazonプライムの自動更新設定を解除いたしました!番号 xxxxxxxxxx 4
[重要]Amazonサインインが検出されました!番号:xxxxxxxxxxx 3
[重要]アカウント詐欺事件のお知らせ 3
[重要]サインインが検出されました! 2
Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認 1
Amazonプライムの自動更新設定を解除いたしました! 1
Amazonプライムの会員期限切れ 1
Amazonセキュリティ警告 1
1回限りの Amazon アカウント仮パスワード 1

※ 6/1 ~ 8/10までの集計


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆フィッシング (まとめ)
https://malware-log.hatenablog.com/entry/Phishing

続きを読む

業種: 医療 (まとめ)

【目次】

  • 概要
    • 【最新情報】
  • 記事
    • 【ニュース】
    • 【ブログ】
    • 【資料】
    • 【図表】
    • 【関連情報】
  • 関連情報

概要

【最新情報】

◆医療情報狙う攻撃 - 新型コロナ前後の国内観測動向は (Security NEXT, 2020/07/22)
http://www.security-next.com/116869
https://malware-log.hatenablog.com/entry/2020/07/22/000000_3

◆Did ransomware threat actors hit a German medical clinic by mistake? Either way, someone died as a result. (DataBreaches.net, 2020/09/17)
https://www.databreaches.net/did-ransomware-threat-actors-hit-a-german-medical-clinic-by-mistake-either-way-someone-died-as-a-result/
https://malware-log.hatenablog.com/entry/2020/09/17/000000_4

◆病院がランサムウェア攻撃を受けた影響で患者が死亡した初の事例が報告される (Gigazine, 2020/09/18 13:00)
https://gigazine.net/news/20200918-death-ransomware-attack-hospital/
https://malware-log.hatenablog.com/entry/2020/09/18/000000_4

◆German hospital hacked, patient taken to another city dies (AP, 2020/09/18)
https://apnews.com/cf8f8eee1adcec69bcc864f2c4308c94
https://malware-log.hatenablog.com/entry/2020/09/18/000000_5

◆史上初の身代金ウイルス攻撃による死者、ドイツの病院で発生 (Forbes, 2020/09/19 07:30)
https://forbesjapan.com/articles/detail/37142
https://malware-log.hatenablog.com/entry/2020/09/19/000000

続きを読む

史上初の身代金ウイルス攻撃による死者、ドイツの病院で発生

【ニュース】

◆史上初の身代金ウイルス攻撃による死者、ドイツの病院で発生 (Forbes, 2020/09/19 07:30)
https://forbesjapan.com/articles/detail/37142


【関連まとめ記事】

全体まとめ
 ◆業種 (まとめ)

◆業種: 医療 (まとめ)
https://malware-log.hatenablog.com/entry/Medical

Talos の 1 週間における脅威のまとめ (まとめ)

【目次】

  • 記事
    • 【ブログ】 - 英語 -
    • 【ブログ】 - 日本語 -
    • 【参考サイト】
    • 【IoC情報】
  • 関連情報
    • 【関連まとめ記事】

記事

【ブログ】 - 英語 -

(新しいものが先頭)

■2020年09月

◆Threat Roundup for September 11 to September 18 (Talos(CISCO), 2020/09/18)

Dridex / Emotet / Arkei / DarkComet / Gandcrab / Shiz / Xpiro / Remcos

https://blog.talosintelligence.com/2020/09/threat-roundup-0911-0918.html
https://storage.googleapis.com/blogs-images/ciscoblogs/1/2020/09/20200918-tru.json_.txt
https://malware-log.hatenablog.com/entry/2020/09/18/000000_7

◆Threat Roundup for September 4 to September 11 (Talos(CISCO), 2020/09/11)

Upatre / Razy / Gandcrab / Emotet / Kovter / Dridex

https://blog.talosintelligence.com/2020/09/threat-roundup-0904-0911.html
https://storage.googleapis.com/blogs-images/ciscoblogs/1/2020/09/20200911-tru.json_.txt
https://malware-log.hatenablog.com/entry/2020/09/11/000000_11

