ダウンロード - シグネチャ更新ファイル –

MC-50/100、MC-55S/60S/200S更新ファイル

ダウンロード シグネチャVersion212
ファイル名 sig_v212.sig
容量 8.77KB
リリース日 2018年12月12日
Version 212

MC-70S/MC-70S1U/MC-56S更新ファイル

ダウンロード シグネチャVersion212
ファイル名 signature.img
容量 449KB
リリース日 2018年12月12日
Version 212

更新内容

シグネチャID 2001047 (防御)
シグネチャ名 Amazon Phishing URL SSL Request 1
内容 Amazonを装った偽サイトにアクセスするときの通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています
シグネチャID 2001048 (防御)
シグネチャ名 MS Office Exploit CVE-2017-11882 RTF
内容 Microsoft Officeの脆弱性(CVE-2017-11882)を悪用する通信を検出するシグネチャです。
細工されたOffice文書を閲覧した場合にユーザの権限で任のコードが実行される可能性があります。
Microsoft Officeを最新版へアップデートしてください。
また、Windows Updateを行い、常に最新の状態で運用されることを推奨いたします。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています
シグネチャID 2001049 (防御)
シグネチャ名 Old Adobe Flash Request (31.x.x.x : IE)
内容 脆弱性が報告されている旧バージョン31のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
シグネチャID 2001050 (防御)
シグネチャ名 YJ Card Phishing URL HTTP Request 1
内容 Yahoo!JAPANカードを偽装したフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
シグネチャID 2001051 (防御)
シグネチャ名 Avtech Remote Code Execution
内容 AVTECH社製ネットワーク等の脆弱性を標的としたアクセスを検出するシグネチャです。
リモートから任意のコード実行が可能な脆弱性が存在しており、不正プログラムに感染させる実行ファイルをダウンロードさせる可能性があります。
受信先IPアドレスの機器のファームウェアのアップデートを行ってください。
また、送信元IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
シグネチャID 3000151 (検知)
シグネチャ名 Browser IE7 Detect
内容 送信元IPアドレスの端末でInternet Explorer 7(IE7)が使用されているときの通信を検出するシグネチャです。
Internet Explorer 7はWindows Vistaにインストール可能ですが、既にサポートが終了していますので、最新のInternet Explorerへの移行を検討してください。
シグネチャID 3000152 (検知)
シグネチャ名 Browser IE8 Detect
内容 送信元IPアドレスの端末でInternet Explorer 8(IE8)が使用されているときの通信を検出するシグネチャです。
Internet Explorer 8はWindows VistaとWindows 7にインストール可能ですが、既にサポートが終了していますので、最新のInternet Explorerへの移行を検討してください。
シグネチャID 3000153 (検知)
シグネチャ名 Browser IE9 Detect
内容 送信元IPアドレスの端末でInternet Explorer 9(IE9)が使用されているときの通信を検出するシグネチャです。
Internet Explorer 9はWindows VistaとWindows 7にインストール可能ですが、既にサポートが終了していますので、最新のInternet Explorerへの移行を検討してください。
シグネチャID 3000154 (検知)
シグネチャ名 Browser IE10 Detect
内容 送信元IPアドレスの端末でInternet Explorer 10(IE10)が使用されているときの通信を検出するシグネチャです。
Internet Explorer 10はWindows 7とWindows 8にインストール可能ですが、既にサポートが終了していますので、最新のInternet Explorerへの移行を検討してください。
シグネチャID 3000108 (検知)
シグネチャ名 Other ping
内容 ※検出精度の向上を行いました。
シグネチャID 2000871, 3000130 (検知)
シグネチャ名 LINE SSL Server Response 1
LINE SSL Server Response Proxy 1
内容 ※本来の目的での検出が難しいため、無効化しました。

NetStable MC-50/100 シグネチャ手動更新の方法

MC-50/100 シグネチャ手動更新の方法
(1) シグネチャ管理の「シグネチャのアップデート」をクリックして下さい。
(2) シグネチャファイルの追加欄より、参照ボタンをクリックして、ダウンロードしたシグネチャプログラムを選択して下さい。
(3) アップロードボタンをクリックして適用を行って下さい。

NetStable MC-55S/60S/200S シグネチャ手動更新の方法

MC-55S/60S/200S シグネチャ手動更新の方法
以下のシグネチャ適用マニュアルをダウンロードして実施してください。
http://mcsecurity.co.jp/download/manual/signatureupdate.pdf

 

NetStable MC-70S/MC-70S1U/MC-56S シグネチャ手動更新の方法

MC-70S シグネチャ手動更新の方法
(1) システム情報右上に表示されているアップデートアイコンをクリックして下さい。
(2) シグネチャファイルの追加欄より、参照ボタンをクリックして、ダウンロードしたシグネチャプログラムを選択して下さい。
(3) 手動アップデートボタンをクリックして適用を行って下さい。

 