◆Threat Roundup for August 28 to September 4 (Talos(CISCO), 2020/09/04)

Ponysteale / Scar / Chthonic / Blackshades / Bublik / ZeroAccess / Kuluoz / Glupteba / Emotet / Gh0stRAT

https://blog.talosintelligence.com/2020/09/threat-roundup-0828-0904.html
https://storage.googleapis.com/blogs-images/ciscoblogs/1/2020/09/20200904-tru.json_.txt
https://malware-log.hatenablog.com/entry/2020/09/04/000000_5


■2020年08月

◆Threat Roundup for August 21 to August 27 (Talos, 2020/08/27)

Emotet / Chthonic / Bublik / Sagent / ZeroAccess / CyberGate / Dealply / Gh0stRAT / Cerber

https://blog.talosintelligence.com/2020/08/threat-roundup-0821-0827.html
https://storage.googleapis.com/blogs-images/ciscoblogs/1/2020/08/20200827-tru.json_.txt
https://malware-log.hatenablog.com/entry/2020/08/27/000000_2

◆Threat Roundup for August 14 to August 21 (Talos(CISCO), 2020/08/21)

Cerber / Emotet / njRAT / CyberGate / Kuluoz / Dridex / Tofsee

https://blog.talosintelligence.com/2020/08/threat-roundup-0814-0821.html
https://storage.googleapis.com/blogs-images/ciscoblogs/1/2020/08/20200821-tru.json_.txt
https://malware-log.hatenablog.com/entry/2020/08/21/000000_9

◆Threat Roundup for August 7 to August 14 (Talos(CISCO), 2020/08/14)

Emotet / LokiBot / Zusy / ZeroAccess / HawkEye / Razy / Tofsee

https://blog.talosintelligence.com/2020/08/threat-roundup-0807-0814.html
https://storage.googleapis.com/blogs-images/ciscoblogs/1/1/2020/08/20200814-tru.json.txt
https://malware-log.hatenablog.com/entry/2020/08/14/000000_3

◆Threat Roundup for July 31 to August 7 (Talos(CISCO), 2020/08/07)

Qakbot / HawkEye / DarkComet / LokiBot / Gh0stRAT / NetWire

https://blog.talosintelligence.com/2020/08/tru-0731-0807.html
https://malware-log.hatenablog.com/entry/2020/08/07/000000_2

続きを読む

Emotet (まとめ)

【要点】

◎2014年に発見されたトロイの木馬。銀行口座の認証情報を窃取する。のちに、ボットネット化、ワーム機能の搭載、マルウェア配信機能などが、モジュールとして追加された。TA542 / Mummy Spider が攻撃を行っていると考えられている。
Emotetが 7/14から活動を再開, 7/17からメール送信再開

【最近の攻撃手法と感染状況】

パスワードZIPを使用して、Sandboxを回避

ウイルス対策ベンダー(トレンドマイクロ)を詐称

■感染者数が2020/08/31以降、急激に増加

f:id:tanigawa:20200907105748p:plain
出典: https://www.jpcert.or.jp/newsflash/2020090401.html

【図表】

f:id:tanigawa:20200918042136p:plain

[独自情報] URLhouse.abuse.ch のURL情報(約30万件)から 約10万件のEmotet 関係の情報を抽出し、独自に時系列(日別)に新規URL数をプロット(2020/09/18に更新)
※: 2019/06から2019/09半ばまで、一時休止状態
※: 2019/12末から活動が一時休止状態になるが、2020/01/13から復活
※: 2020/02/10から再び休止状態となるが、2020/07/14から復活、2020/07/17から活動活発化


==【目次】==

  • 【要点】
  • 【最近の攻撃手法と感染状況】
  • 【図表】
  • 概要
    • 【辞書】
    • 【概要】
    • 【攻撃組織】
    • 【最新情報】
  • 記事
    • 【ニュース】
    • 【ブログ】
    • 【公開情報】
    • 【注意喚起】
    • 【アナウンス】
    • 【図表】
  • 解析情報
    • 【IoC情報】
    • 【Twitter】
    • 【関連情報】
    • 【解析情報】
  • 関連情報
    • 【関連まとめ記事】

概要

【辞書】

◆Emotet (Wikipedia)
https://en.wikipedia.org/wiki/Emotet

◆Emotet (MalwareBytes)
https://www.malwarebytes.com/emotet/

◆Emotet (ATT&CK)
https://attack.mitre.org/software/S0367/

【概要】
項目 内容
分類 バンキングマルウェア、現在は別のマルウェアの初期感染に利用されることが多い
特徴 ライブラリファイルを用いて機能を追加・カスタマイズが可能(モジュラー型のトロイの木馬)
活動時期 2014~
使用組織 TA542(Mummy Spider)
侵入方法 メールで侵入
感染方法 添付ファイル・外部リンク
感染拡大 外部ドライブの認証情報よりパスワードを取得し、SMB経由で共有ドライブへアクセス
パスワードリストを用いてネットワーク内の端末に対して総当たり攻撃
連携マルウェア Trickbot, Ryuk
【攻撃組織】
組織名 別名
TA542 Mummy Spider

※ 2015年までは、闇サイトで販売していたが、その後は TA542 が独占的に使用しているもよう(CrowdStrike)


【注意喚起】

◆マルウエア Emotet の感染に関する注意喚起 (JPCERT/CC, 2019/11/27)
https://www.jpcert.or.jp/at/2019/at190044.html
https://malware-log.hatenablog.com/entry/2019/11/27/000000_4

【最新情報】

◆A Comprehensive Look at Emotet’s Summer 2020 Return (Proofpoint, 2020/08/28)
[エモテットの2020年夏の復帰を総合的に見てみる]
https://www.proofpoint.com/us/blog/threat-insight/comprehensive-look-emotets-summer-2020-return
https://malware-log.hatenablog.com/entry/2020/08/28/000000_6

◆TA542 Returns With Emotet: What's Different Now (DarkReading, 2020/08/28 13:05)
[TA542はEmotetで復活。今回、何が違うのか]

Researchers report the TA542 threat group has made code changes to its malware and started targeting new locations with Emotet.
[研究者の報告によると、TA542脅威グループはマルウェアのコードを変更し、Emotetを使って新しい場所をターゲットにし始めました]

https://www.darkreading.com/threat-intelligence/ta542-returns-with-emotet-whats-different-now/d/d-id/1338785
https://malware-log.hatenablog.com/entry/2020/08/28/000000_5

◆Epic Fail: Emotet malware uses fake ‘Windows 10 Mobile’ attachments (BleepingComputer, 2020/09/02 12:48)
[Epic Fail:Emotetマルウェアが偽の「Windows 10 Mobile」添付ファイルを使用]
https://www.bleepingcomputer.com/news/security/epic-fail-emotet-malware-uses-fake-windows-10-mobile-attachments/
https://malware-log.hatenablog.com/entry/2020/09/02/000000_2

◆Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口 (日経XTECH, 2020/09/03)
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04541/
https://malware-log.hatenablog.com/entry/2020/09/03/000000_1

◆マルウェア「Emotet」の攻撃拡大--新手法も確認 (ZDNet, 2020/09/04 15:22)
https://japan.zdnet.com/article/35159169/
https://malware-log.hatenablog.com/entry/2020/09/04/000000

◆トレンドマイクロをかたる偽メールに注意 - Emotetを添付 (Security NEXT, 2020/09/04)
https://www.security-next.com/118127
https://malware-log.hatenablog.com/entry/2020/09/04/000000_1

◆マルウェア「Emotet」9月に入って急拡大 手口はさらに巧妙に (ITmedia, 2020/09/04 17:04)
https://www.itmedia.co.jp/news/articles/2009/04/news126.html
https://malware-log.hatenablog.com/entry/2020/09/04/000000_2

◆「EMOTET」がトレンドマイクロのアンケートメールを偽装 (Trendmicro, 2020/09/04)
https://blog.trendmicro.co.jp/archives/26049
https://blog.trendmicro.co.jp/wp-content/uploads/2020/09/IoC1.pdf
https://malware-log.hatenablog.com/entry/2020/09/04/000000_6