更新履歴

日付 Version 機能追加・修正の概要
2018/11/28 sig_v211.sig シグネチャID
-2001039 (防御)
シグネチャ名及び内容
-Apple Phishing URL HTTP Request 6
Appleを偽装したフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています
==============================================
シグネチャID
-2001040 (防御)
シグネチャ名及び内容
-JMA Phishing URL HTTP Request 1
気象庁を偽装したフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています
==============================================
シグネチャID
-2001041 – 2001042 (防御)
シグネチャ名及び内容
-WordPress GDPR Plugin Privilege Escalation 1
-WordPress GDPR Plugin Privilege Escalation 2
WordPressのプラグインであるWP GDPRの脆弱性を悪用する通信を検出するシグネチャです。
この脆弱性を悪用して、乗っ取りや改ざんなどの被害がほうこくされています。
受信先IPアドレスのプラグインWP GDPRのアップデートを行ってください。
また、WordPressのバージョンも最新版での運用を推奨いたします。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています
==============================================
シグネチャID
-2001043 – 2001044 (防御)
シグネチャ名及び内容
-Adware Malware HTTP Request
-Adware Malware DNS Request
広告系アドウェアの通信を検出するシグネチャです。
アドウェアのダウンロードまたは、インストール時のC&Cサーバへの接続を検出した可能性があります。
感染した場合、定期的なポップアップ広告の表示やソフトの購入を求めるメッセージを表示される可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001045 – 2001046 (防御)
シグネチャ名及び内容
-URSNIF HTTP Request 24
-URSNIF HTTP Request 25
URSNIFのマルウェアを実行する際に使用されるURLへアクセスするときの通信を検出するシグネチャです。
URLNIFが実行されると、情報搾取機能により、送信元端末のアカウント認証情報や個人情報が搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000149 (検知)
シグネチャ名及び内容
-BEBLOH C&C Connect
オンライン詐欺ツールであるBEBLOHのC&Cサーバへの接続通信を検出するシグネチャです。
C&Cサーバへの接続が成功した場合、他の情報を搾取するマルウェアをダウンロードする可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000150 (検知)
シグネチャ名及び内容
-BEBLOH SSL PNG Download
オンライン詐欺ツールであるBEBLOHをダウンロードする際の通信を検出するシグネチャです。
ダウンロードした場合、C&Cサーバへの接続を試み、他の情報を搾取するマルウェアをダウンロードする可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000108, 3000130 (検知)
シグネチャ名及び内容
-Other ping
-LINE SSL Server Response Proxy 1
※検出精度の向上を行いました。
2018/11/14 sig_v210.sig シグネチャID
-2001038 (防御)
シグネチャ名及び内容
-Fake FlashPlayer Update URL Request
Flash Playerの偽更新プラグラムへのアクセスを検出するシグネチャです。
正規プログラムを装い、コインマイナーなどをインストールさせる攻撃が確認されています。
防御設定ですが、送信元IPアドレスの端末のウイルスチェックを行い、マルウェア等のインストールがされていないか確認してください。
==============================================
シグネチャID
-3000142 (検知)
シグネチャ名及び内容
-Docker Engine setting deficiencies
コンテナ型仮想環境を提供するソフトウェア「Docker Engine」における設定不備を悪用する通信を検出するシグネチャです。
Docer APIが使用するポート「2375/TCP」および「2376/TCP」がインターネット上に公開されている可能性があります。
「2375/TCP」および「2376/TCP」ポートにおけるアクセス制限、インターネット上に公開せずに運用されることを推奨いたします。
==============================================
シグネチャID
-3000143 – 3000145 (検知)
シグネチャ名及び内容
-NICT PortScan Response 1
-NICT PortScan Response 2
-NICT PortScan Response 3
2018/11/14から行われる、情報通信研究機構(NICT)によるポートスキャンと情報収集の通信を検知するシグネチャです。
送信元IPアドレスのサーバにポートスキャンが行われ、応答を返す通信を検知します。
送信元IPアドレスのサーバでSSH,Telnet,HTTPが稼働しており、外部のIPから直接応答出来る設定になっています。
意図しないサービスが公開設定になっていないか確認してください。
特にSSH,Telnetはサーバやネットワーク機器のメンテナンスに利用されるため、IPアドレスによるアクセス制限やパスワードを強固にして利用してください。
==============================================
シグネチャID
-3000146 (検知)
シグネチャ名及び内容
-Port 69 UDP (TFTP) from Global
UDPポート69番宛への通信が行われました。
このポート番号はTFTPで利用されるポート番号です。TFTPは一般的なFTPと違い、簡易的なファイル転送機能しかなく、限定的な用途にしか利用されません。
また、DoS攻撃に利用されることがあります。
この通信に心当たりが無い場合、防御設定に変更したり、ファイアウォールの設定を見直すなどして、通信を遮断してください。
==============================================
シグネチャID
-3000147 (検知)
シグネチャ名及び内容
-Port 389 UDP (LDAP) from Global
UDPポート389宛の通信を検出するシグネチャです。
389番ポートはLDAPに使用されるポートで、「SearchRequest」メッセージの送信により機器を探索する際に利用されますが、この応答は、DoS攻撃の一種であるリフレクション攻撃に利用される可能性があります。
受信先IPの設定の確認を行い、必要に応じてアクセス制限などの対策を行ってください。
==============================================
シグネチャID
-3000148 (検知)
シグネチャ名及び内容
-Port 6892 UDP from Global
UDPポート6892番宛への通信を検出するシグネチャです。
このポート番号はBitTorrentで利用されますが、ウイルス感染時の通信にも利用される場合があります。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000333 (防御)
シグネチャ名及び内容
-Malicious address 10 UDP
※検出精度の向上を行いました。
==============================================
シグネチャID
-1447 – 1448, 2000356, 2000422, 2000432 (検知)
-2000512 – 2000519, 2000789, 2000872 – 2000873 (検知)
シグネチャ名及び内容
-Windows RDP 1 (MS Terminal) 旧名:MS Terminal
-Windows RDP 2 (MS Terminal) 旧名:MS Terminal
-Port 6892 UDP to Global 旧名:Global Port 6892 UDP
-Port 69 UDP (TFTP) to Global 旧名:Global Port 69 UDP (TFTP)
-Port 389 UDP (LDAP) to Global 旧名:Port 389 Detect (LDAP)
-FTP Server unencrypted login 旧名:Global FTP Plain Connection
-CouchDB all_dbs Command 旧名:Global CouchDB Request 1
-CouchDB session Command 旧名:Global CouchDB Request 2
-CouchDB all_docs Command 旧名:Global CouchDB Request 3
-Elasticsearch nodes Command 旧名:Global Elasticsearch Request 1
-Elasticsearch settings Command 旧名:Global Elasticsearch Request 2
-Elasticsearch stats Command 旧名:Global Elasticsearch Request 3
-Elasticsearch indices Command 旧名:Global Elasticsearch Reques 4
-Hadoop HDFS LISTSTATUS Command 旧名:Global Hadoop HDFS Request
-MQTT CONNECT Command 旧名:IoT Control Protocol(MQTT) CONNECT command from Global-IP
-memcached status Command 旧名:memcached status scanning from Global-IP
-memcached get Command 旧名:memcached get data from Global-IP
※シグネチャ名の変更、検出精度の向上を行いました。
2018/11/7 sig_v209.sig シグネチャID
-2001036 – 2001037 (防御)
シグネチャ名及び内容
-Web-Miner(xxgasm) access
-Web-Miner(xxgasm) access with proxy
ブラウザ上で仮想通貨の採掘(マイニング)を行うツールを提供しているサイトへのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
また、採掘コード以外にも不正なコードが含まれている可能性があります。
サイトの閲覧を中止し、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000137 – 3000138 (検知)
シグネチャ名及び内容
-Pop3 wiz
-Pop3 wiz 2
送信元IPアドレスのメールサーバから、添付ファイルの拡張子が「.wiz」であるメールを受信しました。
これはWordのファイル形式ですが、ウイルスの実行目的で送信されることが報告されています。
メールの添付ファイルに心当たりがない場合は、この拡張子を持つ添付ファイルは実行しないでください。
==============================================
シグネチャID
-3000139 – 3000141 (検知)
シグネチャ名及び内容
-Lenovo Feedback 4 SSL
-Lenovo Feedback 4 SSL Proxy
-Lenovo Feedback 4 HTTP
Lenovo製のパソコンからアプリケーションの利用情報を外部に送信しようとしたことを検出しました。
Lenovo製の一部パソコンでは使用頻度の多いアプリケーションの統計を取り、情報をLenovoおよび関連広告会社に送信します。
この機能による利用情報収集が不要な場合は、Lenovoサイト等を参照し、送信元IPアドレスのパソコンからアンインストールや設定変更を行ってください。
==============================================
シグネチャID
-2000310 (防御)
シグネチャ名及び内容
-Lenovo Feedback 4 DNS
※検出精度の向上を行いました。
2018/10/24 sig_v208.sig シグネチャID
-2001029 – 2001031 (防御)
シグネチャ名及び内容
-VBS Exploit CVE-2018-8373 1
-VBS Exploit CVE-2018-8373 2
-VBS Exploit CVE-2018-8373 3
VBScriptエンジンの脆弱性(CVE-2018-8373)を悪用した攻撃通信を検出するシグネチャです。
送信元IPアドレスの端末が意図しない不正なサイトへアクセスしている可能性があります。
本脆弱性を悪用してマルウェアを拡散することが報告されています。
送信元IPアドレスの端末のWindowsUpdateを行い、最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2001032 – 2001033 (防御)
シグネチャ名及び内容
-VBS Exploit CVE-2018-8174 1
-VBS Exploit CVE-2018-8174 2
VBScriptエンジンの脆弱性(CVE-2018-8174)を悪用した攻撃通信を検出するシグネチャです。
送信元IPアドレスの端末が意図しない不正なサイトへアクセスしている可能性があります。
本脆弱性を悪用して仮想通貨発掘マルウェアを拡散することが報告されています。
送信元IPアドレスの端末のWindowsUpdateを行い、最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2001034 – 2001035 (防御)
シグネチャ名及び内容
-Win32k Exploit CVE-2018-8453 1
-Win32k Exploit CVE-2018-8453 2
WindowsのWin32kの脆弱性(CVE-2018-8453)を悪用した攻撃通信を検出するシグネチャです。
送信元IPアドレスの端末が意図しない不正なサイトへアクセスしている可能性があります。
本脆弱性を悪用してマルウェアを拡散することが報告されています。
送信元IPアドレスの端末のWindowsUpdateを行い、最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000135 (検知)
シグネチャ名及び内容
-/.env access
認証情報等が保存された.envファイルへのアクセスを検出するシグネチャです。
.envファイルには、パスワード等の機密情報等が記載されており、送信元IPアドレスに心当たりがない場合は、パスワード等を搾取されている可能性があります。
.envファイルに記載されているパスワードの変更を行っていただき、ご利用中のWebアプリケーションの設定の見直しを行ってください。
==============================================
シグネチャID
-3000136 (検知)
シグネチャ名及び内容
-PHP Cache pollution request
外部IPアドレスからPHPの脆弱性(CVE-2018-17082)を悪用した攻撃通信を検出するシグネチャです。
Apacheのモジュール「mod_cache」によりキャッシュを有効化している場合、本脆弱性を悪用することで、キャッシュの汚染が引き起こされる可能性があります。
PHPの最新版インストールして運用されることを推奨いたします。
==============================================
シグネチャID
-2000479 – 2000480 (防御)
シグネチャ名及び内容
-BaiduIME Block SSL (旧名:BaiduIME SSL Request 1)
-BaiduIME Block SSL Proxy (旧名:BaiduIME SSL Request 2)
※シグネチャ名の変更、検出精度の向上を行いました。
==============================================
シグネチャID
-2100001 – 2100002, 2100009, 2000246 – 2000250 (防御)
シグネチャ名及び内容
-BaiduIME Block 1 cloud
-BaiduIME Block 2
-BaiduIME Block 3
-BaiduIME Block 4 sync
-BaiduIME Block 5 download
-BaiduIME Block 6 update
-BaiduIME Block 7 businessplatform
-BaiduIME Block 8 businesspackage
※ 代替シグネチャを作成したため、無効化しました。
 代替シグネチャ:
・sid:2000479 BaiduIME Block SSL
・sid:2000480 BaiduIME Block SSL Proxy
==============================================
シグネチャID
-2000896 – 2000900 (検知)
シグネチャ名及び内容
-TLD .webcam Access
-TLD .men Access
-TLD .click Access
-TLD .science Access
-TLD .racing Access
※本来の目的での検出が難しいため、無効化しました。
2018/10/10 sig_v207.sig シグネチャID
-2001012 – 2001018 (防御)
シグネチャ名及び内容
-Mirai bot malformed User-Agent Gemini
-Mirai bot malformed User-Agent Hakai
-Mirai bot malformed User-Agent Hello World
-Mirai bot malformed User-Agent LMAO
-Mirai bot malformed User-Agent Ronin
-Mirai bot malformed User-Agent Shinka 1
-Mirai bot malformed User-Agent Shinka 2
Miraiの亜種による感染を試みる通信を検出するシグネチャです。
感染した場合、DDoS攻撃などに悪用される可能性があります。
一般的なWeb閲覧で利用されることはありません。
設置されているルータのファームウェアを最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2001019 – 2001020 (防御)
シグネチャ名及び内容
-Emotet initial injection 1
-Emotet initial injection 2
マルウェアである「Emotet」の感染を試みる通信を検出するシグネチャです。
スパムメールから感染を試みることが報告されており、感染した場合、情報の流出、他のPCへのマルウェア拡散を行う可能性があります。
心当たりのないメールの添付ファイルやURLリンクへのアクセスは行わないでください。
==============================================
シグネチャID
-2001021 – 2001022 (防御)
シグネチャ名及び内容
-Apache Struts RCE CVE-2018-11776 1
-Apache Struts RCE CVE-2018-11776 2
送信元IPアドレスの端末から、受信先IPアドレスのWebサーバへ、Struts2の脆弱性を攻撃する通信が送信されました。
脆弱性を悪用された場合、受信先IPアドレスのWebサーバで意図しないコマンドが実行され、情報の漏洩や不具合が発生する可能性があります。
一般的な通信において、このコマンドを利用する可能性は低いです。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています
==============================================
シグネチャID
-2001023 – 2001028 (防御)
シグネチャ名及び内容
-NOKKI RAT Connection (APT38 RAT) 1
-NOKKI RAT Connection (APT38 RAT) 2
-NOKKI RAT Connection (APT38 RAT) 3
-NOKKI RAT Connection (APT38 RAT) 4
-NOKKI RAT Connection (APT38 RAT) 5
-NOKKI RAT Connection (APT38 RAT) 6
不正送金に利用されるマルウェア「NOKKI」の通信を検知するシグネチャです。
送信元IPアドレスの端末がマルウェアに感染し、受信先IPアドレス宛へ情報を送信しようとしている可能性があります。
送信元IPアドレスの端末の情報やデータが外部に送信され、情報漏洩や不正出金につながる恐れがあります。
一般的な通信において、このコマンドを利用する可能性は低いです。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000541 – 2000582, 2000742 – 2000747 (防御)
シグネチャ名及び内容
-WannaCry C&C Connect 1 ~ 42
-XXMM C&C connection 1 ~ 6
※検出精度の向上を行いました
2018/9/26 sig_v206.sig シグネチャID
-2001003 (防御)
シグネチャ名及び内容
-WordPress Duplicator Remote code execution
WordPressのプラグインであるDuplicatorの脆弱性を悪用する通信を検出するシグネチャです。
この脆弱性を利用して任意のコードを実行される可能性があります。
受信先IPアドレスのDuplicatorのバージョンアップを行ってください。
また、バージョンアップだけでなく、サーバ上にinstaller.phpおよびinstaller-backup.phpファイルが生成されたままになっている場合は削除してください。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2001004 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (30.x.x.x : IE)
脆弱性が報告されている旧バージョン30のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2001005 – 2001006 (防御)
シグネチャ名及び内容
-Malware iqy file download 1
-Malware iqy file download 2
ウイルス付きのiqyファイル開いたときの通信を検出するシグネチャです。
ファイル開いた場合、ウイルスに感染し、PC内の情報を搾取される可能性があります。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスの端末のウイルスチェックを行ってください。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2001007 (防御)
シグネチャ名及び内容
-Ghostscript dSAFER Command Execution
Ghostscriptの-dSAFERオプションの脆弱性を狙ったコマンドを検出するシグネチャです。
脆弱性を悪用されると、任意のコードを実行される可能性があります。
すでに悪用コードが公開されているため、修正版の適用を行ってください。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2001008 – 2001009 (防御)
シグネチャ名及び内容
-AppleJeus fake installer download (Windows)
-AppleJeus fake installer download (MacOS)
攻撃キャンペーン「AppleJeus」によるマルウェアのインストーラファイルのダウンロード通信を検出するシグネチャです。
ダウンロードされると、インストーラファイルを実行し、PC内の情報をC&Cサーバへ送信することが報告されています。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2001010 (防御)
シグネチャ名及び内容
-MenuPass UPPERCUT backdoor download
攻撃グループ「MenuPass」によるバックドアである「UPPERCUT」のダウンロード通信を検出するシグネチャです。
バックドアがダウンロードされると、リモートアクセスツールなどの他の不正ツールがインストールされる可能性があります。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2001011 (防御)
シグネチャ名及び内容
-PowerPool C&C Connect
攻撃グループ「PowerPool」によるWindowsの脆弱性を利用したマルウェアをダウンロードする際の端末情報を送信するときの通信を検出するシグネチャです。
マルウェアに感染すると、PC内部に不正侵入される可能性があります。
送信元IPアドレスの端末のWindows Updateを行ってください。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-3000134 (検知)
シグネチャ名及び内容
-Global-IP quest investigation
グローバルIPアドレスの探求調査が行われているときの通信を検出するシグネチャです。
送信元IPアドレスから受信先IPアドレスに対してグローバルIPアドレス情報を送信している可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
グローバルIPアドレスの情報を外部へ送信しない場合は、防御設定で運用されることを推奨いたします。
==============================================
シグネチャID
-2000870 – 2000871, 3000129 – 3000130 (検知)
シグネチャ名及び内容
-LINE SSL Client Request 1
-LINE SSL Server Response 1
-LINE SSL Client Request Proxy 1
-LINE SSL Server Response Proxy 1
※説明文を修正しました
※上記シグネチャは、検知専用であり、アプリケーションの遮断はできない仕様となっております
2018/9/12 sig_v205.sig シグネチャID
-2000992 (防御)
シグネチャ名及び内容
-Apache Struts2 remote code execution (CVE-2018-11776)
脆弱性(CVE-2018-11776)が報告されているApache Struts2の外部から細工したリクエストの通信を検出するシグネチャです。
この脆弱性を利用して任意のコードを実行される可能性があります。
受信先IPアドレスのApache Struts2のバージョンアップを行ってください。
==============================================
シグネチャID
-2000993 – 2000996 (防御)
シグネチャ名及び内容
-Fallout Exploit Kit HTTP Request 1
-Fallout Exploit Kit HTTP Request 2
-Fallout Exploit Kit HTTP Request 3
-Fallout Exploit Kit HTTP Request 4
Fallout Exploit Kitで使用されるドメインへのアクセスを検出するシグネチャです。
アクセスが成功した場合、ランサムウェアに感染するファイル等がダウンロードされる可能性があります。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスのウイルスチェック、アクセス制限等を行ってください。
==============================================
シグネチャID
-2000997 (防御)
シグネチャ名及び内容
-Fallout Exploit Kit Redirect URL Request
Fallout Exploit Kitで使用されるドメインのリダイレクトURLへのアクセスを検出するシグネチャです。
アクセスが成功した場合、ランサムウェアに感染するファイル等がダウンロードされる可能性があります。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスのウイルスチェック、アクセス制限等を行ってください。
==============================================
シグネチャID
-2000998 (防御)
シグネチャ名及び内容
-Malicious Sagawa application download
偽の佐川急便アプリを騙ったマルウェアをダウンロードしようとする通信を検出するシグネチャです。
佐川急便アプリを騙り、マルウェアをインストールさせられる可能性があります。
送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
シグネチャID
-2000999 – 2001002 (防御)
シグネチャ名及び内容
-Yahoo Phishing URL HTTP Request 1
-Yahoo Phishing URL HTTP Request 2
-Yahoo Phishing URL HTTP Request 3
-Yahoo Phishing URL HTTP Request 4
Yahoo!Japanの募金サイトに似せたフィッシングサイトへのアクセスを検知するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-3000129 (検知)
シグネチャ名及び内容
-LINE SSL Client Request Proxy 1
コミュニケーションアプリ「LINE」起動時のサーバへの通信を検出するシグネチャです。
送信元IPアドレスの端末がLINEを起動したり、サイトにアクセスした可能性があります。
業務で利用されていない場合は、アンインストールされることを推奨いたします。
==============================================
シグネチャID
-3000130 (検知)
シグネチャ名及び内容
-LINE SSL Server Response Proxy 1
コミュニケーションアプリ「LINE」起動時のサーバからのレスポンスの通信を検出するシグネチャです。
受信先IPアドレスの端末がLINEを起動したり、サイトにアクセスした可能性があります。
業務で利用されていない場合は、アンインストールされることを推奨いたします。
==============================================
シグネチャID
-3000131 – 3000132 (検知)
シグネチャ名及び内容
-Pop3 .iqy
-Pop3 .iqy 2
送信元IPアドレスのメールサーバから、添付ファイルの拡張子が「.iqy」であるメールを受信しました。
これはExcelのファイル形式ですが、ウイルスの実行目的で送信されることが報告されています。
メールの添付ファイルに心当たりがない場合は、この拡張子を持つ添付ファイルは実行しないでください。
==============================================
シグネチャID
-3000133 (検知)
シグネチャ名及び内容
-Netcore router backdoor access detect
Netis及びNetcore社製ルータの脆弱性を狙った攻撃を検出するシグネチャです。
脆弱性を悪用してルータをマルウェアに感染させようと試みることが報告されています。
受信先IPアドレスの機器のファームウェアのバージョンを最新にし、送信元IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
2018/8/29 sig_v204.sig シグネチャID
-2000985 (防御)
シグネチャ名及び内容
-SQL injection (=1’or’1)
SQLインジェクション攻撃で利用される通信パターンを検知するシグネチャです。
受信先IPアドレスのWebサーバの情報を不正に入手される可能性があります。
一般的な通信において、このコマンドを利用することはありません。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000986 (防御)
シグネチャ名及び内容
-PRINCESS Ransom C&C Connect
ランサムウェアである「PRINCESS」感染時のC&Cサーバへの接続を試みる通信を検知するシグネチャです。
送信元IPアドレスの端末がランサムウェアに感染し、ファイルが暗号化されたり情報の流出が起きる可能性があります。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