◆JPCERT/CCが注意喚起 マルウェア「Emotet」の新たな手口とは (ITmedia, 2020/09/07 07:00)
https://www.itmedia.co.jp/enterprise/articles/2009/07/news043.html
https://malware-log.hatenablog.com/entry/2020/09/07/000000_1

続きを読む

Firefox Send (まとめ)

【要点】

◎マルウェアによる悪用が増加したため、サービスが休止、終了した


【ニュース】

◆無料で最大2.5GBのデータを共有できるセキュリティ面もバッチリなファイル共有サービス「Firefox Send」が正式リリースされる (Gigazine, 2019/03/13 10:15)
https://gigazine.net/news/20190313-firefox-send/
https://malware-log.hatenablog.com/entry/2019/03/13/000000_8

◆無償のファイル送信サービス“Firefox Send”が一時停止中 ~マルウェアによる悪用が増加 (Impress Watch, 2020/07/08 08:30)
https://news.yahoo.co.jp/articles/5f77953ea52428d9b51f81f0a08a38615ba15946
https://malware-log.hatenablog.com/entry/2020/07/08/000000_2

◆Update on Firefox Send and Firefox Notes (Mozilla, 2020/09/17)
[Firefox の送信と Firefox のノートのアップデート]

As Mozilla tightens and refines its product focus in 2020, today we are announcing the end of life for two legacy services that grew out of the Firefox Test Pilot program: Firefox Send and Firefox Notes. Both services are being decommissioned and will no longer be a part of our product family. Details and timelines are discussed below.
[Mozilla が 2020 年に向けて製品フォーカスを強化し、洗練させていく中で、本日、Firefox Test Pilot プログラムから生まれた 2 つのレガシーサービスの終了を発表します。Firefox Send と Firefox Notes です。両サービスは廃止され、当社の製品ファミリーの一部ではなくなります。詳細とスケジュールは以下の通りです。]

https://blog.mozilla.org/blog/2020/09/17/update-on-firefox-send-and-firefox-notes/
https://malware-log.hatenablog.com/entry/2020/09/17/000000_2

◆一時停止中だった「Firefox Send」が再開することなく終了、「Notes」も同時に終わる (Gigazine, 2020/09/18 17:00)
https://gigazine.net/news/20200918-mozilla-firefox-send-notes-end/
https://malware-log.hatenablog.com/entry/2020/09/18/000000


【関連まとめ記事】

全体まとめ

◆サービス (まとめ)
https://malware-log.hatenablog.com/entry/Service

DoppelPaymer (まとめ)

【目次】

記事

【ニュース】

◆Next-Gen Ransomware Packs a ‘Human’ Punch, Microsoft Warns (Threat Post, 2020/03/06 16:50)
https://threatpost.com/next-gen-ransomware-packs-a-human-punch-microsoft-warns/153501/
https://malware-log.hatenablog.com/entry/2020/03/06/000000_6

◆人間が操作する巧妙なランサムウェアで被害が拡大--マイクロソフトの調査 (ZDNet, 2020/03/10 14:22)
https://japan.zdnet.com/article/35150560/
https://malware-log.hatenablog.com/entry/2020/03/10/000000

◆Ransomware Gangs to Stop Attacking Health Orgs During Pandemic (BleepingComputer, 2020/03/18 18:36)
https://www.bleepingcomputer.com/news/security/ransomware-gangs-to-stop-attacking-health-orgs-during-pandemic/
https://malware-log.hatenablog.com/entry/2020/03/18/000000_8

◆? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register) (NetSecurity, 2020/03/31 08:10)

マルウェアの DoppelPaymer と Maze を操るランサムウェアの犯人たちが、現在のパンデミックが終息するまでは医療機関を標的にしないと表明した

https://scan.netsecurity.ne.jp/article/2020/03/31/43892.html
https://malware-log.hatenablog.com/entry/2020/03/31/000000_4

◆Here's a list of all the ransomware gangs who will steal and leak your data if you don't pay (ZDNet, 2020/04/21 15:14)
[これは、あなたが支払わない場合は、データを盗み、漏洩させるランサムウェアのギャングのすべてのリストです]

Ransomware gangs are getting more aggressive these days about pursuing payments and have begun stealing and threatening to leak sensitive documents if victims don't pay the requested ransom demand.
[ランサムウェアのギャングは、最近では支払いを追求することに積極的になっており、被害者が要求された身代金の要求を支払わない場合には、機密文書を盗み出したり、脅したりするようになっています]

https://www.zdnet.com/article/heres-a-list-of-all-the-ransomware-gangs-who-will-steal-and-leak-your-data-if-you-dont-pay/
https://malware-log.hatenablog.com/entry/2020/04/21/000000_7

◆ランサムウェアグループ、米カリフォルニア州トーランス市の個人情報など公開 仮想通貨100BTCを要求 (Coin Voyage, 2020/04/23)
http://tamariba87.sakura.ne.jp/crypt/archives/66112
https://malware-log.hatenablog.com/entry/2020/04/23/000000

◆DoppelPaymer ransomware hits Newcastle University, leaks data (BleepingComputer, 2020/09/07 14:48)
https://www.bleepingcomputer.com/news/security/doppelpaymer-ransomware-hits-newcastle-university-leaks-data/
https://malware-log.hatenablog.com/entry/2020/09/07/000000_6

◆The Week in Ransomware - September 11th 2020 - A barrage of attacks (BleepingComputer, 2020/09/11 17:09)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-11th-2020-a-barrage-of-attacks/
https://malware-log.hatenablog.com/entry/2020/09/11/000000_7

◆U.K. warns of surge in ransomware threats against education sector (BleepingComputer, 2020/09/18 00:13)
[英国、教育分野に対するランサムウェアの脅威が急増していると警告]
https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-sector/

【資料】

◆事業継続を脅かす新たなランサムウェア攻撃について (IPA, 2020/08/20)
~「人手によるランサムウェア攻撃」と 「二重の脅迫」~
https://www.ipa.go.jp/files/000084974.pdf
https://malware-log.hatenablog.com/entry/2020/08/20/000000_8

関連情報

【情報公開サイト】
  • doppleshare.top
【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware

ドコモ口座 (まとめ)

【要点】

◎NTTドコモの電子決済サービス「ドコモ口座」を使って地銀の銀行口座から預金が不正に引き出された事件。銀行口座の暗唱番号を何らかの手段に入手し、ドコモ口座と銀行口座を連携して、銀行口座からドコモ口座に入金する。


【筆者のコメント】

〇本インシデントを題材にした、詐欺に注意が必要。金融機関を名乗り、口座から引き落されていたという口実で、通帳や情報を窃取される可能性が考えられる。手続き・説明等は、金融機関の建物内で行うのが無難(訪問者を名刺くらいで信用してはいけない)。


【概要】

項目 内容
関連金融機関 11行
被害顧客 162件
被害額 2764万円
その他 全件新規ドコモ口座を開設 (現時点では確認できていない)


■ドコモ口座への引出しが確認された銀行(12行)

銀行名 本拠地 件数 被害総額 備考
みちのく銀行 青森市 *1
七十七銀行 仙台市 数件 *2 *3 *4
東邦銀行 福島市 1件 3万円 *5
イオン銀行 東京都 *6
大垣共立銀行 岐阜県大垣市 8件 約180万円 *7
滋賀銀行 大津市 7件 約200万円 *8 *9
紀陽銀行 和歌山市 1件 *10
中国銀行 岡山市 14人 約500万円 *11 *12
鳥取銀行 鳥取市 3件 90万円 *13
ゆうちょ銀行 東京 82件 1546万円 *14
145件 2678万円