シグネチャID
-2000987 – 2000988 (防御)
シグネチャ名及び内容
-LINE Phishing URL HTTP Request 3
-LINE Phishing URL HTTP Request 4
LINEに偽装したフィッシングサイトへのアクセスを検知するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000989 – 2000991 (防御)
シグネチャ名及び内容
-Saison Phishing URL HTTP Request 1
-Saison Phishing URL HTTP Request 2
-Saison Phishing URL HTTP Request 3
セゾンNetアンサーに偽装したフィッシングサイトへのアクセスを検知するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-3000123 (検知)
シグネチャ名及び内容
-Null pattern request
制御文字であるNull文字を送信し、意図しない動作をさせる通信を検知するシグネチャです。
受信先IPアドレスのWebサーバにおいて、誤動作や意図しないコマンドを実行される可能性があります。
一般的な通信において、このコマンドを利用することはありません。本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-3000124 – 3000125 (検知)
シグネチャ名及び内容
-ID command injection 1
-ID command injection 2
サーバのアカウント情報を確認するIDコマンドが送信されたことを検知するシグネチャです。
サーバのアカウント情報が取得され、サーバを攻撃する準備に利用される恐れがあります。
一般的な通信において、このコマンドを利用することはありません。本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-3000126 (検知)
シグネチャ名及び内容
-JavaScript tag injection
JavaScriptのscriptタグの定形パターンを送り、脆弱性の有無を調査しようとするものを検知するシグネチャです。
表示される内容や動作によって、Webサーバ上の脆弱性の有無を判定される可能性があります。
一般的な通信において、このコマンドを利用することはありません。本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-3000127 (検知)
シグネチャ名及び内容
-msxsl script injection
XSLTスタイルシートにスクリプトが記載されており、コマンドを実行するようになっているものを検知するシグネチャです。
意図しないコマンドが実行され、不審な通信が発生る可能性があります。
一般的な通信において、このコマンドを利用することはありません。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-3000128 (検知)
シグネチャ名及び内容
-Oracle WebLogic MedRec default domain
Oracle WebLogicのサンプルアプリであるMedRecの標準的なディレクトリにアクセスしようとする通信を検知するシグネチャです。
Oracleサーバ上のデータを閲覧され、意図しない情報漏えいにつながる可能性があります。
一般的な通信において、このコマンドを利用することはありません。本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000956 – 2000957 (防御)
シグネチャ名及び内容
-Http directory %2F
-Http directory %5C
※検出精度の向上を行いました。
==============================================
シグネチャID
-1605, 1948 (防御)
-1399, 1404, 1493, 1867, 1979, 2525 (検知)
シグネチャ名及び内容
-Iparty DoS
-Dns udp
-PHP-Nuke remote
-Showcode access
-RBS ISP
-Xdmcp query
-Perl post
-SMB DCERPC LSASS directory
※本来の目的での検出が難しいため、無効化しました。
2018/8/8 sig_v203.sig シグネチャID
-2000956 – 2000958 (防御)
シグネチャ名及び内容
-Http directory %2F
-Http directory %5C
-Http directory %2E
ディレクトリトラバーサル攻撃に用いられる通信パターンを検知しました。
送信元IPアドレスの端末から受信先IPアドレスのWebサーバに向けて、ディレクトリトラバーサル攻撃に用いられる通信パターンが送信されました。
脆弱性がある場合、受信先IPアドレスのWebサーバ上の意図しないファイルを閲覧され、機密情報が漏洩する可能性があります。
このシグネチャは一般的な通信で発生する可能性は低いですが、管理用ツール等の使用時に検知される可能性があります。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000959 (防御)
シグネチャ名及び内容
-/winnt/win.ini request
Windowsの環境設定ファイル/winnt/win.ini へのアクセスを検知します。
受信先IPアドレスのWindowsのWebサーバの環境設定情報が閲覧される可能性があります。
一般的な通信において、このファイルに直接アクセスすることはありません。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000960 (防御)
シグネチャ名及び内容
-Bash CGI injection 9
Bashの脆弱性を悪用し、意図しないコマンドを実行させようとする通信を検出します。
受信先IPアドレスのサーバ上で、意図しないコマンドが実行され、情報漏洩につながる恐れがあります。
このシグネチャは一般的な通信で発生する可能性は低いですが、一部特殊なコマンド実行等の際に検出される可能性があります。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000961 (防御)
シグネチャ名及び内容
-/boot.ini request
Windowsの起動情報ファイル/boot.ini へのアクセスを検知します。
受信先IPアドレスのWebサーバの起動ディスク情報が取得される可能性があります。
一般的な通信において、このファイルに直接アクセスすることはありません。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000962 (防御)
シグネチャ名及び内容
-cmd.exe request
Webサーバへのリクエストデータにおいて、任意のコマンドを実行させようとする通信を検出します。
受信先IPアドレスのWebサーバで意図しないコマンドが実行され、情報漏洩や不正な動作が行われる可能性があります。
一般的な通信において、このコマンドを利用することはありません。本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000963 (防御)
シグネチャ名及び内容
-innoEDIT Command Injection
Webサイト編集ツールinnoEDITの脆弱性を悪用する通信を検出します。
受信先IPアドレスのWebサーバ上で意図しないコマンドが実行され、情報漏洩につながる恐れがあります。
一般的な通信において、このコマンドを利用することはありません。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000964 (防御)
シグネチャ名及び内容
-STAR57 Command Injection
STAR57の脆弱性を悪用する通信を検出します。
受信先IPアドレスのWebサーバ上で意図しないコマンドが実行され、情報漏洩につながる恐れがあります。
一般的な通信において、このコマンドを利用することはありません。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000965 (防御)
シグネチャ名及び内容
-help.jsp Command Injection
JSPの脆弱性を悪用してコマンドを実行しようとする通信を検出します。
受信先IPアドレスのWebサーバ上で意図しないコマンドが実行され、情報漏洩につながる恐れがあります。
一般的な通信において、このコマンドを利用することはありません。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000966 – 2000967 (検知)
シグネチャ名及び内容
-config.xml request
-config.xml.sav request
Webサーバの設定ファイルconfig.xml へのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、受信先IPアドレスのWebサーバの設定情報を閲覧される可能性があります。
防御に変更する場合、Webサーバのメンテナンス作業に影響が出る可能性があります。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000968 (検知)
シグネチャ名及び内容
-phpinfo command
PHPの情報取得コマンドphpinfoを受信しました。
受信先IPアドレスのWebサーバで意図しないコマンドを実行され、情報漏洩の可能性があります。
防御に変更する場合、Webサーバのメンテナンス作業に影響が出る可能性があります。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000969 (検知)
シグネチャ名及び内容
-HTTP TRACE Method
HTTPでリクエストした内容をそのまま応答するTRACEメソッドが利用されたことを検知します。
通常閲覧できない環境変数が、平文で応答され、意図しない情報漏洩につながる可能性があります。
防御に変更する場合、Webサーバのメンテナンス作業に影響が出る可能性があります。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000970 – 2000983 (検知)
シグネチャ名及び内容
-SiteShell SQL Injection Error Test 1
-SiteShell SQL Injection Error Test 2
-SiteShell SQL Injection Sanitizing Test 1
-SiteShell SQL Injection Sanitizing Test 2
-SiteShell Cross Site Scripting Error Test 1
-SiteShell Cross Site Scripting Error Test 2
-SiteShell Cross Site Scripting Sanitizing Test 1
-SiteShell Cross Site Scripting Sanitizing Test 2
-SiteShell Path Traversal Error Test 1
-SiteShell Path Traversal Error Test 2
-SiteShell OS Command Injection Test 1
-SiteShell OS Command Injection Test 2
-SiteShell Session Fixation Test 1
-SiteShell Session Fixation Test 2
WAF製品SiteShellのテスト用攻撃パターンを検知します。
WAF製品SiteShellが適切に設置されている場合、WAFにより検知・防御されます。
一般的な通信において、このコマンドを利用することはありません。
本シグネチャの防御により、必要な通信に影響があったと思われる場合は、一時的に検知に変更し影響の有無を判断してください。
==============================================
シグネチャID
-2000984 (検知)
シグネチャ名及び内容
-Oracle Weblogic Server file upload attempt (CVE-2018-2894)
Oracle WebLogic Serverに含まれるリモートコード実行可能な脆弱性(CVE-2018-2894)を狙った外部IPアドレスからのファイルアップロードの通信を検出するシグネチャです。
WebLogic Serverの脆弱性を悪用してリモートから受信先IPアドレスのサーバ上でOSコマンドを実行することが報告されています。
WebLogicサーバのバージョンを確認し、最新版にアップデートしてください。
==============================================
シグネチャID
-1122 (防御)
シグネチャ名及び内容
-/etc/passwd request
※検出精度の向上、シグネチャ名、シグネチャ説明文を修正しました。
==============================================
シグネチャID
-1012 – 1013, 1054, 1067, 1091, 1096, 1214 (検知)
-1377 – 1378 (防御)
シグネチャ名及び内容
-Fpcount attempt
-Fpcount access
-Weblogic view
-net.exe attempt
-ICQ Webfront HTTP DoS
-Talentsoft Web+
-Intranet access
-Wu-ftpd file
-Wu-ftpd file
※本来の目的での検出が難しいため、無効化しました。
2018/7/19 sig_v202.sig シグネチャID
-2000943 – 2000944 (防御)
シグネチャ名及び内容
-Amazon Phishing URL HTTP Request 4
-Amazon Phishing URL HTTP Request 5
Amazonを装った偽サイトにアクセスするときの通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000945 (防御)
シグネチャ名及び内容
-Drupal Remote Code Execution
コンテンツマネジメントシステムである「Drupal」の脆弱性(CVE-2018-7600,CVE-2018-7602)を悪用したコード実行の通信を検出するシグネチャです。
サーバをボット化して仮想通貨「Monero」を採掘されることが報告されています。
受信先IPアドレスのDrupalのバージョンを確認していただき、最新バージョンでの運用を推奨いたします。
==============================================
シグネチャID
-2000946 – 2000947 (防御)
シグネチャ名及び内容
-WellMess C&C Connection 1
-WellMess C&C Connection 2
マルウェアであるWellMess感染時のC&Cサーバへの接続を検出するシグネチャです。
感染した場合、遠隔操作やファイルの転送などを行うことが報告されています。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスのウイルスチェック、アクセス制限等を行ってください。
==============================================
シグネチャID
-2000948 (防御)
シグネチャ名及び内容
-GPON Router Remote Code Execution
GPONルータの脆弱性(CVE-2018-10561,CVE-2018-10562)を標的とした外部からのアクセスを検出するシグネチャです。
本脆弱性を悪用された場合、認証を回避し、遠隔からのコードを実行させることが可能になります。
受信先ルータ機器のファームウェアを最新バージョンに更新して運用してください。
==============================================
シグネチャID
-2000949 – 2000953 (防御)
シグネチャ名及び内容
-TYPEFRAME download connection detect 1
-TYPEFRAME download connection detect 2
-TYPEFRAME download connection detect 3
-TYPEFRAME download connection detect 4
-TYPEFRAME download connection detect 5
外部IPアドレスからマルウェアであるTYPEFRAMEをダウンロードさせようとする通信を検出するシグネチャです。
ダウンロードすると、C&Cサーバへ接続を行い、攻撃者から指示を受け取ったり、外部からの接続を許可にすることが報告されています。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスのウイルスチェック、アクセス制限等を行ってください。
==============================================
シグネチャID
-2000954 (検知)
シグネチャ名及び内容
-WinZip SSL Request
メンテナンスツールの広告「WinZip System Utilities Suite」の通信を検出するシグネチャです。
PCのパフォーマンスの低下やPCの修復画面を表示し、ソフトの購入を促します。
WinZipに関連するソフトをインストールしている場合、アンインストールされることを推奨いたします。
==============================================
シグネチャID
-2000955 (検知)
シグネチャ名及び内容
-Realtek SDK download Command Execution
脆弱性が報告されているCVE-2014-8361の悪用を試みる通信を検出するシグネチャです。
該当の脆弱性を悪用した攻撃がIoTマルウェア「Mirai」の亜種の感染活動で利用されていることが報告されています。
受信先IPアドレスの機器のファームウェアアップデートを行ってください。
また、送信元IPアドレスに心当たりがない場合は、受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-246, 251, 443, 613 (防御)
-969 (検知)
シグネチャ名及び内容
-Mstream agent
-Tfn client
-Icmp router
-Myscan probe
-Webdav file
※本来の目的での検出が難しいため、無効化しました。
2018/6/21 sig_v201.sig シグネチャID
-2000931 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (29.x.x.x : IE)
脆弱性が報告されている旧バージョン29のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000932 – 2000933 (防御)
シグネチャ名及び内容
-Apple Phishing URL HTTP Request 4
-Apple Phishing URL HTTP Request 5
Appleを偽装したフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2000934 – 2000937 (防御)
シグネチャ名及び内容
-Web-Miner(Coinhive) access 1
-Web-Miner(Coinhive) access 1 with proxy
-Web-Miner(Coinhive) access 2
-Web-Miner(Coinhive) access 2 with proxy
ブラウザ上で仮想通貨の採掘(マイニング)を行うツールを提供しているサイトへのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
また、採掘コード以外にも不正なコードが含まれている可能性があります。
サイトの閲覧を中止し、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000938 – 2000939 (防御)
シグネチャ名及び内容
-JERI spoofed e-mail malware download 1
-JERI spoofed e-mail malware download 2
日本経済研究所(JERI)を騙ったメールに添付されているマルウェアが接続する通信先を検知するシグネチャです。
端末がマルウェアに感染し、不正な通信および情報が外部に送信される可能性があります。
送信元端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000940 (検知)
シグネチャ名及び内容
-FortiClient VPN Detect
FortiClientを利用してVPN接続を開始したことを検知するシグネチャです。
端末がVPNサーバにFortiClientを用いてSSL VPNで接続しようとしたことを検知しました。
送信元IPアドレスがVPNサーバ、受信先IPアドレスが端末になります。意図しないVPN接続でないか確認してください。
==============================================
シグネチャID
-2000941 (検知)
シグネチャ名及び内容
-Cisco Smart Install Client Command Detect
Cisco製スイッチ管理ツール「Cisco Smart Install Client」に対する脆弱性を悪用するコマンドを検出するシグネチャです。
バッファオーバーフローの脆弱性(CVE2018-0171)が報告されており、外部からCisco製スイッチを探索する行為が増加しています。
適切なアクセス制限を実施し、必要がなければ、4786/TCPポートを無効にしてください。
==============================================
シグネチャID
-2000942 (検知)
シグネチャ名及び内容
-Redis info Command Detect
グローバルIPアドレスからNoSQLデータベース「Redis」に対するinfoコマンドを検出するシグネチャです。
Redisサーバを探索し、マルウェアの感染を試みる攻撃が報告されています。
必要なPCからのみアクセス可能とするなど適切なアクセス制限を実施してください。
==============================================
シグネチャID
-2000714 (検知)
シグネチャ名及び内容
-Old Firefox 5x HTTP Request
※MC-70S,MC-70SIU,MC-56Sは、検出精度の向上を行いました。
※MC-50,MC-100,MC-55S,MC-60S,MC-200Sは、新規でのリリースになります。
==============================================
シグネチャID
-2000822 (防御)
シグネチャ名及び内容
-GandCrab v2 domain request
※本来の目的での検出が難しいため、無効化しました。
2018/6/7 sig_v200.sig シグネチャID
-2000901 (防御)
シグネチャ名及び内容
-bitFlyer.jp Phishing URL Access
仮想通貨取引サイトbitflyerのフィッシングサイトへのアクセスを検知しました。
アカウント情報や個人情報を搾取される可能性があります。
==============================================
シグネチャID
-2000902 – 2000915 (防御)
シグネチャ名及び内容
-VPNFilter download Detect 1
-VPNFilter download Detect 2
-VPNFilter download Detect 3
-VPNFilter download Detect 4
-VPNFilter download Detect 5
-VPNFilter download Detect 6
-VPNFilter download Detect 7
-VPNFilter download Detect 8
-VPNFilter download Detect 9
-VPNFilter download Detect 10
-VPNFilter download Detect 11
-VPNFilter download Detect 12
-VPNFilter download Detect 13
-VPNFilter download Detect 14
VPNFilterのC2サーバ情報が記載されたファイルのダウンロードを検知するシグネチャです。
送信元IPアドレスのネットワーク機器が脆弱性の影響を受け、マルウェアをダウンロードする可能性があります。
送信元IPアドレスの機器のファームウェアを更新し、設定の再確認を行ってください。
==============================================
シグネチャID
-2000916 – 2000928 (防御)
シグネチャ名及び内容
-VPNFilter C2 Connect 1
-VPNFilter C2 Connect 2
-VPNFilter C2 Connect 3
-VPNFilter C2 Connect 4
-VPNFilter C2 Connect 5
-VPNFilter C2 Connect 6
-VPNFilter C2 Connect 7
-VPNFilter C2 Connect 8
-VPNFilter C2 Connect 9
-VPNFilter C2 Connect 10
-VPNFilter C2 Connect 11
-VPNFilter C2 Connect 12
-VPNFilter C2 Connect 13
VPNFilterのC2サーバのIPアドレスへの接続を検知するシグネチャです。
送信元IPアドレスのネットワーク機器が脆弱性の影響を受け、C2サーバに接続した可能性があります。
C2サーバからのコマンドにより、他のマルウェアや不正ツールが実行させられる可能性があります。
==============================================
シグネチャID
-2000929 (検知)
シグネチャ名及び内容
-.hta download Request
HTMLファイルのアプリケーションである.htaファイルのダウンロードを検知するシグネチャです。
.htaファイルはアプリのように動作するHTMLファイルですが、マルウェアや迷惑ツールの表示にも利用されます。
受信先IPアドレスのサーバからダウンロードした.htaファイルが不正なものでないか注意してください。
==============================================
シグネチャID
-2000930 (検知)
シグネチャ名及び内容
-.hta download Response
HTMLファイルのアプリケーションである.htaファイルのダウンロードを検知するシグネチャです。
.htaファイルはアプリのように動作するHTMLファイルですが、マルウェアや迷惑ツールの表示にも利用されます。
送信元IPアドレスのサーバからダウンロードした.htaファイルが不正なものでないか注意してください。
2018/5/23 sig_v199.sig シグネチャID
-2000893 (防御)
シグネチャ名及び内容
-Rakuten Phishing HTTP Access
楽天のフィッシングサイトとして利用されたIPアドレスへのHTTPアクセスを検知するシグネチャです。
楽天のフィッシングサイトにアクセスし、本物のサイトと見分けが付かない画面にて個人情報を搾取される可能性があります。
==============================================
シグネチャID
-2000894 (防御)
シグネチャ名及び内容
-Oracle Weblogic Server remote code execution (CVE-2018-2628)
Oracle WebLogic Serverに含まれるリモートコード実行可能な脆弱性(CVE-2018-2628)を狙った攻撃を検出するシグネチャです。
WebLogic Serverの脆弱性を悪用してリモートから受信先IPアドレスのサーバ上でOSコマンドを実行することが報告されています。
WebLogicサーバのバージョンを確認し、最新版にアップデートしてください。
==============================================
シグネチャID
-2000895 (検知)
シグネチャ名及び内容
-UPnP PortMapping Detect from Global-IP
外部のグローバルIPアドレスから、UPnPを利用してポート開放をさせる通信を検出しました。
受信先IPアドレスのネットワーク機器に脆弱性がある場合、LAN内で動作しているサービスに別のポート番号を割り振り、外部からアクセス出来るようにされる可能性があります。
ルータ等のネットワーク機器の設定状況を確認し、ファームウェア更新を行って下さい。
==============================================
シグネチャID
-2000896 (検知)
シグネチャ名及び内容
-TLD .webcam Access
新規追加されたトップレベルドメイン(TLD)のうち、特にマルウェアや不正サイトの報告が多い .webcam にアクセスしました。
アクセスしたTLD(.webcam)は、半数以上がマルウェアや不正サイトである報告があり、アクセスにはリスクが伴います。
送信元IPアドレスからアクセスした心当たりがない場合や、メール等のリンクや広告等のリンクからアクセスしたURLの場合はウイルスチェック等の対応を行って下さい。
==============================================
シグネチャID
-2000897 (検知)
シグネチャ名及び内容
-TLD .men Access
新規追加されたトップレベルドメイン(TLD)のうち、特にマルウェアや不正サイトの報告が多い .men にアクセスしました。
アクセスしたTLD(.men)は、半数以上がマルウェアや不正サイトである報告があり、アクセスにはリスクが伴います。
送信元IPアドレスからアクセスした心当たりがない場合や、メール等のリンクや広告等のリンクからアクセスしたURLの場合はウイルスチェック等の対応を行って下さい。
==============================================
シグネチャID
-2000898 (検知)
シグネチャ名及び内容
-TLD .click Access
新規追加されたトップレベルドメイン(TLD)のうち、特にマルウェアや不正サイトの報告が多い .click にアクセスしました。
アクセスしたTLD(.click)は、半数以上がマルウェアや不正サイトである報告があり、アクセスにはリスクが伴います。
送信元IPアドレスからアクセスした心当たりがない場合や、メール等のリンクや広告等のリンクからアクセスしたURLの場合はウイルスチェック等の対応を行って下さい。
==============================================
シグネチャID
-2000899 (検知)
シグネチャ名及び内容
-TLD .science Access
新規追加されたトップレベルドメイン(TLD)のうち、特にマルウェアや不正サイトの報告が多い .science にアクセスしました。
アクセスしたTLD(.science)は、半数以上がマルウェアや不正サイトである報告があり、アクセスにはリスクが伴います。
送信元IPアドレスからアクセスした心当たりがない場合や、メール等のリンクや広告等のリンクからアクセスしたURLの場合はウイルスチェック等の対応を行って下さい。
==============================================
シグネチャID
-2000900 (検知)
シグネチャ名及び内容
-TLD .racing Access
新規追加されたトップレベルドメイン(TLD)のうち、特にマルウェアや不正サイトの報告が多い .racing にアクセスしました。
アクセスしたTLD(.racing)は、半数以上がマルウェアや不正サイトである報告があり、アクセスにはリスクが伴います。
送信元IPアドレスからアクセスした心当たりがない場合や、メール等のリンクや広告等のリンクからアクセスしたURLの場合はウイルスチェック等の対応を行って下さい。
2018/4/25 sig_v198.sig シグネチャID
-2000878 – 2000880 (防御)
シグネチャ名及び内容
-Softbank Phishing URL HTTP Request 1
-Softbank Phishing URL HTTP Request 2
-Softbank Phishing URL HTTP Request 3
ソフトバンクを偽装したフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000881 (防御)
シグネチャ名及び内容
-GandCrab C&C connection detect 2
ランサムウェアGandCrabの通信を検知するシグネチャです。
C&Cサーバへの接続しようとする通信を検知します。
送信元IPアドレスの端末がランサムウェアに感染し、ファイルが暗号化されたり情報の流出が起きる可能性があります。
==============================================
シグネチャID
-2000882 – 2000884 (防御)
シグネチャ名及び内容
-GandCrab C&C domain connection detect 1