■ドコモ口座との連携を中止した銀行

銀行名 本拠地 備考
北洋銀行 札幌市 *15 *16
みちのく銀行 青森市
七十七銀行 仙台市
仙台銀行 仙台市 *17
東邦銀行 福島市
イオン銀行 東京都
大垣共立銀行 岐阜県大垣市
第三銀行 三重県松阪市 *18 *19
滋賀銀行 大津市
池田泉州銀行 大阪市 *20
紀陽銀行 和歌山市
但馬銀行 兵庫県豊岡市 *21
中国銀行 岡山市
鳥取銀行 鳥取市
伊予銀行 松山市 *22
大分銀行 大分市 *23
琉球銀行 那覇市 *24

※ 現在はドコモ口座を利用可能な全35銀行で新規登録を停止




【ニュース】

◆ドコモ口座の不正利用、「ドコモへの不正アクセスではない」 (ケータイWatch, 2020/09/08 19:19)
https://k-tai.watch.impress.co.jp/docs/news/1275752.html
https://malware-log.hatenablog.com/entry/2020/09/08/000000_3

◆「ドコモ口座」対応の金融機関、新たに14行が口座登録・変更の申込停止 (ケータイWatch, 2020/09/09 00:53)
https://k-tai.watch.impress.co.jp/docs/news/1275814.html
https://malware-log.hatenablog.com/entry/2020/09/09/000000

◆「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は (ITmedia, 2020/09/09 07:00)
https://www.itmedia.co.jp/news/articles/2009/09/news048.html
https://malware-log.hatenablog.com/entry/2020/09/09/000000_1

◆「ドコモ口座」使っていないのに被害 不審な取引に注意 (朝日新聞, 2020/09/09 17:30)
https://www.asahi.com/articles/ASN995CY2N99ULFA012.html
https://malware-log.hatenablog.com/entry/2020/09/09/000000_2

◆ドコモ口座不正 被害、昨年も りそな、登録停止 (毎日新聞, 2020/09/10)
https://mainichi.jp/articles/20200910/ddm/001/040/125000c
https://malware-log.hatenablog.com/entry/2020/09/10/000000

◆不正利用相次ぐ「ドコモ口座」、利用可能な全35行で新規登録停止へ (読売新聞, 2020/09/10 05:36)
https://www.yomiuri.co.jp/economy/20200909-OYT1T50244/
https://malware-log.hatenablog.com/entry/2020/09/10/000000_1

◆60万円知らぬ間に…防ぎようのない「デイーバライ」(朝日新聞, 2020/09/10)
https://digital.asahi.com/articles/ASN9B6D7BN9BPTIL02F.html
https://malware-log.hatenablog.com/entry/2020/09/10/000000_2

◆「ドコモ口座」への不正利用に関する対応について(追報) (中国銀行, 2020/09/11)
https://www.chugin.co.jp/news/797.html
https://malware-log.hatenablog.com/entry/2020/09/11/000000

◆「ドコモ口座」が採用するeKYCとは 過去の実績とともに読む (ITmedia, 2020/09/11 07:00)
https://www.itmedia.co.jp/enterprise/articles/2009/11/news051.html
https://malware-log.hatenablog.com/entry/2020/09/11/000000_5

◆ドコモ口座不正、大垣共立銀で計180万円被害 全額補償の方針 (岐阜新聞, 2020/09/12 08:51)
https://www.gifu-np.co.jp/news/20200912/20200912-273222.html
https://malware-log.hatenablog.com/entry/2020/09/12/000000_1

◆ドコモ口座事件の謝罪会見から見えてきた、本人確認不足以上の穴!被害を起こした本当の原因とは!? (Yahoo!, 2020/09/12 11:05)
https://news.yahoo.co.jp/byline/tadafumiaki/20200912-00197919/
https://malware-log.hatenablog.com/entry/2020/09/12/000000_2

◆ドコモ口座不正 被害1990万円に (毎日新聞, 2020/09/12)
https://mainichi.jp/articles/20200912/ddm/008/040/064000c
https://malware-log.hatenablog.com/entry/2020/09/12/000000

◆ドコモ不正引き出し 昨年末に銀行偽サイト大量発見 個人情報入手に悪用か (産経新聞, 2020/09/12 16:02)
https://www.sankei.com/affairs/news/200912/afr2009120011-n1.html
https://malware-log.hatenablog.com/entry/2020/09/12/000000_3