-GandCrab C&C domain connection detect 2
-GandCrab C&C domain connection detect 3
ランサムウェアGandCrab感染時のC&Cサーバへの通信を遮断するシグネチャです。
送信元IPアドレスの端末がランサムウェアに感染し、ファイルが暗号化されたり情報の流出が起きる可能性があります。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000885 – 2000889 (防御)
シグネチャ名及び内容
-CoinMiner malicious HTTP request 1
-CoinMiner malicious HTTP request 2
-CoinMiner malicious HTTP request 3
-CoinMiner malicious HTTP request 4
-CoinMiner malicious HTTP request 5
仮想通貨採掘プログラム「コインマイナー」の不正なプライベートドメインへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
また、採掘コード以外にも不正なコードが含まれている可能性があります。サイトの閲覧を中止し、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000890 – 2000892 (防御)
シグネチャ名及び内容
-ANEL Malicious URL HTTP Request 1
-ANEL Malicious URL HTTP Request 2
-ANEL Malicious URL HTTP Request 3
日本を狙う標的型攻撃で利用されたURLへのアクセスを検出するシグネチャです。
アクセスした場合、マルウェアがダウンロードされる恐れがあり攻撃者によって任意のコードが実行可能になる可能性があります。
受信先IPアドレスに心当たりがない場合は、ウイルスチェックやアクセス制限等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-1447 – 1448, 1852 (検知)
シグネチャ名及び内容
-Ms terminal
-Ms terminal
-Robots.txt access
※検出精度の向上を行いました。
==============================================
シグネチャID
-1044, 1087, 1156 (検知)
-1923 (防御)
シグネチャ名及び内容
-Webhits access
-Whisker tab
-Apache DoS
-Portmap udp
※本来の目的での検出が難しいため、無効化しました。
2018/4/11 sig_v197.sig シグネチャID
-2000859 – 2000860 (防御)
シグネチャ名及び内容
-GandCrab download request detect
-GandCrab C&C connection detect
ランサムウェアGandCrabの通信を検出するシグネチャです。
マルウェア本体のダウンロードをリクエストする通信を検知します。
送信元IPアドレスの端末がランサムウェアに感染し、ファイルが暗号化されたり情報の流出が起きる可能性があります。
==============================================
シグネチャID
-2000861 – 2000864 (防御)
シグネチャ名及び内容
-Malicious DNS Server connection 1
-Malicious DNS Server connection 2
-Malicious DNS Server connection 3
-Malicious DNS Server connection 4
ルータのDNS設定を書き換え、不正サイトに誘導するDNSサーバへの接続を検出するシグネチャです。
ルータや端末のDNS設定が書き換えられ、不正なサイトに誘導するように設定変更されています。
ルータ、端末のDNS設定を再確認し、ウイルスチェックを行って下さい。
==============================================
シグネチャID
-2000865 (防御)
シグネチャ名及び内容
-Malicious Facebook application download
偽のFacebookアプリを騙ったマルウェアをダウンロードしようとする通信を検出するシグネチャです。
Facebookアプリを騙り、マルウェアをインストールさせられる可能性があります。
送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
シグネチャID
-2000866 – 2000867 (防御)
シグネチャ名及び内容
-Japan Post Phishing URL HTTP Request 1
-Japan Post Phishing URL HTTP Request 2
日本郵政を偽装したフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2000868 – 2000869 (防御)
シグネチャ名及び内容
-LINE Phishing URL HTTP Request 1
-LINE Phishing URL HTTP Request 2
LINEに偽装したフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000870 (検知)
シグネチャ名及び内容
-LINE SSL Client request 1
コミュニケーションアプリ「LINE」起動時のサーバへの通信を検出するシグネチャです。
送信元IPアドレスの端末がLINEを起動したり、サイトにアクセスした可能性があります。
業務で利用されていない場合は、アンインストールされることを推奨いたします。
==============================================
シグネチャID
-2000871 (検知)
シグネチャ名及び内容
-LINE SSL Server Response 1
コミュニケーションアプリ「LINE」起動時のサーバからのレスポンスの通信を検出するシグネチャです。
受信先IPアドレスの端末がLINEを起動したり、サイトにアクセスした可能性があります。
業務で利用されていない場合は、アンインストールされることを推奨いたします。
==============================================
シグネチャID
-2000872 – 2000873 (検知)
シグネチャ名及び内容
-memcached status scanning from Global-IP
-memcached get data from Global-IP
グローバルIPアドレスからmemcachedの状況を知るコマンドを受信したときの通信を検出するシグネチャです。
memcachedの動作状況を取得されたり、DoS攻撃に利用される場合があります。
memcachedで利用しているポートのアクセス制限を行うなどの対処を行って下さい。
==============================================
シグネチャID
-2000874 – 2000877 (検知)
シグネチャ名及び内容
-Office Macro file download from Global-IP
-Office Macro file receive e-mail 1
-Office Macro file receive e-mail 2
-Office Macro file receive e-mail 3
従来のWord形式である.docファイルにマクロが含まれているもののダウンロードを検出するシグネチャです。
受信先IPアドレスの端末が、マクロ機能が含まれた.docファイルを受け取った可能性があります。
マルウェアに感染させるマクロ機能が含まれている場合があります。
==============================================
シグネチャID
-2000525, 2000714 (検知)
シグネチャ名及び内容
-Global Port 5358 Connect
-Old Firefox 5x HTTP Request
※検出精度の向上を行いました。
※sid: 2000714は、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
2018/3/28 sig_v196.sig シグネチャID
-2000818 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (28.x.x.x : IE)
脆弱性が報告されている旧バージョン28のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000819 (防御)
シグネチャ名及び内容
-Apple Phishing URL HTTP Request 3
Apple IDを搾取するフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2000820 (防御)
シグネチャ名及び内容
-Fake LicensePage HTTP Access 6
Microsoft Officeのライセンス認証を装う偽サイトにアクセスする通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000821 (防御)
シグネチャ名及び内容
-Mirai bot download execution detect
IoT機器を狙ったマルウェアのファイルをダウンロードさせようとするコマンドを検出するシグネチャです。
IoT機器の脆弱性を狙った攻撃が報告されており、ファイルのダウンロードが成功するとマルウェアに感染しDoS攻撃に利用される可能性があります。
防御設定ですが、送信元/受信先IPアドレスのIoT機器のファームウェアのバージョンを確認し、最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2000822 (防御)
シグネチャ名及び内容
-GandCrab v2 domain request
ランサムウェア「GandCrab」感染時のC&Cサーバへの通信を遮断するシグネチャです。
C&Cサーバと接続すると、ファイルの暗号化や金銭を要求される可能性があります。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000823 – 2000858 (防御)
シグネチャ名及び内容
-TSCookie domain request 1
-TSCookie HTTP request 1
-TSCookie SSL request 1
-TSCookie domain request 2
-TSCookie HTTP request 2
-TSCookie SSL request 2
-TSCookie domain request 3
-TSCookie HTTP request 3
-TSCookie SSL request 3
-TSCookie domain request 4
-TSCookie HTTP request 4
-TSCookie SSL request 4
-TSCookie domain request 5
-TSCookie HTTP request 5
-TSCookie SSL request 5
-TSCookie domain request 6
-TSCookie HTTP request 6
-TSCookie SSL request 6
-TSCookie domain request 7
-TSCookie HTTP request 7
-TSCookie SSL request 7
-TSCookie domain request 8
-TSCookie HTTP request 8
-TSCookie SSL request 8
-TSCookie domain request 9
-TSCookie HTTP request 9
-TSCookie SSL request 9
-TSCookie domain request 10
-TSCookie HTTP request 10
-TSCookie SSL request 10
-TSCookie domain request 11
-TSCookie HTTP request 11
-TSCookie SSL request 11
-TSCookie domain request 12
-TSCookie HTTP request 12
-TSCookie SSL request 12
不正なファイルを実行時のマルウェア「TSCookie」感染時のC&Cサーバへの通信を遮断するシグネチャです。
C&Cサーバと接続すると、マルウェアのダウンロードや情報を搾取される可能性があります。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-1221, 1603 (検知)
-1280 – 1281, 1950 (防御)
シグネチャ名及び内容
-Musicat empower
-DELETE attempt
-Udp portmap
-Udp portmap
-RPC portmap SET attempt UDP 111
※本来の目的での検出が難しいため、無効化しました。
2018/3/7 sig_v195.sig シグネチャID
-2000790 – 2000815 (防御)
シグネチャ名及び内容
-Web-Miner(coinimp) access 1
-Web-Miner(coinimp) access 1 with proxy
-Web-Miner(coinimp) access 2
-Web-Miner(coinimp) access 2 with proxy
-Web-Miner(coinimp) access 3
-Web-Miner(coinimp) access 3 with proxy
-Web-Miner(coinimp) access 4
-Web-Miner(coinimp) access 4 with proxy
-Web-Miner(coinimp) access 5
-Web-Miner(coinimp) access 5 with proxy
-Web-Miner(Crypto-Loot) access 2
-Web-Miner(Crypto-Loot) access 2 with proxy
-Web-Miner(Minr) access 1
-Web-Miner(Minr) access 1 with proxy
-Web-Miner(Minr) access 2
-Web-Miner(Minr) access 2 with proxy
-Web-Miner(Minr) access 3
-Web-Miner(Minr) access 3 with proxy
-Web-Miner(Minr) access 4
-Web-Miner(Minr) access 4 with proxy
-Web-Miner(Minr) access 5
-Web-Miner(Minr) access 5 with proxy
-Web-Miner(Minr) access 6
-Web-Miner(Minr) access 6 with proxy
-Web-Miner(Coin-service) access 1
-Web-Miner(Coin-service) access 1 with proxy
ブラウザ上で仮想通貨の採掘(マイニング)を行うツールを提供しているサイトへのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
また、採掘コード以外にも不正なコードが含まれている可能性があります。サイトの閲覧を中止し、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000816 (防御)
シグネチャ名及び内容
-Web-Miner(Coinhive) injection HTML
仮想通貨を採掘するコードをダウンロードしようとしたことを検知するシグネチャです。
送信元IPアドレスのWebサーバーから仮想通貨を採掘するコードが含まれたHTMLのダウンロードを検知しました。
防御しない場合、受信先IPアドレスの端末で不正なコードが実行され、コンピュータの処理速度が著しく低下する可能性があります。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000817 (検知)
シグネチャ名及び内容
-Intel ME responce detect
リモートメンテナンス機能intel MEの通信を、グローバルIPアドレス宛と行ったことを検知するシグネチャです。
送信元IPアドレスの端末が、受信先IPアドレスによって制御される可能性があります。
アクセス制限を行うか、Intel MEのパスワード変更や無効化を実施して下さい。
2018/2/23 sig_v194.sig シグネチャID
-2000784 (検知)
シグネチャ名及び内容
-Global Bad SSL Proxy Request
グローバルIPアドレスからのプロキシサーバ宛にSSLリクエストが送られてきたときの通信を検出するシグネチャです。
送信元IPアドレスが日本以外のグローバルIPアドレスの場合は外部から攻撃を受けている可能性があり、注意が必要です。
送信元IPアドレスを確認していただき、心当たりがない場合は、アクセス制限を行ってください。
2018/2/21 sig_v193.sig シグネチャID
-2000782 – 2000783 (防御)
シグネチャ名及び内容
-Zenginkyo Phishing domain request
-Zenginkyo Phishing HTTP request
全国銀行協会を騙るフィッシングサイトへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がフィッシングサイトへアクセスした可能性があります。
連続して検出される場合は、送信元IPアドレスにマルウェアをダウンロードする目的の不正ツールが動作している可能性があるため、ウイルスチェックを行ってください。
==============================================
シグネチャID
-2000784 (防御)
シグネチャ名及び内容
-Global Bad SSL Proxy Request
グローバルIPアドレスからのSSLリクエストが送られてきたときの通信を検出するシグネチャです。
送信元IPアドレスが日本以外からSSLリクエストがきたときは注意が必要です。
送信元IPアドレスに心当たりがない場合は、アクセス制限等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000785 (防御)
シグネチャ名及び内容
-Huawei Router exploit code attempt
Huawei社製のルータの脆弱性(CVE-2017-17215)を悪用した攻撃通信を検出するシグネチャです。
脆弱性を悪用することで、IoTマルウェアであるSatoriに感染させたり、遠隔からのコード実行が可能になります。
送信元IPアドレスに心当たりがない場合は、アクセス制限やウイルスチェック等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000786 (防御)
シグネチャ名及び内容
-D-Link SOAPAction command injection
D-Link社製ルータの脆弱性(CVE-2015-2051)を狙ったOSコマンドインジェクション攻撃の通信を検出するシグネチャです。
攻撃された場合、DDoS攻撃をおこなうボットに感染する可能性があります。
送信元IPアドレスに心当たりがない場合は、アクセス制限、ウイルスチェック等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000787 – 2000788 (防御)
シグネチャ名及び内容
-Fake Flash Player Update Page Access 1
-Fake Flash Player Update Page Access 2
偽Flash Playerの更新メッセージページへのアクセスを検出するシグネチャです。
更新メッセージをクリックした場合、不要なソフトが大量にインストールされる可能性があります。
クリックしてしまった場合は、不要なソフトがインストールされていないか確認し、アンインストールされることを推奨いたします。
==============================================
シグネチャID
-2000789 (検知)
シグネチャ名及び内容
-IoT Control Protocol(MQTT) CONNECT command from Global-IP
IoT機器を制御するMQTTプロトコルを用いて、グローバルIPアドレスからCONNECTコマンドを受信したことを検知するシグネチャです。
受信先IPアドレスの機器が、外部のIPアドレスから制御される可能性があります。
意図しない送信元IPアドレスの場合、MQTTプロトコルやTCP:1883ポートのアクセス制限を行ってください。
==============================================
シグネチャID
-1301, 1546, 1613 (検知)
シグネチャ名及び内容
-Admin.php access
-Cisco /%%
-Handler attempt
※本来の目的での検出が難しいため、無効化しました。
2018/2/8 sig_v192.sig シグネチャID
-2000771 (防御)
シグネチャ名及び内容
-PowerShell APT URL Request
政府関係をターゲットにした標的型攻撃で利用されたマルウェアのダウンロードURLを検知するシグネチャです。
送信元IPアドレスの端末が改ざんされたサイトにアクセスし、マルウェアをダウンロードさせられようとした可能性があります。
連続して検出される場合は、送信元IPアドレスにマルウェアをダウンロードする目的の不正ツールが動作している可能性があるため、ウイルスチェックを行ってください。
==============================================
シグネチャID
-2000772 – 2000779 (防御)
シグネチャ名及び内容
-MEXT Phishing domain request 1
-MEXT Phishing HTTP request 1
-MEXT Phishing SSL request 1
-MEXT Phishing SSL Proxy request 1
-MEXT Phishing domain request 2
-MEXT Phishing HTTP request 2
-MEXT Phishing SSL request 2
-MEXT Phishing SSL Proxy request 2
文部科学省を騙るフィッシングメールに添付されている不審なファイルを開き、他のマルウェアをダウンロードする通信を検知するシグネチャです。
送信元IPアドレスの端末がフィッシングメールを開き、不審なファイルを実行した可能性があります。
送信元IPアドレスの端末に不審なメールがないか確認し、開かないよう注意喚起を行い、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000780 – 2000781 (防御)
シグネチャ名及び内容
-Shellbot Download Request 1
-Shellbot Download Request 2
Webサーバ上で動作するbot「Shellbot」がマルウェアをダウンロードするURLへのアクセスを検知するシグネチャです。
Webサーバが不正にアクセスされ、botが設置されようとしている可能性があります。
Webサーバのアクセス制限を実施し、パスワードの変更、不審なファイルの削除を行ってください。
2018/1/24 sig_v191.sig シグネチャID
-2000759 (防御)
シグネチャ名及び内容
-Oracle WebLogic Server command execution
Oracle WebLogic ServerのWLS Securityの脆弱性(CVE-2017-10271)を狙った攻撃を検出するシグネチャです。
WebLogic の脆弱性を突いて仮想通貨をダウンロードおよび実行させて、マイニングすることやWebLogicサーバの不正操作することが報告されています。
WebLogicサーバのバージョンを確認し、最新版にアップデートしてください。
==============================================
シグネチャID
-2000760 – 2000769 (防御)
シグネチャ名及び内容
-URSNIF HTTP Request 14
-URSNIF HTTP Request 15
-URSNIF HTTP Request 16
-URSNIF HTTP Request 17
-URSNIF HTTP Request 18
-URSNIF HTTP Request 19
-URSNIF HTTP Request 20
-URSNIF HTTP Request 21
-URSNIF HTTP Request 22
-URSNIF HTTP Request 23
URSNIFのマルウェアを実行する際に使用されるURLへアクセスするときの通信を検出するシグネチャです。
URLNIFが実行されると、情報搾取機能により、送信元端末のアカウント認証情報や個人情報が搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000770 (検知)
シグネチャ名及び内容
-CCleaner SSL Request
クリーナーソフトであるCCleanerの通信を検出するシグネチャです。
CCleanerの旧バージョンにはマルウェアが混入されていたことが報告されています。
利用されていない場合は、アンインストールされることを推奨いたします。
また、利用されている場合は、最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2000728 (防御)
シグネチャ名及び内容
-CCleaner Malware Version Detect (v5.33.6162)
※検出精度の向上を行いました。
また、初期設定を検知から防御に変更しました。
==============================================
シグネチャID
-1171, 2350 (検知)
シグネチャ名及び内容
-Whisker HEAD
-NETBIOS_DCERPC_ISyst access
※本来の目的での検出が難しいため、無効化しました。
2018/1/11 sig_v190.sig シグネチャID
-2000752 (防御)
シグネチャ名及び内容
-Mirai bot download command execution
IoT機器を狙ったマルウェアのファイルをダウンロードさせようとするコマンドを検出するシグネチャです。
IoT機器の脆弱性を狙った攻撃が報告されており、ファイルのダウンロードが成功するとマルウェアに感染しDoS攻撃に利用される可能性があります。
防御設定ですが、送信元/受信先IPアドレスのIoT機器のファームウェアのバージョンを確認し、最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2000753 (防御)
シグネチャ名及び内容
-WebShell Injection php request
Webサーバに対してWebShellを設置しようとする通信を検出するシグネチャです。
受信先IPアドレスのWebサーバに向けて、任意のコマンドを実行できるWebShellを設置しようとする通信を検知しました。
受信先IPアドレスのサーバのファイルを確認し、不要ファイルの削除を行ってください。
==============================================
シグネチャID
-2000754 – 2000755 (防御)
シグネチャ名及び内容
-WebShell cmx.php whoami request
-WebShell cmx.php /etc/passwd request
WebShellを用いてサーバを操作するコマンドが送信されたことを検知するシグネチャです。
ブラウザ上でコマンドを送信してサーバを操作できるWebShell(cmx.php)を使って、サーバの情報を取得する危険度の高いコマンドを防御しました。
連続して検出される場合は送信元IPアドレスの端末、受信先IPアドレスのWebサーバ上で不審なプログラムが動作していないか確認してください。
==============================================
シグネチャID
-2000756 (検知)
シグネチャ名及び内容
-WebShell cmx.php command request
WebShellを用いてサーバを操作するコマンドが送信されたことを検知するシグネチャです。
ブラウザ上でコマンドを送信してサーバを操作できるWebShell(cmx.php)を使って、サーバの情報を取得するコマンドが送信されました。
連続して検出される場合は送信元IPアドレスの端末、受信先IPアドレスのWebサーバ上で不審なプログラムが動作していないか確認してください。
==============================================
シグネチャID
-2000757 – 2000758 (検知)
シグネチャ名及び内容
-Web-Miner(cloudflare.solutions) access 1
-Web-Miner(cloudflare.solutions) access 2
ブラウザ上で仮想通貨の採掘(マイニング)を行うツールを提供しているサイトへのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
また、採掘コード以外にも不正なコードが含まれている可能性があります。サイトの閲覧を中止し、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-1070, 1104, 1160 (検知)
-2000370 (防御)
シグネチャ名及び内容
-Webdav search
-Whisker space splice
-Netscape dir
-Global WPAD Connect
※本来の目的での検出が難しいため、無効化しました。
2017/12/20 sig_v189.sig シグネチャID
-2000741 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (27.x.x.x : IE)
脆弱性が報告されている旧バージョン27のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000742 – 2000747 (防御)
シグネチャ名及び内容
-XXMM C&C connection 1
-XXMM C&C connection 2
-XXMM C&C connection 3
-XXMM C&C connection 4
-XXMM C&C connection 5
-XXMM C&C connection 6
多機能マルウェアである「XXMM」が外部と接続する際の通信を検出するシグネチャです。
送信元IPアドレスの端末が、XXMMに感染している可能性があります。
XXMMは、異なるマルウェアを呼び込むダウンローダのインストールや遠隔操作などを行うといった不正行為が報告されています。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000748 (検知)
シグネチャ名及び内容
-UBoatRAT C&C Connection
バックドアである「UBoatRAT」がC&Cサーバと接続する際の通信を検出するシグネチャです。
他のマルウェアを拡散したり、悪意あるコマンドの実行が可能になることが報告されています。
送信元IPアドレスまたは受信先IPアドレスに心当たりがなければアクセス制限または端末のウイルスチェック等の対策を行ってください。
==============================================
シグネチャID
-2000749 (検知)
シグネチャ名及び内容
-Realtek SDK SOAP Command Execution
脆弱性が報告されているCVE-2014-8361の悪用を試みる通信を検出するシグネチャです。
該当の脆弱性を悪用した攻撃がIoTマルウェア「Mirai」の亜種の感染活動で利用されていることが報告されています。
受信先IPアドレスの機器のファームウェアアップデートを行ってください。
また、送信元IPアドレスに心当たりがない場合は、受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000750 – 2000751 (検知)
シグネチャ名及び内容
-IoT Malware Login Attempt (QwestM0dem)
-IoT Malware Login Attempt (CenturyL1nk)
外部IPアドレスから23,2323番ポート宛への簡単なパスワードでログイン試行するときの通信を検出するシグネチャです。
ログイン試行に成功するとボットネットを形成し、DDoS攻撃や踏み台等に利用される可能性があります。
検出されたパスワードは実際にログイン試行に成功したパスワードであることが報告されているため、パスワードを変更されることを推奨いたします。
==============================================
シグネチャID
-2000590 – 2000591 (検知)
シグネチャ名及び内容
-Global Telnet Password Request 1
-Global Telnet Password Request 2
※検出精度の向上を行いました。
==============================================
シグネチャID
-221 (防御)
-538, 997, 1384, 1857, 2511 (検知)
シグネチャ名及び内容
-Tfn client
-SMB IPC$ unicode
-Asp-dot attempt
-Malformed upnp
-Robot.txt access
-SMB DCERPC LSASS DsR
※本来の目的での検出が難しいため、無効化しました。
2017/12/6 sig_v188.sig シグネチャID
-2000729 – 2000734 (防御)
シグネチャ名及び内容
-Web-Miner(ppoi) access
-Web-Miner(ppoi) access with proxy
-Web-Miner(Crypto-Loot) access
-Web-Miner(Crypto-Loot) access with proxy
-Web-Miner(coinlab) access
-Web-Miner(coinlab) access with proxy
ブラウザ上で仮想通貨の採掘(マイニング)を行うツールを提供しているサイトへのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
サイトの閲覧を中止してください。
==============================================
シグネチャID
-2000735 – 2000740 (検知)
シグネチャ名及び内容
-bitcoin exchange(coincheck) access
-bitcoin exchange(coincheck) access with proxy
-bitcoin exchange(zaif) access
-bitcoin exchange(zaif) access with proxy
-bitcoin exchange(bitflyer) access
-bitcoin exchange(bitflyer) access with proxy
ビットコイン等仮想通貨の取引所サイトへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が仮想通貨の取引所サイトにアクセスした可能性があります。
仮想通貨の採掘を開始しようとしている・利用している可能性があります。
==============================================
シグネチャID
-1000014, 2000714 (検知)
シグネチャ名及び内容
-Edonkey client
-Old Firefox 5x HTTP Request
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000705 – 2000706 (防御)
シグネチャ名及び内容
-CoinHive SSL Request
-CoinHive SSL Request Proxy
※シグネチャ説明文の修正を行いました。
==============================================
シグネチャID
-107 (防御)
-1141, 1213, 1807, 1917 (検知)
シグネチャ名及び内容
-Subseven DEFCON8 2.1 access
-Handler access
-Backup access
-Transfer-Encoding: chunked
-UPnP probe
※本来の目的での検出が難しいため、無効化しました。
2017/11/22 sig_v187.sig シグネチャID
-2000720 – 2000726 (防御)
シグネチャ名及び内容
-Petya variant download attempt 1
-Petya variant download attempt 2
-Petya variant download attempt 3
-Petya variant download attempt 4
-Petya variant download attempt 5
-Petya variant download attempt 6
-Petya variant download attempt 7
ランサムウェアである「Petya」のダウンロード試行の通信を検出するシグネチャです。
Petyaは、ファイルの暗号化、身代金を要求してくることが報告されています。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000727 (防御)
シグネチャ名及び内容
-Malformed User-Agent
マルウェアが外部と通信する際に利用するUser-Agentを検出するシグネチャです。
送信元IPアドレスの端末がマルウェアに感染している可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000728 (検知)
シグネチャ名及び内容
-CCleaner Malware Version Detect (v5.33.6162)
クリーナーソフトである「CCleaner」のバージョン5.33.6162を検出するシグネチャです。
CCleanerのバージョン5.33.6162にはマルウェアが混入されていることが報告されています。
利用されていない場合は、アンインストールされることを推奨いたします。
また、利用されている場合は、最新バージョンへのアップデートを推奨いたします。
==============================================
シグネチャID
-1000014, 2000615 (検知)
-2000603 (防御)
シグネチャ名及び内容
-Edonkey client
-DeltaCharlie TCP Connect 2
-SSL 3.0 Response 1
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000520, 2000671 – 2000672 (防御)
シグネチャ名及び内容
-Apache Struts2 HTTP Request (CVE-2017-5638)
※旧名:Apache Struts2 HTTP Request
-Apache Struts2 HTTP Request 1 (CVE-2017-9805)
-Apache Struts2 HTTP Request 2 (CVE-2017-9805)
※シグネチャ名とシグネチャ説明文の修正を行いました。
==============================================
シグネチャID
-2000690, 2000692 (検知)
シグネチャ名及び内容
-Trickbot HTTP Request 10
-Trickbot HTTP Request 12
※本来の目的での検出が難しいため、無効化しました。
2017/11/2 sig_v186.sig シグネチャID
-2000708 (防御)
シグネチャ名及び内容
-BadRabbit HTTP Request 1
ランサムウェアである「Bad Rabbit」のマルウェア本体ダウンロードを検出するシグネチャです。
送信元IPアドレスの端末が、改ざんされたサイトにアクセスし、BadRabbitのダウンロードページに転送させられた可能性があります。
不審なダウンロードファイルは実行せず、ウイルスチェックを行ってください。
==============================================
シグネチャID
-2000709 (防御)
シグネチャ名及び内容
-BadRabbit HTTP Request 2
ランサムウェアである「Bad Rabbit」の本体ダウンロードを検出するシグネチャです。
送信元IPアドレスの端末が、改ざんされたサイトにアクセスし、BadRabbitのダウンロードページに転送させられた可能性があります。
不審なダウンロードファイルは実行せず、ウイルスチェックを行ってください。
==============================================
シグネチャID
-2000710 (防御)
シグネチャ名及び内容
-BadRabbit C&C HTTP Request 1
ランサムウェアである「Bad Rabbit」に感染した際のC&Cサーバへのアクセスを検出するシグネチャです。
感染した場合、ファイルの暗号化、身代金を要求してくることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000711 – 2000713 (防御)
シグネチャ名及び内容
-URSNIF HTTP Request 11 ~ 13
URSNIFのマルウェアを実行する際に使用されるURLへアクセスするときの通信を検出するシグネチャです。
URSNIFが実行されると、情報搾取機能により、送信元端末のアカウント認証情報や個人情報が搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000714 – 2000718 (検知)
シグネチャ名及び内容
-Old Firefox 5x HTTP Request
-Old Firefox 4x HTTP Request
-Old Firefox 3x HTTP Request
-Old Firefox 2x HTTP Request
-Old Firefox 1x HTTP Request
古いバージョンのFirefoxブラウザの通信を検出するシグネチャです。
送信元IPアドレスの端末が古いバージョンのFirefoxを利用しています。
最新版のFirefoxに更新して利用してください。
※シグネチャID: 2000714は、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000719 (検知)
シグネチャ名及び内容
-Port 81 Basic Auth HTTP Request
ポート81番宛てに、Basic認証で接続するときの通信を検出するシグネチャです。
ポート81番は、ネットワークカメラやIoT機器等の設定に利用されるポートです。
パスワードの変更、適切なアクセス制限等を行ってください。
==============================================
シグネチャID
-2000363, 2000537 (検知)
シグネチャ名及び内容
-Windows 8 Detect
-0sec Redirect HTTP Response
※検出精度の向上を行いました。
==============================================
シグネチャID
-1673, 1679 – 1680, 1686 – 1689, 1691, 1697 (検知)
シグネチャ名及び内容
-Oracle describe
-Oracle all_constraints listing
-Oracle dba_tablespace listing
-Oracle dba_tables
-Oracle user_tablespace listing
-Oracle all_users
-Oracle alter
-Orable alter
※本来の目的での検出が難しいため、無効化しました。
2017/10/18 sig_v185.sig シグネチャID
-2000698 (防御)
シグネチャ名及び内容
-WSDL mshta.exe HTTP Response
SOAP WSDLの脆弱性(CVE-2017-8759)を悪用するコードを含むHTMLをダウンロードしようとするときの通信を検出するシグネチャです。
脆弱性を悪用され、マルウェア等の不正なツールが動作する可能性があります。
受信先IPアドレスのウイルスチェックを行ってください。
==============================================
シグネチャID
-2000699 – 2000704 (防御)
シグネチャ名及び内容
-Locky C&C HTTP Request 1
-Locky C&C HTTP Request 2
-Locky C&C HTTP Request 3
-Locky C&C HTTP Request 4
-Locky C&C HTTP Request 5
-Locky C&C HTTP Request 6
ランサムウェアLockyに感染した際のC&Cサーバへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がLockyに感染し、外部のC&Cサーバにアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000705 – 2000706 (防御)
シグネチャ名及び内容
-CoinHive SSL Request
-CoinHive SSL Request Proxy
ビットコイン採掘コードサイトCoinHiveのサイトへアクセスしようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末が特定のWebサイトを閲覧した際にビットコインの採掘コードが動作し、端末の処理速度が低下する可能性があります。
サイトの閲覧を中止し、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000707 (検知)
シグネチャ名及び内容
-OPTIONS HTTP Request
OPTIONSメソッドでのリクエスト通信を検出するシグネチャです。
脆弱性のあるサーバにOPTIONSメソッドでアクセスすると、本来非公開の設定情報が閲覧できる場合があり、この脆弱性はOptionsBleedと呼ばれています。
受信先IPアドレスのWebサーバのApacheのバージョンアップを行ってください。
==============================================
シグネチャID
-1003135, 2000336 (防御)
シグネチャ名及び内容
-XSS attack 1
-XSS Reflective
※検出精度の向上を行いました。
==============================================
シグネチャID
-1675, 1681 – 1685, 1692, 1694 – 1696 (検知)
シグネチャ名及び内容
-Oracle failed
-Oracle all_views
-Oracle all_source
-Oracle all_tables
-Oracle all_tab_colums listing
-Oracle all_tab_privs listing
-Oracle drop
-Oracle alter
-Oracle truncate
-Oracle create
※本来の目的での検出が難しいため、無効化しました。
2017/10/4 sig_v184.sig シグネチャID
-2000681 – 2000693 (防御)
シグネチャ名及び内容
-Trickbot HTTP Request 1
-Trickbot HTTP Request 2
-Trickbot HTTP Request 3
-Trickbot HTTP Request 4
-Trickbot HTTP Request 5
-Trickbot HTTP Request 6
-Trickbot HTTP Request 7
-Trickbot HTTP Request 8
-Trickbot HTTP Request 9
-Trickbot HTTP Request 10
-Trickbot HTTP Request 11
-Trickbot HTTP Request 12
-Trickbot HTTP Request 13
マルウェアである「Trickbot」で利用される偽ログインページへのアクセスを検出するシグネチャです。
Trickbotは、偽ログインページに誘導して、認証情報を盗み取ることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000694 – 2000695 (防御)
シグネチャ名及び内容
-Amazon Phishing URL HTTP Request 2
-Amazon Phishing URL HTTP Request 3
Amazonを装った偽サイトにアクセスするときの通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2000696 – 2000697 (検知)
シグネチャ名及び内容
-Microsoft Office Download Request 4
-Microsoft Office Download Request 5
Microsoft Officeの脆弱性(CVE-2017-8759)を悪用した攻撃を検出するシグネチャです。
脆弱性を悪用された場合、アプリケーションプログラムが異常終了や攻撃者によってパソコンを制御される可能性があります。
WindowsUpdateを行い、最新の状態で利用していただくことを推奨いたします。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000643 – 2000644 (検知)
シグネチャ名及び内容
-Microsoft Office Download Request 2
-Microsoft Office Download Request 3
※ 検出精度の向上を行いました。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-152, 279, 306, 1257, 1545, 1549, 2003 (防御)
1000003 – 1000007, 1002001, 1003315 (防御)
-3000065 (検知)
シグネチャ名及び内容
-Backconstruction client (防御)
-Nortel nautica (防御)
-Vqserver admin (防御)
-DOS_Winnuke_attack (防御)
-Cisco DoS (防御)
-CSM HELO (防御)
-Mssql worm (防御)
-SQL slammer (防御)
-Cisco DoS(103) (防御)
-Cisco DoS(77) (防御)
-Cisco DoS(53) (防御)
-Cisco DoS (防御)
-Acid Battery (防御)
-Trojan downloader Shell (防御)
-HTML Tail Script (検知)
※本来の目的での検出が難しいため、無効化しました。
2017/9/21 sig_v183.sig シグネチャID
-2000662 – 2000664 (防御)
シグネチャ名及び内容
-SyncCrypt HTTP Request 1
-SyncCrypt HTTP Request 2
-SyncCrypt HTTP Request 3
ランサムウェアである「SyncCrypt」に感染した際の通信を検出するシグネチャです。
感染した場合、ファイルの暗号化、身代金を要求してくることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000665 – 2000666 (防御)
シグネチャ名及び内容
-Fake LicensePage HTTP Access 4
-Fake LicensePage HTTP Access 5
Microsoft Officeのライセンス認証を促す偽サイトにアクセスする通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000667 (防御)
シグネチャ名及び内容
-Malicious URL HTTP Request 2
ハッキングされている可能性のあるサイトへのアクセスを検出するシグネチャです。
当該サイトへアクセスすると、マルウェアがダウンロードされ、端末が感染する可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000668 – 2000669 (防御)
シグネチャ名及び内容
-Ransomware Download Request 7
-Ransomware Download Request 8
メールに添付してあるファイルを開いた際のマルウェアをダウンロードするときの通信を検出するシグネチャです。
送信元IPアドレスの端末が、悪質なファイルを開こうとしている可能性があります。
Lockyなどのランサムウェアの接続先で利用されていることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000670 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (26.x.x.x : IE)
脆弱性が報告されている旧バージョン26のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000671 – 2000672 (防御)
シグネチャ名及び内容
-Apache Struts2 HTTP Request 1 (CVE-2017-9805)
-Apache Struts2 HTTP Request 2 (CVE-2017-9805)
脆弱性(CVE-2017-9805)が報告されているApache Struts2上でコマンドを実行しようとする通信を検出するシグネチャです。
この脆弱性を利用して任意のコードを実行される可能性があります。
Apache Struts2のバージョンアップを行っていただき、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000673 – 2000680 (検知)
シグネチャ名及び内容
-Apache Struts2 HTTP Request 3 (CVE-2017-9805)
-Apache Struts2 HTTP Request 4 (CVE-2017-9805)
-Apache Struts2 HTTP Request 5 (CVE-2017-9805)
-Apache Struts2 HTTP Request 6 (CVE-2017-9805)
-Apache Struts2 HTTP Request 7 (CVE-2017-9805)
-Apache Struts2 HTTP Request 8 (CVE-2017-9805)
-Apache Struts2 HTTP Request 9 (CVE-2017-9805)
-Apache Struts2 HTTP Request 10 (CVE-2017-9805)
脆弱性(CVE-2017-9805)が報告されているApache Struts2上でコマンドを実行しようとする通信を検出するシグネチャです。
この脆弱性を利用して任意のコードを実行される可能性があります。
Apache Struts2のバージョンアップを行っていただき、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000503 – 2000505 (防御)
シグネチャ名及び内容
-RIG-EK HTTP Response 1
-RIG-EK HTTP Response 2
-RIG-EK HTTP Response 3
※初期設定を検知から防御に変更しました。
2017/9/6 sig_v182.sig シグネチャID
-2000645 – 2000650 (防御)
シグネチャ名及び内容
-Ransomware Download Request 1
-Ransomware Download Request 2
-Ransomware Download Request 3
-Ransomware Download Request 4
-Ransomware Download Request 5
-Ransomware Download Request 6
メールに添付してあるファイルを開いた際のマルウェアをダウンロードするときの通信を検出するシグネチャです。
送信元IPアドレスの端末が、悪質なファイルを開こうとしている可能性があります。
Lockyなどのランサムウェアの接続先で利用されていることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000651 – 2000652 (防御)
シグネチャ名及び内容
-Locky HTTP Request 1
-Locky HTTP Request 2
Webサイトから悪質なファイルをダウンロードするときの通信を検出するシグネチャです。
マルウェアやLockyなどのランサムウェア等の感染通信で利用されていることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000653 (防御)
シグネチャ名及び内容
-Cerber HTTP Request 1
ランサムウェアである「Cerber」に感染した際の通信を検出するシグネチャです。
感染した場合、ファイルの暗号化、身代金を要求してくることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000654 – 2000656 (防御)
シグネチャ名及び内容
-Malicious UA HTTP Request 1
-Malicious UA HTTP Request 2
-Malicious UA HTTP Request 3
マルウェアが外部と通信する際に利用するUser-Agentを検知するシグネチャです。
送信元IPアドレスの端末がマルウェアに感染している可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000657 (防御)
シグネチャ名及び内容
-Malicious URL HTTP Request 1
ハッキングされている可能性のあるサイトへのアクセスを検出するシグネチャです。
当該サイトへアクセスすると、マルウェアのダウンロード、感染等する可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000658 (防御)
シグネチャ名及び内容
-Amazon Phishing URL HTTP Request 1
Amazonの「アカウントのロックを解除」を装った偽サイトにアクセスする通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000659 – 2000660 (防御)
シグネチャ名及び内容
-Apple Phishing URL HTTP Request 1
-Apple Phishing URL HTTP Request 2
Apple IDを搾取するフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2000661 (検知)
シグネチャ名及び内容
-Apple Phishing IP HTTP Request 1
Apple IDのフィッシングサイトで利用されたIPアドレス帯域へアクセスしたことを検知するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
2017/8/23 sig_v181.sig シグネチャID
-2000639 (防御)
シグネチャ名及び内容
-Video recorder TCP Command
グローバルIPアドレスから海外製デジタルビデオレコーダへのリクエストコマンドを検出するシグネチャです。
海外製デジタルビデオレコーダには複数の脆弱性が報告されており、リモートでコマンドが実行される可能性があります。
送信元IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
==============================================
シグネチャID
-2000640 (防御)
シグネチャ名及び内容
-Intel AMT HTTP Request
グローバルIPアドレスからリモート管理機能であるIntel AMTの脆弱性を悪用する通信を検出するシグネチャです (CVE-2017-5689)。
脆弱性を悪用された場合、認証を回避してIntel AMTのウェブコンソールにアクセスすることが可能になります。
対策済みの最新のファームウェアへのアップデートを行ってください。
==============================================
シグネチャID
-2000641 (防御)
シグネチャ名及び内容
-Microsoft LNK shortcut Connect
Microsoft Windowsのショートカットファイル(.LNK)の脆弱性を攻撃する通信を検出するシグネチャです (CVE-2017-8464)。
脆弱性を悪用された場合、攻撃者によってリモートからのコード実行が可能になります。
WindowsUpdateを行っていただき、最新の状態で利用していただくことを推奨いたします。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000642 (検知)
シグネチャ名及び内容
-Microsoft Office Download Request 1
Microsoft Officeの脆弱性(CVE-2017-0199)を悪用する通信を検出するシグネチャです。
脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりする可能性があります。
WindowsUpdateを行っていただき、最新の状態で利用していただくことを推奨いたします。
==============================================
シグネチャID
-2000643 – 2000644 (検知)
シグネチャ名及び内容
-Microsoft Office Download Request 2
-Microsoft Office Download Request 3
Microsoft Officeの脆弱性(CVE-2017-0199)を悪用した攻撃を検出するシグネチャです。
脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりする可能性があります。
WindowsUpdateを行っていただき、最新の状態で利用していただくことを推奨いたします。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000623 (検知)
シグネチャ名及び内容
-MS Skype SSL Request 1
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000631 – 2000633 (防御)
シグネチャ名及び内容
-Port 9001 SSL Connect
-Port 9101 SSL Connect
-Port 444 SSL Connect
※初期設定を検知から防御に変更しました。
2017/8/9 sig_v180.sig シグネチャID
-2000634 (検知)
シグネチャ名及び内容
-WordPress Setup HTTP Request
WordPressの初期設定URLにアクセスしたことを検知するシグネチャです。
送信元IPアドレスの端末が初期設定URLにアクセスしようとしました。
初期設定を正規の手順で完了するか、適切なアクセス制限を行ってください。
==============================================
シグネチャID
-2000635 (検知)
シグネチャ名及び内容
-iptables stop HTTP Request
Webサーバに対して、iptables stopコマンドを送信したことを検知するシグネチャです。
受信先IPアドレスのWebサーバの脆弱性を悪用してコントロールしようとしている可能性があります。
Webサーバのアップデートやアクセス制限を実施してください。
==============================================
シグネチャID
-2000636 (検知)
シグネチャ名及び内容
-wget HTTP Request
Webサーバに対して、wgetコマンドを送信したことを検知するシグネチャです。
受信先IPアドレスのWebサーバの脆弱性を悪用してコントロールしようとしている可能性があります。
Webサーバのアップデートやアクセス制限を実施してください。
==============================================
シグネチャID
-2000637 (検知)
シグネチャ名及び内容
-whoami stop HTTP Request
Webサーバに対して、whoamiコマンドを送信したことを検知するシグネチャです。
受信先IPアドレスのWebサーバの脆弱性を悪用してコントロールしようとしている可能性があります。
Webサーバのアップデートやアクセス制限を実施してください。
==============================================
シグネチャID
-2000638 (検知)
シグネチャ名及び内容
-Yahoo! Toolbar Detect
2017年10月31日にサポートが終了する、Yahoo!ツールバーの通信を検出するシグネチャです。
サービス終了後は、セキュリティ対策のサポートも行われなくなります。
特に必要でない場合は、送信元IPアドレスの端末よりアンインストールをしてください。
==============================================
シグネチャID
-1042 (検知)
シグネチャ名及び内容
-Source via
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000123 – 2000124 (検知)
シグネチャ名及び内容
-SSL 3.0 Handshake server
-SSL 3.0 Handshake client
※本来の目的での検出が難しいため、無効化しました。
2017/7/20 sig_v179.sig シグネチャID
-2000621 – 2000622 (検知)
シグネチャ名及び内容
-Fireball HTTP Connect 1
-Fireball HTTP Connect 2
マルウェアである「Fireball」が外部への接続を試みるときの通信を検出するシグネチャです。
攻撃者によるマルウェアの追加ダウンロードや不正なコードの実行等が可能になります。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000623 – 2000628 (検知)