◆ドコモ口座不正で捜査 偽サイトで情報入手か (中日新聞, 2020/09/13 05:00)
https://www.chunichi.co.jp/article/120289
https://malware-log.hatenablog.com/entry/2020/09/13/000000

◆ドコモ口座、被害2542万円に スマホ決済で不正利用 (日経新聞, 2020/09/14 16:50)
https://www.nikkei.com/article/DGXMZO63808780U0A910C2000000/
https://malware-log.hatenablog.com/entry/2020/09/14/000000

◆ドコモ口座被害、新たに23件134万円確認 総額2676万円に (SankeiBiz, 2020/09/15 15:55)
https://www.sankeibiz.jp/business/news/200915/bsj2009151555009-n1.htm
https://malware-log.hatenablog.com/entry/2020/09/15/000000_3


【関連情報】

◆リバースブルートフォース攻撃 (まとめ)
https://malware-log.hatenablog.com/entry/Reverse_Brute_Force_Attack

◆パスワードスプレー攻撃 / Password Spray Attack (まとめ)
https://malware-log.hatenablog.com/entry/Password_Spray_Attack

◆多くの金融機関をかたるフィッシング (2019/12/26) (フィッシング対策協議会, 2019/12/26)
https://www.antiphishing.jp/news/alert/phishbank_20191226.html
https://malware-log.hatenablog.com/entry/2019/12/26/000000_6

◆地銀顧客狙うサイバー攻撃に注意 偽サイト増加、不正送金も (47News, 2020/01/16 06:32)
https://www.47news.jp/4420775.html
https://malware-log.hatenablog.com/entry/2020/01/16/000000_8


【検索】

google: ドコモ口座
google:news: ドコモ口座


【関連情報】

◆インシデント: 電子決済サービス (まとめ)
https://malware-log.hatenablog.com/entry/Electronic_Payment_Service


【関連まとめ記事】

全体まとめ
 ◆インシデント (まとめ)
  ◆2020年のインシデント (まとめ)

◆2020年09月のインシデント (まとめ)
https://malware-log.hatenablog.com/entry/Incident_202009

*1:「d払い」新規口座登録・チャージ機能の一時停止のお知らせ

*2:<重要>「ドコモ口座」を利用した当行口座の不正利用の発生

*3:<重要>「ドコモ口座」へのチャージの一時停止について

*4:<重要>「ドコモ口座」を利用した当行口座の不正利用への対応について

*5:「ドコモ口座」の不正利用への対応について

*6:ドコモ口座におけるイオン銀行口座の不正利用への対応について(9月11日更新)

*7:「ドコモ口座」を利用した当社口座の不正利用への対応について

*8:「ドコモ口座」を利用した当行口座の不正利用の発生について

*9:「ドコモ口座」の不正利用への対応

*10:「ドコモ口座」に対する当行口座からのチャージの一時停止について

*11:「ドコモ口座」への不正利用に関する対応について(追報)

*12:顧客被害14人500万円 ドコモ口座問題で中国銀発表

*13:「ドコモ口座」を使用した当行口座の不正利用への対応について

*14:「ドコモ口座」への口座登録、口座変更およびチャージ(入金)の一時停止について(9月11日更新)

*15:「ドコモ口座」への即時チャージサービスの一時停止について

*16:「ドコモ口座」不正利用における確認方法について

*17:「d 払い」への当行口座からの即時チャージ機能の一時停止について

*18:「d払い」(ドコモ口座)へのチャージ機能の一時停止について

*19:「d払い」(ドコモ口座)の不正利用への対応について

*20:「ドコモ口座」への口座登録の一時停止について

*21:ウォレットサービス「d払い」/「ドコモ口座」 新規口座登録・チャージ機能の一時停止のお知らせ

*22:「ドコモ口座」へのチャージ機能の一時停止のお知らせ

*23:「ドコモ口座」(d払い)へのチャージ機能の一時停止について

*24:「ドコモ口座」(d払い)へのチャージ機能の一時停止について

The Week in Ransomware (まとめ)