シグネチャ名及び内容
-MS Skype SSL Request 1
-MS Skype SSL Request 2
-MS Skype SSL Request 3
-MS Skype SSL Request Proxy 1
-MS Skype SSL Request Proxy 2
-MS Skype SSL Request Proxy 3
Skypeの通信を検出するシグネチャです。
送信元IPアドレスの端末がSkypeを起動したり、サイトにアクセスした可能性があります。
Skypeを禁止する場合は、Skypeシグネチャを防御に変更してください。
==============================================
シグネチャID
-2000629 – 2000630 (検知)
シグネチャ名及び内容
-Evernote SSL Request 1
-Evernote SSL Request Proxy 1
Evernoteの通信を検出するシグネチャです。
送信元IPアドレスの端末がEvernoteを起動したり、サイトにアクセスした可能性があります。
Evernoteを禁止する場合は、Evernoteシグネチャを防御に変更してください。
==============================================
シグネチャID
-2000631 – 2000633 (検知)
シグネチャ名及び内容
-Port 9001 SSL Connect
TCP 9001番ポート宛への特定の通信を検出するシグネチャです。
-Port 9101 SSL Connect
TCP 9101番ポート宛への特定の通信を検出するシグネチャです。
-Port 444 SSL Connect
TCP 444番ポート宛への特定の通信を検出するシグネチャです。
マルウェア、ランサムウェア等で利用される通信方式であることが報告されています。
受信先IPアドレスに心当たりがない場合は、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000583, 2000593, 2000594 (防御)
シグネチャ名及び内容
-Global Port 9001 (Tor) TCP Connect
-Global Port 9101 TCP Connect
-Global Port 444 TCP Connect
※本来の目的での検出が難しいため、無効化しました。
2017/7/6 sig_v178.sig シグネチャID
-2000605 – 2000612 (検知)
シグネチャ名及び内容
-Box SSL Request 1
-Box SSL Request Proxy 1
-Box SSL Request 2
-Box SSL Request Proxy 2
-Box SSL Request 3
-Box SSL Request Proxy 3
-Box SSL Request 4
-Box SSL Request Proxy 4
オンラインストレージサービス「Box」のソフトが起動した、またはBox.comにアクセスしたことを検知するシグネチャです。
送信元IPアドレスの端末がBoxを利用しようとした可能性があります。
Boxの利用を禁止する場合は、該当シグネチャを防御に変更してください。
==============================================
-2000613 – 2000614 (検知)
シグネチャ名及び内容
-Yahoo Box SSL Request 1
-Yahoo Box SSL Request Proxy 1
オンラインストレージサービス「Yahooボックス」のサイトにアクセスしたことを検知するシグネチャです。
送信元IPアドレスの端末がYahooボックスを利用しようとした可能性があります。
Yahooボックスの利用を禁止する場合は、該当シグネチャを防御に変更してください。
==============================================
シグネチャID
-2000615 – 2000616 (検知)
シグネチャ名及び内容
-SSL 3.0 Response 1
-SSL 3.0 Response 2
送信元IPアドレスのWebサーバと、受信先IPアドレスの端末間でSSL 3.0を使用した通信を検出するシグネチャです。
SSL 3.0はPoodle脆弱性(CVE-2014-3566)が報告されていますので、送信元IPアドレスのWebサーバまたは受信先IPアドレスの端末のSSL 3.0を無効化し、TLSのみを使用する設定に変更してください。
==============================================
シグネチャID
-2000617 (検知)
シグネチャ名及び内容
-Global PPTP Connect 1
外部IPアドレスから内部IPアドレス宛へのPPTPを用いたVPN通信を検出するシグネチャです。
外部IPアドレスに心当たりがない場合は、外部から攻撃を受ける危険性があります。
適切なファイアウォールの設定や、VPNのアクセス制限などを行い、許可された端末のみ接続できるよう設定してください。
==============================================
シグネチャID
-2000618 (検知)
シグネチャ名及び内容
-Global PPTP Connect 2
内部IPアドレスから外部IPアドレス宛へのPPTPを用いたVPN通信を検出するシグネチャです。
外部IPアドレスに心当たりがない場合は、外部と意図しない接続を行っている可能性があります。
適切なファイアウォールの設定や、VPNのアクセス制限などを行い、許可された端末のみ接続できるよう設定してください。
==============================================
シグネチャID
-2000619 (検知)
シグネチャ名及び内容
-Global GRE Connect 1
外部IPアドレスから内部IPアドレス宛へのGREを用いたVPN通信を検出するシグネチャです。
外部IPアドレスに心当たりがない場合は、外部から攻撃を受ける危険性があります。
適切なファイアウォールの設定や、VPNのアクセス制限などを行い、許可された端末のみ接続できるよう設定してください。
==============================================
シグネチャID
-2000620 (検知)
シグネチャ名及び内容
-Global GRE Connect 2
内部IPアドレスから外部IPアドレス宛へのGREを用いたVPN通信を検出するシグネチャです。
外部IPアドレスに心当たりがない場合は、外部と意図しない接続を行っている可能性があります。
適切なファイアウォールの設定や、VPNのアクセス制限などを行い、許可された端末のみ接続できるよう設定してください。
2017/6/22 sig_v177.sig シグネチャID
-2000600 (防御)
シグネチャ名及び内容
-Fareit HTTP Connect
マルウェアである「Fareit」が外部への接続を試みるときの通信を検出するシグネチャです。
Webブラウザ内に保存されたユーザ名およびパスワード、Eメールの認証情報を搾取される可能性があります。
送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
-2000601 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (25.x.x.x : IE)
脆弱性が報告されている旧バージョン25のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000602 – 2000603 (防御)
シグネチャ名及び内容
-DeltaCharlie TCP Connect 1
-DeltaCharlie TCP Connect 2
DDoSツールである「DeltaCharlie」の通信を検出するシグネチャです。
DeltaCharlieは、サポートされていないOS、旧バージョンのAdobe Flashを使用しているターゲットに攻撃することが報告されています。
OSのアップデート、Adobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000604 (防御)
シグネチャ名及び内容
-Industroyer UDP Connect
産業用の制御システムを攻撃するマルウェア「Industroyer」の通信を検出するシグネチャです。
制御システムに対する運用妨害や情報漏えいなどのおそれがあります。
送信元IPアドレスに心当たりがない場合、アクセス制限等を行ってください。
==============================================
シグネチャID
-1679, 1690, 1693, 2000428 (検知)
-2000433 (防御)
シグネチャ名及び内容
-Oracle describe (検知)
-Oracle grant (検知)
-Oracle grant (検知)
-api.ipify.org DNS Access (検知)
-ICMP port unreachable (防御)
※本来の目的での検出が難しいため、無効化しました。
2017/6/14 sig_v176.sig シグネチャID
-2000593 (防御)
シグネチャ名及び内容
-Global Port 9101 TCP Connect
グローバルIPアドレスのTCP 9101番ポート宛への通信を検出するシグネチャです。
TCP 9101番ポートはWannaCryマルウェアで利用されたポートです。
送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
-2000594 (防御)
シグネチャ名及び内容
-Global Port 444 TCP Connect
グローバルIPアドレスのTCP 444番ポート宛への通信を検出するシグネチャです。
TCP 444番ポートはWannaCryマルウェアで利用されたポートです。
送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
シグネチャID
-2000595 (防御)
シグネチャ名及び内容
-Adylkuzz HTTP Connect
マルウェアである「Adylkuzz」が外部への接続を試みる通信を検出するシグネチャです。
Adylkuzzは、WindowsのSMB v1の脆弱性(MS17-010)を悪用して拡散をしていることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行い、Windows Updateを行ってください。
==============================================
シグネチャID
-2000596 – 2000597 (防御)
シグネチャ名及び内容
-Global MFT Request 1
-Global MFT Request 2
外部のIPアドレスのWebサーバからMFTへアクセスする内容を含む場合に検出するシグネチャです。
Windows端末で、OSがクラッシュするおそれがあります。
Windows Updateを行い、最新の状態で運用されることを推奨いたします。
※ 上記シグネチャは、第1〜3世代のみ適用されています。
==============================================
シグネチャID
-2000598 – 2000599 (防御)
シグネチャ名及び内容
-Global MFT Request 3
-Global MFT Request 4
外部のIPアドレスのWebサーバからMFTへアクセスする内容を含む場合に検出するシグネチャです。
Windows端末で、OSがクラッシュするおそれがあります。
Windows Updateを行い、最新の状態で運用されることを推奨いたします。
※ 上記シグネチャは、第4世代のみ適用されています。
2017/5/25 sig_v175.sig シグネチャID
-2000587 (防御)
シグネチャ名及び内容
-Eternalblue echo request
感染拡大を目的とした、Windowsの脆弱性を悪用する通信を遮断するシグネチャです。
このシグネチャが検出された場合、送信元IPアドレスの端末がWannaCryに感染している可能性があります。
また、受信先IPアドレスが自社のIPアドレスである場合、脆弱性を狙った攻撃を受けている可能性があります。
最新のセキュリティソフトにてスキャンを行い、マルウェアを駆除してください。
その後Windows Updateを行い、Windowsの更新を行ってください。
==============================================
-2000588 – 2000589 (防御)
シグネチャ名及び内容
-Malicious Address IP Connect 1
-Malicious Address IP Connect 2
リモートアクセスツールRedLeavesの通信先として報告されているIPアドレスへの接続を検出するシグネチャです。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000590 – 2000591 (検知)
シグネチャ名及び内容
-Global Telnet Password Request 1
-Global Telnet Password Request 2
外部のIPアドレスからTelnetサーバに向けて簡単なユーザ名・パスワードでログインしようとするときの通信を検出するシグネチャです。
Telnetは通信が暗号化されず、サーバ乗っ取りにも利用されています。
適切なアクセス制限を行ってください。
==============================================
シグネチャID
-2000592 (検知)
シグネチャ名及び内容
-Global Port 81 Connect
グローバルIPアドレスからTCP81番ポートへ接続するときの通信を検出するシグネチャです。
81番ポートはIoT機器やWebサーバソフトの管理用ポート等に利用され、セキュリティ制御が出来ない場合があります。
受信先IPアドレスの機器でアクセス制限を行ってください。
==============================================
シグネチャID
-1003135, 2000336 (防御)
シグネチャ名及び内容
-XSS attack 1
-XSS Reflective
※検出精度の向上を行いました。
2017/5/19 sig_v174.sig シグネチャID
-2000541 – 2000582 (防御)
シグネチャ名及び内容
-WannaCry C&C Connect 1 ~ 42
ランサムウェアWannaCryに感染した際に接続するC&CサーバのIPアドレスへの接続を検出するシグネチャです。
送信元IPアドレスの端末のウイルスチェックを行い、Windows Updateを行って下さい。
==============================================
シグネチャID
-2000583 (防御)
シグネチャ名及び内容
-Global Port 9001 (Tor) TCP Connect
グローバルIPのTCP 9001番宛への通信を検出するシグネチャです。
TCP 9001番はTorでも利用されるポートで、ランサムウェア等の不正なソフトウェアでも利用されます。
送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
シグネチャID
-2000584 – 2000585 (防御)
シグネチャ名及び内容
-Doublepulsar ping
-Doublepulsar Process Injection
感染拡大を目的とした、Windowsの脆弱性を悪用する通信を遮断するシグネチャです。
このシグネチャが検出された場合、送信元IPアドレスの端末がWannaCryに感染している可能性があります。
また、受信先IPアドレスが自社のIPアドレスである場合、脆弱性を狙った攻撃を受けている可能性があります。
最新のセキュリティソフトにてスキャンを行い、マルウェアを駆除してください。
その後Windows Updateを行い、Windowsの更新を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000586 (検知)
シグネチャ名及び内容
-SMB IPC Access
Windowsの共有をパスワード無しの匿名でアクセスしようとした通信を検知するシグネチャです。
社内間のファイル共有ではパスワード無しでの共有がされている事がありますが、受信先IPアドレスが共有サーバ以外である場合や、外部のIPアドレスである場合、WannaCry等のマルウェアに感染している可能性があります。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000481 – 2000500 (防御)
シグネチャ名及び内容
-URSNIF DNS Request 1 ~ 10
-URSNIF HTTP Request 1 ~ 10
※シグネチャ名の変更を行いました。
2017/4/19 sig_v173.sig シグネチャID
-2000537 (検知)
シグネチャ名及び内容
-0sec Redirect HTTP Response
別のサイトへ即時に転送されるよう設定されたHTMLをダウンロードするときの通信を検出するシグネチャです。
転送は移転中サイトでも利用されますが、詐欺サイト等への転送でも利用されることがあります。
送信元IPアドレスの端末がアクセスしたサイトを確認してください。
==============================================
シグネチャID
-2000538 (検知)
シグネチャ名及び内容
-Global IIS 5.0 HTTP Response
MicrosoftのWebサーバソフトInternet Information Services(IIS)の旧バージョンの通信を検知するシグネチャです。
送信元IPアドレスのWebサーバではWindows 2000が稼働しています。
自社で管理するWebサーバの場合、OSおよびソフトの更新を検討してください。
==============================================
シグネチャID
-2000539 (検知)
シグネチャ名及び内容
-Global IIS 5.1 HTTP Response
MicrosoftのWebサーバソフトInternet Information Services(IIS)の旧バージョンの通信を検知するシグネチャです。
送信元IPアドレスのWebサーバではWindows XPが稼働しています。
自社で管理するWebサーバの場合、OSおよびソフトの更新を検討してください。
==============================================
シグネチャID
-2000540 (検知)
シグネチャ名及び内容
-Global IIS 6.0 HTTP Response
MicrosoftのWebサーバソフトInternet Information Services(IIS)の旧バージョンの通信を検知するシグネチャです。
送信元IPアドレスのWebサーバではWindows Server 2003が稼働しています。
自社で管理するWebサーバの場合、OSおよびソフトの更新を検討してください。
==============================================
シグネチャID
-1113, 1679, 1690, 1693 (検知)
シグネチャ名及び内容
-Http directory
-Oracle describe
-Oracle grant
-Oracle create
※検出精度の向上とシグネチャ説明文の変更を行いました。
==============================================
シグネチャID
-2000363 (検知)
シグネチャ名及び内容
-Windows 8 Detect
※検出精度の向上を行いました。
2017/4/5 sig_v172.sig シグネチャID
-2000526 – 2000531 (防御)
シグネチャ名及び内容
-Dreambot DNS Request 1
-Dreambot HTTP Request 1
-Dreambot DNS Request 2
-Dreambot HTTP Request 2
-Dreambot DNS Request 3
-Dreambot HTTP Request 3
インターネットバンキングマルウェアであるDreambotを実行する際に使用されるドメイン、URLへアクセスするときの通信を検出するシグネチャです。
Dreambotが実行されると、情報搾取機能により、送信元端末のアカウント認証情報や個人情報が搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000532 – 2000533 (防御)
シグネチャ名及び内容
-Fake LicensePage DNS Access 3
-Fake LicensePage HTTP Access 3
Microsoft Officeのライセンス認証を騙る偽サイトにアクセスする通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000534 (検知)
シグネチャ名及び内容
-Global Port 32 Connect
グローバルIPアドレスからTCPポート32番へ接続するときの通信を検出するシグネチャです。
32/TCPは、Miraiボットの亜種等からのアクセスに使用される可能性があります。
受信先IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000535 (検知)
シグネチャ名及び内容
-Global Port 3232 Connect
グローバルIPアドレスからTCPポート3232番へ接続するときの通信を検出するシグネチャです。
3232/TCPは、Miraiボットの亜種等からのアクセスに使用される可能性があります。
受信先IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000536 (検知)
シグネチャ名及び内容
-Global Port 19058 Connect
グローバルIPアドレスからTCPポート19058番へ接続するときの通信を検出するシグネチャです。
19058/TCPは、Miraiボットの亜種等からのアクセスに使用される可能性があります。
受信先IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-1171, 1384, 1917 (検知)
シグネチャ名及び内容
-Whisker HEAD
外部IPアドレスからHEADリクエストにデータを付加した通信を受信しました。一般にはデータのやりとりはHEAD以外を利用します。
IPアドレスに心当たりがない場合、アクセス制限などを行ってください。
-Malformed upnp
外部IPアドレスからUPnP NOTIFYパケットを受信しました。UPnPは一般には社内で利用されるプロトコルです。
IPアドレスに心当たりがない場合は、アクセス制限などを行ってください。
-UPnP probe
外部IPアドレスから端末が接続された際のUPnPパケットを受信しました。UPnPは一般には社内で利用されるプロトコルです。
IPアドレスに心当たりがない場合は、アクセス制限などを行ってください。
※検出精度の向上とシグネチャ説明文の変更を行いました。
2017/3/22 sig_v171.sig シグネチャID
-2000520 (防御)
シグネチャ名及び内容
-Apache Struts2 HTTP Request
脆弱性(CVE-2017-5638)が報告されているApache Struts2上でコマンドを実行しようとする通信を検出するシグネチャです。
この脆弱性を利用して不正なコマンドを実行される可能性があります。
Apache Struts2のバージョンアップを行っていただき、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000521 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (24.x.x.x : IE)
脆弱性が報告されている旧バージョン24のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000522 (検知)
シグネチャ名及び内容
-onion HTTP Request
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイトである可能性がある「onion」を含むURLにアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000523 (検知)
シグネチャ名及び内容
-tor2web HTTP Request
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイトである可能性がある「tor2web」を含むURLにアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000524 (検知)
シグネチャ名及び内容
-Global Port 7547 Connect
グローバルIPアドレスから通信機器の遠隔管理機能に使用されるポート(7547/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスに7547/TCPへのポートスキャンが行われている可能性があります。
送信元IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000525 (検知)
シグネチャ名及び内容
-Global Port 5358 Connect
グローバルIPアドレスからMicrosoft Web Services on Devices API(WSDAPI)で使用されるポート(5358/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスに5358/TCPへのポートスキャンが行われている可能性があります。
送信元IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000419 – 2000420 (検知)
シグネチャ名及び内容
-onion DNS Request
-tor2web DNS Request
※シグネチャ名の変更を行いました。
==============================================
シグネチャID
-3000112 – 3000114, 3000118 – 3000120, 2000409 – 2000418 (検知)
シグネチャ名及び内容
-Suspicious URL *.onion.to
-Suspicious URL *.tor2web.org
-Suspicious URL *.onion.cab
-Suspicious Domain *.onion.to
-Suspicious Domain *.tor2web.org
-Suspicious Domain *.onion.cab
-Suspicious URL *.onion.lt
-Suspicious Domain *.onion.lt
-Suspicious URL *.tor2web.blutmagie.de
-Suspicious Domain *.tor2web.blutmagie.de
-Suspicious URL *.onion.link
-Suspicious Domain *.onion.link
-Suspicious URL *.onion.gq
-Suspicious Domain *.onion.gq
-Suspicious URL *.tor2web.fi
-Suspicious Domain *.tor2web.fi
※代替シグネチャを作成したため、無効化しました。
2017/3/8 sig_v170.sig シグネチャID
-2000361 – 2000362 (検知)
-2000506 – 2000507 (検知)
シグネチャ名及び内容
-Dropbox SSL Request 1 (旧名:Dropbox SSL 1)
-Dropbox SSL Request 2 (旧名:Dropbox SSL 2)
-Dropbox SSL Request Proxy 1
-Dropbox SSL Request Proxy 2
クラウドを利用したファイル共有サービスDropboxの通信を検出するシグネチャです。
※シグネチャ名の変更、検出精度の向上、シグネチャの追加を行いました。
送信元IPアドレスの端末がDropboxのソフトを起動したか、Dropboxサイトに接続した通信を検出しました。
Dropboxの通信を遮断したい場合、Dropboxシグネチャを防御に変更してください。
==============================================
シグネチャID
-2000359 – 2000360 (検知)
シグネチャ名及び内容
-Dropbox DNS 1
-Dropbox DNS 2
※Dropbox SSL Requestシグネチャで代替するため、無効化しました。
==============================================
シグネチャID
-2000508 (検知)
シグネチャ名及び内容
-Global LPD Connect
グローバルIPアドレスからLPDプリントポート(515/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスのプリンタに外部から印刷指示が行われる可能性があります。
アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000509 (検知)
シグネチャ名及び内容
-Global IPP Connect
グローバルIPアドレスからIPPプリントポート(631/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスのプリンタに外部から印刷指示が行われる可能性があります。
アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000510 (検知)
シグネチャ名及び内容
-Global LPR Connect
グローバルIPアドレスからLPDプリントポート(9100/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスのプリンタに外部から印刷指示が行われる可能性があります。
アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000511 (検知)
シグネチャ名及び内容
-Global MongoDB Connect
グローバルIPアドレスからMongoDBで利用されるポート(27017/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスのMongoDBデータベースの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000512 (検知)
シグネチャ名及び内容
-Global CouchDB Request 1
グローバルIPアドレスからCouchDBのデータベース一覧を取得するコマンドall_dbsを受信したことを検出するシグネチャです。
受信先IPアドレスのCouchDBデータベースの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000513 (検知)
シグネチャ名及び内容
-Global CouchDB Request 2
グローバルIPアドレスからCouchDBへ認証して接続するコマンド_sessionを受信したことを検出するシグネチャです。
受信先IPアドレスのCouchDBデータベースの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000514 (検知)
シグネチャ名及び内容
-Global CouchDB Request 3
グローバルIPアドレスからCouchDBのデータベース内容を取得するコマンド/pleaseread/_all_docsを受信したことを検出するシグネチャです。
受信先IPアドレスのCouchDBデータベースの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000515 (検知)
シグネチャ名及び内容
-Global Elasticsearch Request 1
グローバルIPアドレスからElasticsearchのデータベース一覧を取得するコマンド_nodesを受信したことを検出するシグネチャです。
受信先IPアドレスのElasticsearchの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000516 (検知)
シグネチャ名及び内容
-Global Elasticsearch Request 2
グローバルIPアドレスからElasticsearchのデータベース一覧を取得するコマンド_nodesを受信したことを検出するシグネチャです。
受信先IPアドレスのElasticsearchの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000517 (検知)
シグネチャ名及び内容
-Global Elasticsearch Request 3
グローバルIPアドレスからElasticsearchのデータベース一覧を取得するコマンド_nodesを受信したことを検出するシグネチャです。
受信先IPアドレスのElasticsearchの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000518 (検知)
シグネチャ名及び内容
-Global Elasticsearch Request 4
グローバルIPアドレスからElasticsearchのデータを取得するコマンド/cat/_indicesを受信したことを検出するシグネチャです。
受信先IPアドレスのElasticsearchの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000519 (検知)
シグネチャ名及び内容
-Global Hadoop HDFS Request
グローバルIPアドレスからHadoopのファイルシステムHDFSのディレクトリ一覧を取得するコマンドLISTSTATUSを受信したことを検出するシグネチャです。
受信先IPアドレスのHadoopの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-524 (検知)
-525 , 2000377 (防御)
シグネチャ名及び内容
-TCP Port 0 Connect (旧名:Traffic on tcp port 0)
-UDP Port 0 Connect 1 (旧名:Traffic on udp port 0)
-UDP Port 0 Connect 2 (旧名:Traffic on udp port 0 from well-known port)
※シグネチャ名、シグネチャ説明文を変更しました。
==============================================
シグネチャID
-2000473 – 2000380 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 1
-BaiduIME HTTP Request 4
-BaiduIME HTTP Request 5
-BaiduIME HTTP Request 6
-BaiduIME HTTP Request 7
-BaiduIME HTTP Request 8
-BaiduIME SSL Request 1
-BaiduIME SSL Request 2
※シグネチャ説明文を変更しました。
2017/2/22 sig_v169.sig シグネチャID
-2000473 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 1
日本語入力ソフトであるBaidu IMEが、入力した文字をBaidu社サーバへ送信しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされており、クラウド変換機能が有効である可能性があります。
この場合、入力した文字をすべてBaidu社のサーバに送信し、変換が行われます。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000474 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 4
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000475 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 5
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信し、ダウンロードを開始しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000476 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 6
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信し、ダウンロードを開始しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000477 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 7
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000478 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 8
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000479 – 2000480 (防御)
シグネチャ名及び内容
-BaiduIME SSL Request 1
-BaiduIME SSL Request 2
日本語入力ソフトであるBaidu IMEが、入力した文字をBaidu社サーバへ送信しようとするときのSSL通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされており、クラウド変換機能が有効である可能性があります。
この場合、入力した文字をすべてBaidu社のサーバに送信し、変換が行われます。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000445 (防御)
シグネチャ名及び内容
-Pastebin JavaScript Code
テキスト貼り付けサイトPastebinから、JavaScriptを含む内容をダウンロードしようとするときの通信を検出するシグネチャです。
Pastebin経由で不正なコードを実行させようとする攻撃があります。受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000481 – 2000500 (防御)
シグネチャ名及び内容
-URSNIF DNS Request 1
-URSNIF HTTP Request 1
-URSNIF DNS Request 2
-URSNIF HTTP Request 2
-URSNIF DNS Request 3
-URSNIF HTTP Request 3
-URSNIF DNS Request 4
-URSNIF HTTP Request 4
-URSNIF DNS Request 5
-URSNIF HTTP Request 5
-URSNIF DNS Request 6
-URSNIF HTTP Request 6
-URSNIF DNS Request 7
-URSNIF HTTP Request 7
-URSNIF DNS Request 8
-URSNIF HTTP Request 8
-URSNIF DNS Request 9
-URSNIF HTTP Request 9
-URSNIF DNS Request 10
-URSNIF HTTP Request 10
URSNIFのマルウェアを実行する際に使用されるドメイン,URLへアクセスするときの通信を検出するシグネチャです。
URLNIFが実行されると、情報搾取機能により、送信元端末のアカウント認証情報や個人情報が搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000501 – 2000502 (検知)
シグネチャ名及び内容
-SundownEK HTTP Request 1
-SundownEK HTTP Request 2
Sundown Exploit Kitで使用されるURLへアクセスするときの通信を検出するシグネチャです。
このアクセス先は、ランサムウェアの感染に使用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000503 – 2000505 (検知)
シグネチャ名及び内容
-RIG-EK HTTP Response 1
-RIG-EK HTTP Response 2
-RIG-EK HTTP Response 3
RIG Exploit Kitで使用されるマルウェアのダウンロード先へアクセスするときの通信を検出するシグネチャです。
マルウェアがダウンロードされるとRIG Exploit Kitによる一連の攻撃が可能になります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-106 , 311 , 619 , 1545 , 1002000 , 1003074 , 1003125 (防御)
-1003204 – 1003211 , 1003216 – 1003218 (防御)
-1003223 – 1003224 , 1003228 – 1003240 , 1003246 – 1003248 (防御)
-1003251 , 1003267 – 1003270 , 1003274 – 1003275 (防御)
-1003277 – 1003278 , 1003285 , 2000001 , 2000003 , 2000005 (防御)
-2000013 – 2000014 , 2000034 , 2000039 , 2000045 (防御)
-2000059 – 2000060 , 2000062 – 2000066 , 2000087 (防御)
-2000101 – 2000102 , 2000105 – 2000106 , 9000024 (防御)
-1000018 , 1000020 , 1000024 , 1000037 , 1003283 – 1003284 (検知)
-1003303 , 3000070 – 3000071 , 3000082 (検知)
-3000084 – 3000089 , 3000091 – 3000095 , 9003016 (検知)
シグネチャ名及び内容
-ACKcmdC client (防御)
-Netscape overflow (防御)
-CyberCop probe (防御)
-Cisco DoS (防御)
-ACKcmdC response (防御)
-BlackWorm/Nyxem virus activity (防御)
-Trojan Prg data upload (防御)
-SQL injection GET (or 1=1) (防御)
-SQL injection POST (or 1=1) (防御)
-SQL injection GET (or 0=0) (防御)
-SQL injection POST (or 0=0) (防御)
-SQL injection GET (or a=a) (防御)
-SQL injection POST (or a=a) (防御)
-SQL injection GET (or x=x) (防御)
-SQL injection POST (or x=x) (防御)
-SQL injection (select) (防御)
-SQL injection (select) 1 (防御)
-SQL injection (declare) (防御)
-Password Stealer (PSW.Win32.Magania Family) GET (防御)
-Trojan Tigger.a Control (防御)
-Web Backdoor cfexec.cfm (防御)
-Backdoor cmdasp.asp (防御)
-Web Backdoor cmdasp.aspx (防御)
-Web Backdoor simple-backdoor.php (防御)
-Web Backdoor php-backdoor.php (防御)
-Web Backdoor jsp-reverse.jsp (防御)
-Web Backdoor perlcmd.cgi (防御)
-Web Backdoor cmdjsp.jsp (防御)
-Web Backdoor cmd-asp-5.1.asp (防御)
-NoBo downloader dropper GET (防御)
-Gumblar/Bredolab downloader communication 1 (防御)
-Gumblar/Bredolab downloader communication 2 (防御)
-Gumblar/Bredolab check in (防御)
-Trojan Spam-Mailbot.P 1 (防御)
-Trojan Spam-Mailbot.P 2 (防御)
-Trojan KillAV/Dropper/Mdrop/Hupigon (防御)
-Trojan Keylogger (防御)
-Slowloris DoS tool traffic (防御)
-ZBot EXE Download (pdf.exe) (防御)
-ZBot EXE Download (word.exe) (防御)
-ZBot EXE Download (updatetool.exe) (防御)
-Trojan Dropper Checkin (防御)
-Trojan Dropper Checkin 2 (防御)
-FakeAV traffic 2 (防御)
-FakeAV encrypted gif download (防御)
-Trojan-Dropper.Win32.Flystud (防御)
-W32.Virut.CE (防御)
-Safari SVG Exploit (防御)
-Mozilla Firefox mChannel (防御)
-Firefox null pointer exploit (防御)
-Firefox null pointer exploit (防御)
-MacOS.Flashback.A (防御)
-JavaScript Heap Exploitation (防御)
-Phising Paypal account 1 (防御)
-Trojan bot Download 1 (防御)
-Trojan bot Download 2 (防御)
-Malcious Redirect 1 (防御)
-Malcious Redirect Response 1 (防御)
-Malcious HTML File 2 (防御)
-Worm_RJUMP.AF Connect (防御)
-Worm_RJUMP.AF Connect (防御)
-Kelihos Send Message (防御)
-Apache Struts ClassLoader Exploit (防御)
-Apache Struts ClassLoader Exploit (防御)
-Phising Flash Player Update 1 (防御)
-Phising Flash Player Update 2 (防御)
-Idahack attack (防御)
-Totodisk activity (検知)
-Soribada6 login (検知)
-Filebada activity (検知)
-MSN gateway (Windows Live Messenger) (検知)
-Teamviewer 1 (検知)
-Teamviewer 2 (検知)
-Korean webdisk (検知)
-Browser IE6 Detect (検知)
-Windows XP Detect (検知)
-RegClean Pro Buy (検知)
-hao123 Search (検知)
-babylon Search (検知)
-Kingsoft Security Connection (検知)
-Kingsoft Security Update 1 (検知)
-Ask Toolbar download (検知)
-Ask.com Search (検知)
-Advanced System Protector Update 1 (検知)
-Advanced System Protector Update 2 (検知)
-Ask Toolbar Update 1 (検知)
-Ask Toolbar Update 2 (検知)
-Kingsoft Security Update 2 (検知)
-Touch login (検知)
※検出頻度の向上を行いました。
2017/2/8 sig_v168.sig シグネチャID
-2000438 – 2000441 (防御)
シグネチャ名及び内容
-Fake LicensePage DNS Access
-Fake LicensePage HTTP Access
-Fake LicensePage DNS Access 2
-Fake LicensePage HTTP Access 2
Officeのライセンス認証を騙る偽サイトにアクセスする通信を検出するシグネチャです。送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000442 – 2000444 (防御)
シグネチャ名及び内容
-Fake SupportPage DNS Access
-Fake SupportPage HTTP Access
-Fake SupportPage Access
Windowsにエラーがあることを騙った偽サイトにアクセスする通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000445 (防御)
シグネチャ名及び内容
-Pastebin JavaScript Code
テキスト貼り付けサイトPastebinから、JavaScriptを含む内容をダウンロードしようとするときの通信を検出するシグネチャです。
Pastebin経由で不正なコードを実行させようとする攻撃があります。受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000446 – 2000469 (防御)
シグネチャ名及び内容
-APT Domain Access 1
-APT URL Access 1
-APT Domain Access 2
-APT URL Access 2
-APT Domain Access 3
-APT URL Access 3
-APT Domain Access 4
-APT URL Access 4
-APT Domain Access 5
-APT URL Access 5
-APT Domain Access 6
-APT URL Access 6
-APT Domain Access 7
-APT URL Access 7
-APT Domain Access 8
-APT URL Access 8
-APT Domain Access 9
-APT URL Access 9
-APT Domain Access 10
-APT URL Access 10
-APT Domain Access 11
-APT URL Access 11
-APT Domain Access 12
-APT URL Access 12
標的型攻撃に使われたドメイン,URLへアクセスするときの通信を検出するシグネチャです。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000470 (検知)
シグネチャ名及び内容
-Port 37777 Detect (Dahua DVR)
TCPポート37777宛の通信を検出するシグネチャです。37777番ポートは一部の録画機器で利用されるポートです。
機器の脆弱性を悪用し、不正なソフトを動作させるなどの攻撃が報告されています。
接続IPアドレスに心当たりが無い場合、アクセス制限設定を見直してください。
==============================================
シグネチャID
-2000471 (検知)
シグネチャ名及び内容
-Port 23123 Detect (Telnet)
TCPポート23123宛の通信を検出するシグネチャです。23123番ポートは一部の機器でTelnetで利用されるポートです。
機器の脆弱性を悪用し、不正なソフトを動作させるなどの攻撃が報告されています。
接続IPアドレスに心当たりが無い場合、アクセス制限設定を見直してください。
==============================================
シグネチャID
-2000472 (検知)
シグネチャ名及び内容
-Port 2222 Detect (SSH)
TCPポート2222宛の通信を検出するシグネチャです。2222番ポートはリモートメンテナンス等に利用されるポートです。
機器の脆弱性を悪用し、不正なソフトを動作させるなどの攻撃が報告されています。
接続IPアドレスに心当たりが無い場合、アクセス制限設定を見直してください。
==============================================
シグネチャID
-2000433 (防御)
シグネチャ名及び内容
-ICMP port unreachable
※検出頻度の向上を行いました。
2017/1/25 sig_v167.sig シグネチャID
-2000433 (防御)
シグネチャ名及び内容
-ICMP port unreachable
相手先のポートに接続できなかった通知「ICMP port unreachable」の通知を検出するシグネチャです。
送信元IPアドレスに接続できなかったため、接続できなかった旨の通知が届きました。
一般には問題ない通信ですが、この通信を大量に受信すると、一部のネットワーク機器がDoS状態に陥る「BlackNurse」攻撃が報告されています。
ネットワーク機器のファームウェアの更新などの対策を行ってください。
==============================================
シグネチャID
-2000434 (検知)
シグネチャ名及び内容
-NTP monlist request
NTPサーバの動作履歴を取得するコマンドmonlistの通信を検出するシグネチャです。
送信元IPアドレスから、受信先IPアドレスのNTPサーバへmonlistコマンドが送信されました。
NTPサーバがこのパケットを大量に受信すると、通信量が増大するためDoS攻撃に利用される場合があります。
NTPサーバのバージョンアップやアクセス制限を行ってください。
==============================================
シグネチャID
-2000435 (検知)
シグネチャ名及び内容
-NTP mrulist request
NTP通信の接続元を認証するコマンドmrulistの通信を検出するシグネチャです。
送信元IPアドレスから、受信先IPアドレスのNTPサーバへmrulistコマンドが送信されました。
NTPサーバがこのパケットを大量に受信すると、通信量が増大するためDoS攻撃に利用される場合があります。
NTPサーバのバージョンアップやアクセス制限を行ってください。
==============================================
シグネチャID
-2000436 (検知)
シグネチャ名及び内容
-HTTP index_old.php access
Webサーバから、index_old.phpにアクセスするHTMLファイルをダウンロードするときの通信を検出するシグネチャです。
サイトの改ざん手法でindex_old.phpというファイル名を用い、検知しづらくする手法があります。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000437 (検知)
シグネチャ名及び内容
-anonymous FTP access
受信先IPアドレスのFTPサーバへanonymousログインを試行した通信を検出するシグネチャです。
anonymousはパスワードなしでFTPサーバへログインできるユーザ名です。
一部のダウンロードサービスで利用される場合がありますが、不正ファイルの配布に利用される場合が報告されています。
アクセスした心当たりがなければ送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-306 , 2000067 , 2000069 ,2000070 , 2000096 – 2000097 , 200099 – 200100 , 3000083 , 3000090 (防御)
-1881 , 1000026 , 1003293 , 3000072 , , 3000096 (検知)
シグネチャ名及び内容
-Vqserver admin (防御)
-Malcious HTML 3 (防御)
-Trojan Downloader File 2 (防御)
-Trojan Remote Access 2 (防御)
-Trojan Kryptik.BXXO 1 (防御)
-Trojan Kryptik.BXXO 2 (防御)
-Apache Struts ClassLoader Exploit (防御)
-Apache Struts ClassLoader Exploit (防御)
-hao123 Connection (防御)
-Advanced System Protector Buy (防御)
-Bad HTTP/1.1 (検知)
-P2P BitTorrent traffic (検知)
-ICQ login 2 (検知)
-XP Support End Message (検知)
-Superfish ads 1 (検知)
※検出精度の向上を行いました。
2016/1/12 sig_v166.sig シグネチャID
-2000421 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (23.x.x.x : IE)
脆弱性が報告されている旧バージョンのAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000422 (検知)
シグネチャ名及び内容
-Port 389 Detect (LDAP)
UDPポート389宛の通信を検出するシグネチャです。
389番ポートはLDAPに使用されるポートで、「SearchRequest」メッセージの送信により機器を探索する際に利用されますが、 「SearchRequest」への応答は、DoS攻撃の一種であるリフレクション攻撃に利用される可能性があります。
受信先IPの設定の確認を行い、必要に応じてアクセス制限などの対策を行ってください。
==============================================
シグネチャID
-2000423 (検知)
シグネチャ名及び内容
-Port 4786 Detect (Cisco IOS)
TCPポート4786宛の通信を検出するシグネチャです。
4786番ポートはCisco System社製スイッチやルータ等のSmall Install機能で使用されているポートですが、Cisco IOS及びCisco IOS XEのSmall Installに対する脆弱性が存在することが公表され、悪用された場合、メモリリークにより機能が停止する可能性があります。
最新バージョンにアップデートするなどのセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000424 (検知)
シグネチャ名及び内容
-ip-addr.es DNS Access
自身のグローバルIPアドレス調査サイトip-addr.esの名前解決通信を検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000425 (検知)
シグネチャ名及び内容
-ip-addr.es HTTP Access
自身のグローバルIPアドレス調査サイトip-addr.esへのアクセスを検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000426 (検知)
シグネチャ名及び内容
-myexternalip.com DNS Access
自身のグローバルIPアドレス調査サイトmyexternalip.comの名前解決通信を検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000427 (検知)
シグネチャ名及び内容
-myexternalip.com HTTP Access
自身のグローバルIPアドレス調査サイトmyexternalip.comへのアクセスを検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000428 (検知)
シグネチャ名及び内容
-api.ipify.org DNS Access
自身のグローバルIPアドレス調査サイトapi.ipify.orgの名前解決通信を検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000429 (検知)
シグネチャ名及び内容
-api.ipify.org HTTP Access
自身のグローバルIPアドレス調査サイトapi.ipify.orgへのアクセスを検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000430 (検知)
シグネチャ名及び内容
-ip.telize.com DNS Access
自身のグローバルIPアドレス調査サイトip.telize.comの名前解決通信を検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000431 (検知)
シグネチャ名及び内容
-ip.telize.com HTTP Access
自身のグローバルIPアドレス調査サイip.telize.comへのアクセスを検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000432 (検知)
シグネチャ名及び内容
-Global FTP Plain Connection
外部のFTPサーバ(TCP 21)へ暗号化せずにアクセスしたことを検出するシグネチャです。
FTPはホームページ更新等のファイル転送に利用されますが、標準では通信が暗号化されておらず、セキュリティレベルが低いことが報告されています。
FTPES(FTP Explicitモード)やSCPなどの暗号化された方式での通信に変更することをお勧めいたします。
==============================================
シグネチャID
-3000100 , 3000101 (検知)
シグネチャ名及び内容
-Port 22 Detect (SSH)
-Port 23 Detect (Telnet)
※検出精度の向上を行いました。
==============================================
シグネチャID
-3000104 (検知)
シグネチャ名及び内容
-Global IP FTP Connect
※代替シグネチャを作成したため、無効化しました。
2016/12/15 sig_v165.sig シグネチャID
-2000400 (防御)
シグネチャ名及び内容
-Mirai bot exec command
DDoS攻撃に利用されるマルウェア「Mirai」で、送信元IPから受信先IPの端末や機器へ不正なコードを実行するコマンドが送信されるときの通信を検出するシグネチャです。
受信先IPの端末や機器のセキュリティ設定を確認し、不正なツールが動作していないか確認してください。
==============================================
シグネチャID
-2000401 (防御)
シグネチャ名及び内容
-Adware URL *.exclusiverewards.xx.com
広告のポップアップを表示するサイトへのアクセスを検出するシグネチャです。
このポップアップ表示のサイトには問題はありませんが、ポップアップのリンク先で入力された情報を抜き取られる可能性があります。
検出に心当たりがない場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000402 (防御)
シグネチャ名及び内容
-Trojan.PlugX Traffic 1
遠隔操作ウイルスPlugXに感染した際の通信を検出するシグネチャです。
送信元IPアドレスの端末がPlugXウイルスに感染し、外部に情報を送信しようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000403 (防御)
シグネチャ名及び内容
-SOAP RCE exploit
SOAPのデフォルトポートであるTCP 7547番ポートに対するRemote Code Execution(RCE)攻撃を検出するシグネチャです。
ルータ等の機器がクラッシュする可能性があります。
受信先IPの機器のセキュリティ設定を確認してください。
==============================================
シグネチャID
-2000404 (防御)
シグネチャ名及び内容
-NETGEAR Command Injection
NETGEAR製ルータの脆弱性を攻撃する通信を検出するシグネチャです。受信先IPアドレスが脆弱性が存在するNETGEAR製のルータ(#582384)である場合、任意のコマンドが実行され、設定の変更や機能の停止をされる可能性があります。回避策の実施や、他機種へのルータの変更、対策済ファームウェアの更新を行ってください。
==============================================
シグネチャID
-2000405 (検知)
シグネチャ名及び内容
-Port 2323 Detect (Telnet)
TCPポート2323(Telnetポート)宛の通信を検出するシグネチャです。Telnetはリモートメンテナンス等に利用される場合がありますが、通信が暗号化されておらず、セキュリティレベルが低いことが報告されています。受信先IPアドレスのTelnetサーバの設定を確認してください。また、Telnetを無効化し、SSHへ移行する、利用するポート番号を変更して運用されるなどの対策をお勧めいたします。
==============================================
シグネチャID
-2000406 (検知)
シグネチャ名及び内容
-Port 843 Detect (Flash)
TCPポート843宛の通信を検出するシグネチャです。843番ポートはAdobe Flashにより利用されるポートで、Flash Playerから直接サーバに接続されます。
利用しているFlash Playerが古い場合、脆弱性を悪用されるなどの影響が考えられますので、最新版のFlash Playerを利用するなどの対策を行ってください。
==============================================
シグネチャID
-2000407 (検知)
シグネチャ名及び内容
-Port 1935 Detect (Flash RTMP)
TCPポート1935宛の通信を検出するシグネチャです。1935番ポートはAdobe Flashによりリアルタイム通信の際に利用されるポートで、Flash Playerから直接サーバに接続されます。