【要点】

◎BleepingComputerがまとめる 最新のRamsomware 情報。Twitter 情報もこまめに収集しているのが特徴


【ニュース】

■2020年09月

◆The Week in Ransomware - September 18th 2020 - Schools under attack (BleepingComputer, 2020/09/18 15:41)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-18th-2020-schools-under-attack/
https://malware-log.hatenablog.com/entry/2020/09/18/000000_1

◆The Week in Ransomware - September 11th 2020 - A barrage of attacks (BleepingComputer, 2020/09/11 17:09)

BlackRose / Consciousness / Dharma / DoppelPaymer / Flamingo / Matrix / MedusaLocker / Netwalker / ProLock / STOP / ThunderX / Xorist

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-11th-2020-a-barrage-of-attacks/
https://malware-log.hatenablog.com/entry/2020/09/11/000000_7

◆The Week in Ransomware - September 4th 2020 - Stay Alert! (BleepingComputer, 2020/09/04)

AESMewLocker / AIDS_NT / BlackHeart / BlackKnight / BOOP STOP / Conti / CoronaCrypt0r / Crypter / Cyrat / DarkSide / Dharma / Fappy / Gladius / Geneve / Hexadecimal / HiddenTear / Matrix / ProLock / SunCrypt / Thanos / VashSorena / ViluciWare / XMRLocker / Z3enc / Zorab

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-4th-2020-stay-alert/
https://malware-log.hatenablog.com/entry/2020/09/04/000000_8


■2020年08月

◆The Week in Ransomware - August 21st 2020 - Ransomware Ahoy! (BleepingComputer, 2020/08/21)

DarkSide / Dharma / Jigsaaw / P4YME screen locker / SFile / TapPiF / Wannacry Xorist

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-21st-2020-ransomware-ahoy/
https://malware-log.hatenablog.com/entry/2020/08/21/000000_11

◆The Week in Ransomware - August 14th 2020 - Crime made easy (BleepingComputer, 2020/08/14 11:42)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-14th-2020-crime-made-easy/
https://malware-log.hatenablog.com/entry/2020/08/14/000000_8

◆The Week in Ransomware - August 7th 2020 - Businesses under siege (BleepingComputer, 2020/08/07)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-7th-2020-businesses-under-siege/
https://malware-log.hatenablog.com/entry/2020/08/07/000000_9

続きを読む

Leading U.S. laser developer IPG Photonics hit with ransomware

【図表】

f:id:tanigawa:20200920203031j:plain
Konica Minolta ransom note
出典: https://www.bleepingcomputer.com/news/security/leading-us-laser-developer-ipg-photonics-hit-with-ransomware/


【ニュース】

◆Leading U.S. laser developer IPG Photonics hit with ransomware (BleepingComputer, 2020/09/18 13:09)
[米国の大手レーザー開発会社IPG Photonicsがランサムウェアの被害に遭う]
https://www.bleepingcomputer.com/news/security/leading-us-laser-developer-ipg-photonics-hit-with-ransomware/

U.K. warns of surge in ransomware threats against education sector

【ニュース】

◆U.K. warns of surge in ransomware threats against education sector (BleepingComputer, 2020/09/18 00:13)
[英国、教育分野に対するランサムウェアの脅威が急増していると警告]
https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-sector/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)
  ◆ランサムウェア (まとめ)

◆DoppelPaymer (まとめ)
https://malware-log.hatenablog.com/entry/DoppelPaymer

ネット証券で口座への不正アクセスが相次ぐ

【ニュース】

◆ネット証券で口座への不正アクセスが相次ぐ (iFOREX, 2020/09/18)
https://www.iforex.jpn.com/news/%E3%83%8D%E3%83%83%E3%83%88%E8%A8%BC%E5%88%B8%E3%81%A7%E5%8F%A3%E5%BA%A7%E3%81%B8%E3%81%AE%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%8C%E7%9B%B8%E6%AC%A1%E3%81%90-202009181356


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020