利用しているFlash Playerが古い場合、脆弱性を悪用されるなどの影響が考えられますので、最新版のFlash Playerを利用するなどの対策を行ってください。
==============================================
シグネチャID
-2000408 (検知)
シグネチャ名及び内容
-Baidu Link forward
BaiduのURLを経由して別サイトへ転送させるリンクにアクセスしたときの通信を検出するシグネチャです。
送信元IPアドレスの端末が不正なサイトにアクセスした可能性があります。送信元IPアドレスの端末のウイルスチェックやアクセス履歴を確認し、不正なソフトなどがインストールされていないか確認を行ってください。
==============================================
シグネチャID
-2000409 – 2000410 (検知)
シグネチャ名及び内容
-Suspicious URL *.onion.lt
-Suspicious Domain *.onion.lt
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.onion.lt」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000411 – 2000412 (検知)
シグネチャ名及び内容
-Suspicious URL *.tor2web.blutmagie.de
-Suspicious Domain *.tor2web.blutmagie.de
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.tor2web.blutmagie.de」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000413 – 2000414 (検知)
シグネチャ名及び内容
-Suspicious URL *.onion.link
-Suspicious Domain *.onion.link
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.onion.link」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000415 – 2000416 (検知)
シグネチャ名及び内容
-Suspicious URL *.onion.gq
-Suspicious Domain *.onion.gq
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.onion.gq」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000417 – 2000418 (検知)
シグネチャ名及び内容
-Suspicious URL *.tor2web.fi
-Suspicious Domain *.tor2web.fi
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.tor2web.fi」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000419 – 2000420 (検知)
シグネチャ名及び内容
-Suspicious Domain *.onion.*
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイトである可能性がある「onion」を含むドメインにアクセスしようとしたときの通信を検出するシグネチャです。
-Suspicious Domain *.tor2web.*
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイトである可能性がある「tor2web」を含むドメインにアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000109 – 3000314 , 2000364 (検知)
シグネチャ名及び内容
-Suspicious URL *.ceorldess.com
-Suspicious URL *.gpay4it.com
-Suspicious URL *.pay4softrn.com
-Suspicious URL *.onion.to
-Suspicious URL *.tor2web.org
-Suspicious URL *.onion.cab
-Windows Vista Detect
※検出精度の向上を行いました。
2016/11/17 sig_v164.sig シグネチャID
-2000384 (検知)
シグネチャ名及び内容
-L2TP/IPSec Connect
L2TP/IPSecを用いたVPN通信が開始されるときの通信を検出するシグネチャです。
送信元IPと受信先IP間がVPNで接続され、外部から接続できるようになっている可能性があります。
適切なファイアウォールの設定や、VPNのアクセス制限などを行い、許可された端末のみ接続できるよう設定してください。
==============================================
シグネチャID
-2000385 – 2000388 (検知)
シグネチャ名及び内容
-Default Basic Pass 1
-Default Basic Pass 2
-Default Basic Pass 3
-Default Basic Pass 4
受信先IPの機器にデフォルトパスワードでログインしようとする通信を検出するシグネチャです。
デフォルトパスワードはマニュアル等に掲載されており、管理者以外が容易にログインできます。
パスワードを変更されることをお勧めします。
==============================================
シグネチャID
-2000389 – 2000394 (防御)
シグネチャ名及び内容
-supportservice247.com HTTP Access 1
-housemarket21.com HTTP Access 1
-supportservice247.com HTTP Access 2
-housemarket21.com HTTP Access 2
-requestword.com HTTP Access
-enewsdatabank.com HTTP Access
標的型サイバー攻撃に利用されるサイトへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が不正な用途に利用されるサイトへアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000395 – 2000398 (防御)
シグネチャ名及び内容
-supportservice247.com DNS Access
-housemarket21.com DNS Access
-requestword.com DNS Access
-enewsdatabank.com DNS Access
標的型サイバー攻撃に利用されるドメイン名の名前解決を検出するシグネチャです。
送信元IPアドレスの端末が不正な用途に利用されるドメイン名の名前解決通信を利用して、
ウイルスのコマンドを受信しようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000399 (防御)
シグネチャ名及び内容
-Reimage Connection
PCメンテナンスツールを称するReimageによる通信を検出するシグネチャです。
Reimageは、フリーソフトのインストールなどと一緒に、意図せずインストールされる場合があります。
特に必要でない場合は、送信元IPアドレスの端末よりアンインストールをしてください。
==============================================
シグネチャID
-1411 , 1412 , 2000382 (検知)
-3000054 – 3000055 , 3000057 – 3000058 , 3000060 – 3000063 , 3000066 – 3000069 (検知)
-3000063 – 3000064 (検知)
シグネチャ名及び内容
-Snmp public
-Snmp public
-ip-api.com DNS Access
-Foreign Country Access .ru PHP
-Foreign Country Access .ru PHP
-Foreign Country Access .cn PHP
-Foreign Country Access .cn PHP
-Foreign Country Access .ru js
-Foreign Country Access .ru js
-Foreign Country Access .cn js
-Foreign Country Access .cn js
-Foreign Country Access .in PHP
-Foreign Country Access .in PHP
-Foreign Country Access .in js
-Foreign Country Access .in js
-Windows 8 Detect
-Windows Vista Detect
※検出精度の向上を行いました。
2016/10/19 sig_v163.sig シグネチャID
-2000374 – 2000376 (防御)
シグネチャ名及び内容
-Trojan RANSOM_WALTRIX.C 1
-Trojan RANSOM_WALTRIX.C 2
-Trojan RANSOM_WALTRIX.C 3
悪意あるサイトからランサムウェアRANSOM_WALTRIX.CがPCに侵入しようとするときの通信を検出するシグネチャです。
侵入が成功した場合、PC内のファイルを暗号化し、金銭を要求される危険性があります。
送信元IPアドレスのPCのウイルスチェックを行ってください。
==============================================
シグネチャID
-2000377 (防御)
シグネチャ名及び内容
-Traffic on udp port 0 from well-known port
UDP: ~1024番ポートからUDP:0番ポート宛への通信を検出しました。
0番ポートは通常利用されないポート番号です。送信元IPアドレスを確認し、
ファイアウォール等で不要なポートを遮断する設定などを行ってください。
==============================================
シグネチャID
-525 (検知)
シグネチャ名及び内容
-Traffic on udp port 0
UDP: 1025~65535番ポートからUDP:0番ポート宛への通信を検出しました。
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000378 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (22.x.x.x : IE)
脆弱性が報告されている旧バージョンのAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000379 (検知)
シグネチャ名及び内容
-SMTP Macro File
送信元IPアドレスの端末が、メールでマクロを含むファイル(拡張子.docmや.xlsmなど)を送信しました。
マクロを含む添付ファイルを実行させ、ウイルスに感染させる手法が流行しています。
送信に心当たりが無い場合は送信元のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000380 (検知)
シグネチャ名及び内容
-POP3 Macro File
受信先IPアドレスの端末が、メールでマクロを含むファイル(拡張子.docmや.xlsmなど)を受信しました。
マクロを含む添付ファイルを実行させ、ウイルスに感染させる手法が流行しています。
該当のメールは開かないで下さい。
==============================================
シグネチャID
-2000381 (検知)
シグネチャ名及び内容
-Windows Live Mail SMTP
送信元IPアドレスの端末が、Windows Live メールを使ってメールを送信しました。
Windows Live メールは2017年1月10日にサポートが終了することが予告されています。
他のメールソフトに移行されることをお勧めします。
==============================================
シグネチャID
-2000382 (検知)
シグネチャ名及び内容
-ip-api.com DNS Access
自身のグローバルIPアドレス調査サイトip-api.comの名前解決通信を検出するシグネチャです。
このサイト自体に問題はありませんが、ウイルス感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
ip-api.comにアクセスした覚えが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000383 (検知)
シグネチャ名及び内容
-ip-api.com HTTP Access
自身のグローバルIPアドレス調査サイトip-api.comへのアクセスを検出するシグネチャです。
このサイト自体に問題はありませんが、ウイルス感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
ip-api.comにアクセスした覚えが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-1062,1064,1065,1066,1068 (検知)
シグネチャ名及び内容
-Nc.exe attempt
-Wsh attempt
-Rcmd attempt
-Telnet attempt
-Tftp attempt
※本来の目的での検知が難しいため、無効化しました。
2016/9/15 sig_v162.sig シグネチャID
-2000359 – 2000362 (検知)
シグネチャ名及び内容
-Dropbox DNS 1
-Dropbox DNS 2
-Dropbox SSL 1
-Dropbox SSL 2
クラウドを利用したファイル共有サービスDropboxの通信を検出するシグネチャです。
受信先IPアドレスの端末がDropboxのソフトを起動したか、Dropboxサイトに接続した通信を検出しました。
Dropboxの通信を遮断したい場合、このシグネチャを防御に変更してください。
==============================================
シグネチャID
-2000363 (検知)
シグネチャ名及び内容
-Windows 8 Detect
2016年1月13日にサポートが終了した、Windows 8によるインターネット接続を検知しました。
送信元IPアドレスの端末はWindows 8を利用しています。Windows 8は後継のWindows 8.1に無償でアップグレードすることができます。
Windows 8.1にアップグレードを行い、最新の更新プログラムを適用した状態で利用されることを推奨します。
==============================================
シグネチャID
-2000364 (検知)
シグネチャ名及び内容
-Windows Vista Detect
2017年4月11日にサポートが終了する、Windows Vistaによるインターネット接続を検知しました。
送信元IPアドレスの端末はWindows Vistaを利用しています。主要ソフトがWindows Vista非対応となっています。
サポート期限に関わらず、OSのアップグレードや新しいパソコンの検討を行ってください。
==============================================
シグネチャID
-2000365 (検知)
シグネチャ名及び内容
-Docker API Global access
グローバルIP宛のDocker(仮想環境管理ソフト)への接続を検知しました。
受信先IPアドレスのDockerが、外部から閲覧できる設定になっている可能性があり、権限のないユーザから稼働状況の閲覧や設定の変更が行われる可能性があります。
外部から閲覧できない設定に変更するか、適切なアクセス制御やSSLが利用できるRemoteAPIなどを利用するよう変更してください。
==============================================
シグネチャID
-2000366 (検知)
シグネチャ名及び内容
-Global Port 69 UDP (TFTP)
外部のUDPポート69番宛への通信が行われました。
このポート番号はTFTPで利用されるポート番号です。
TFTPは一般的なFTPと違い、簡易的なファイル転送機能しかなく、限定的な用途にしか利用されません。
また、DoS攻撃に利用されることがあります。
この通信に心当たりが無い場合、防御設定に変更したり、ファイアウォールの設定を見直すなどして、通信を遮断してください。
==============================================
シグネチャID
-2000367 (検知)
シグネチャ名及び内容
-Global Port 1433 Detect (MSSQL)
グローバルIPアドレス宛の1433番ポートへの接続を検出するシグネチャです。
1433番はMicrosoft SQL Server (MSSQL)の標準ポートです。受信先IPアドレスに心当たりがなければ、ウイルス等による通信の可能性があります。
メンテナンス等で利用している場合でも、アクセス制限やポート番号の変更などを行ってください。
==============================================
シグネチャID
-2000368 (検知)
シグネチャ名及び内容
-Global SMB Connect
外部のWindowsファイル共有(SMB)へファイル閲覧を行おうとする通信を検出するシグネチャです。
送信元IPアドレスの端末が、受信先グローバルIPアドレスのWindowsファイル共有サーバのファイルを閲覧しようとしました。
接続したIPアドレスに心当たりがない場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000369 (検知)
シグネチャ名及び内容
-Global Proxy Connect
送信元IPアドレスの端末が、受信先IPアドレスの社外プロキシサーバを経由してインターネット接続をする設定になっています。
全てのインターネット通信がプロキシサーバを経由し、通信内容がのぞき見られる可能性があります。
==============================================
シグネチャID
-2000370 (防御)
シグネチャ名及び内容
-Global WPAD Connect
送信元IPアドレスの端末が、受信先IPアドレスのプロキシサーバを経由して通信する設定を取得しようとしました。
防御された場合は問題ありませんが、端末のインターネットオプション設定の「設定を自動的に検出する」項目を無効にして運用されることをお勧めします。
==============================================
シグネチャID
-2000371 (検知)
シグネチャ名及び内容
-httpoxy header detect (CVE-2016-5385 – 5389)
httpoxy(CVE-2016-5385~2016-5389)を攻撃する通信を検出しました。
送信元IPアドレスから不正なHTTPヘッダが含まれた通信が送信された可能性があります。
受信先IPアドレスのWebサーバで対策を行ってください。
==============================================
シグネチャID
-2000372 – 2000373 (防御)
シグネチャ名及び内容
-Spyware. TSPY_FAREIT.AFM 1
-Spyware. TSPY_FAREIT.AFM 2
スパイウェア「TSPY_FAREIT.AFM」がインストールされるときに発生するイベントです。
FTPクライアントのアカウント情報やブラウザに保存されたEメールの認証情報などが不正に取得される恐れがあります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
心当たりのないメールの添付ファイルは実行しないでください。
==============================================
シグネチャID
-2000342 (検知)
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
※Java検知のバージョンを更新しました。
※Old Java Version (1.8.0_xx)はMC-70Sのみ適用されています。
==============================================
シグネチャID
-1003135 , 2000336 (防御)
シグネチャ名及び内容
-XSS attack 1
-XSS Reflective
※検出精度の向上を行いました。
==============================================
シグネチャID
-1042 (検知)
シグネチャ名及び内容
-Source via
※説明文の変更を行いました。
2016/8/24 sig_v161.sig シグネチャID
-2000353 (防御)
シグネチャ名及び内容
-dnscat Tunneling detect
DNSプロトコルを利用した通信制御回避ツールdnscatの通信を検出するシグネチャです。
送信元IPアドレスの端末が、dnscatを利用した通信を行った可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000354 (検知)
シグネチャ名及び内容
-ipinfo.io DNS Access
自身のグローバルIPアドレス調査サイトipinfo.ioの名前解決通信を検出するシグネチャです。
このサイト自体に問題はありませんが、ウイルス感染後にアクセスし、
自身のIPアドレスを収集することが多く知られています。
検出に心当たりがない場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000355 (検知)
シグネチャ名及び内容
-ipinfo.io HTTP Access
自身のグローバルIPアドレス調査サイトipinfo.ioへのアクセスを検出するシグネチャです。
このサイト自体に問題はありませんが、ウイルス感染後にアクセスし、
自身のIPアドレスを収集することが多く知られています。
検出に心当たりがない場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000356 (検知)
シグネチャ名及び内容
-Global Port 6892 UDP
外部のUDPポート6892番宛への通信を検出するシグネチャです。
このポート番号はBitTorrentで利用されますが、ウイルス感染時の通信にも
利用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000357 (検知)
シグネチャ名及び内容
-HTTPBrowser/1.0 Detect
HTTPBrowser/1.0 による通信を検出するシグネチャです。
一般のインターネット閲覧ではなく、別のソフトやウイルス等による通信である
可能性があります。
送信元IPアドレスのウイルスチェックを行ってください。
==============================================
シグネチャID
-2000358 (防御)
シグネチャ名及び内容
-Angler exploit kit landing page
Angler exploit kitを使用して脆弱性攻撃する通信を検出するシグネチャです。
この攻撃が成功した場合、バックドアを仕掛けて端末が乗っ取られる危険性があります。
送信元IPアドレスの端末のウイルスチェック等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000342 (検知)
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
※Java検知のバージョンを更新しました。
※Old Java Version (1.8.0_xx)はMC-70Sのみ適用されています。
==============================================
シグネチャID
-1003135 , 2000336 (防御)
シグネチャ名及び内容
-XSS attack 1
-XSS Reflective
※検出精度の向上を行いました。
2016/7/20 sig_v160.sig シグネチャID
-2000352 (防御)
シグネチャ名及び内容
-Apache Struts2 REST Plugin (2016 s2-037)
脆弱性が報告されているApache Struts2のRESTプラグインを攻撃する通信を検出する
シグネチャです。
受信先IPアドレスのApache Struts2のアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-1634 , 1866 (防御)
シグネチャ名及び内容
-Pop3 pass
-Pop3 user
※検出精度向上、説明文を変更しました。
==============================================
シグネチャID
-1321 (防御)
シグネチャ名及び内容
-Traffic with 0 ttl
※本来の目的での検知が難しいため、無効化しました。
2016/6/22 sig_v159.sig シグネチャID
-2000345 – 2000350 (防御)
シグネチャ名及び内容
-Apache Struts2 (2014 s2-020)
-Apache Struts2 (2013 s2-019)
-Apache Struts2 (2013 s2-016)
-Apache Struts2 (2013 s2-013)
-Apache Struts2 (2011 s2-009)
-Apache Struts2 (2010 s2-005)
脆弱性が報告されているApache Struts2を攻撃する通信を検出するシグネチャです。
受信先IPアドレスのApache Struts2のアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000351 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (21.x.x.x : IE)
脆弱性が報告されている旧バージョンのAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000340 (防御)
シグネチャ名及び内容
-QuickTime for Windows (Support Expired)
説明文を修正しました。
※MC-70Sのみ適用されております。
==============================================
シグネチャID
-1003134 – 1003135 (防御)
シグネチャ名及び内容
-XSS attack
-XSS attack 1
説明文を変更しました。
※MC-70Sのみ適用されております。
==============================================
シグネチャID
-159 (防御)
シグネチャ名及び内容
-Netmetro server
一部機器において無効化が反映されていなかったため、修正しました。
==============================================
シグネチャID
-471 , 474 , 475 , 480 , 483 (検知)
シグネチャ名及び内容
-Icmpenum ping
-Scan tool ping
-Scan tool ping 2
-Speedera ping
-Cyberkit 2.2 ping
other pingシグネチャで代替するため、無効化しました。
2016/6/16 sig_v158.sig シグネチャID
-3000121 – 3000122 (検知)
シグネチャ名及び内容
-Global Port 3389 Detect (RDP)
-Global Port 3306 Detect (MySQL)
一部シグネチャが過去のポリシーに戻っていたため修正しました。
※MC-70Sのみアップデートしております。
2016/6/14 sig_v157.sig シグネチャID
-2000342 – 2000344 (検知)
※シグネチャ防御によって、お客様システムに影響が出る可能性があるため
初期設定を防御から検知に変更しました。
※Javaの旧バージョンには脆弱性が多数報告されておりますので、Javaを使用した
システム等を利用されていない場合は、防御設定に変更してください。
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
-Old Java Version (1.7.0_xx)
-Old Java Version (1.6.0_xx)
※Old Java Version (1.8.0_xx)はMC-70Sのみ適用されています。
脆弱性が報告されているJavaを検出するシグネチャです。
送信元IPアドレスのJavaのアップデート等のセキュリティ対策を
行ってください。
2016/5/25 sig_v156.sig シグネチャID
-2000340 (防御)
シグネチャ名及び内容
-QuickTime for Windows (Support Expired)
脆弱性が報告されている旧バージョンのQuickTime for Windowsを検出する
シグネチャです。メーカーによるサポートが終了しているため、利用されて
いない場合はアンインストールを行ってください。
==============================================
シグネチャID
-2000341 (防御)
シグネチャ名及び内容
-Apache Struts2 Dynamic Method Invocation
脆弱性が報告されているApache Struts2を検出するシグネチャです。
受信先IPアドレスのApache Struts2のアップデートまたはDMI機能の停止を検討
するなどの対策を行ってください。
==============================================
シグネチャID
-2000342 – 2000344 (防御)
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
-Old Java Version (1.7.0_xx)
-Old Java Version (1.6.0_xx)
※Old Java Version (1.8.0_xx)はMC-70Sのみ適用されています
※other pingシグネチャで代替するため、無効化しました。
==============================================
シグネチャID
-2000336 (防御)
シグネチャ名及び内容
-XSS Reflective
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000338 – 2000339 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (1x.x.x.x : IE)
-Old Adobe Flash Request (20.x.x.x : IE)
※説明文を変更しました。
==============================================
シグネチャID
-1002002 (検知)
シグネチャ名及び内容
-ICMP Traceroute
※検出精度の向上を行いました。
==============================================
シグネチャID
-9000009 – 9000011 (検知)
シグネチャ名及び内容
-Pop3 .scr
-Pop3 .pif
-Pop3 .bat
※検出精度の向上を行いました。
==============================================
シグネチャID
-9000031 – 9000062 (検知)
シグネチャ名及び内容
-Pop3 .ade
-Pop 3.adp
-Pop3 .bas
-Pop3 .chm
-Pop3 .cmd
-Pop3 .com
-Pop3 .cpl
-Pop3 .crt
-Pop3 .exe
-Pop3 .hpl
-Pop3 .hta
-Pop3 .inf
-Pop3 .ins
-Pop3 .lnk
-Pop3 .mdb
-Pop3 .mde
-Pop3 .msc
-Pop3 .msi
-Pop3 .msp
-Pop3 .mst
-Pop3 .pcd
-Pop3 .reg
-Pop3 .sct
-Pop3 .shb
-Pop3 .shs
-Pop3 .url
-Pop3 .vb
-Pop3 .vbe
-Pop3 .vbs
-Pop3 .wsc
-Pop3 .wsf
-Pop3 .wsh
※検出精度の向上を行いました。
==============================================
シグネチャID
-9003036 – 9003069 (検知)
シグネチャ名及び内容
-Pop3 .scr 2
-Pop3 .pif 2
-Pop3 .bat 2
-Pop3 .ade 2
-Pop3 .adp 2
-Pop3 .bas 2
-Pop3 .chm 2
-Pop3 .cmd 2
-Pop3 .cpl 2
-Pop3 .crt 2
-Pop3 .exe 2
-Pop3 .hlp 2
-Pop3 .hta 2
-Pop3 .inf 2
-Pop3 .ins 2
-Pop3 .lnk 2
-Pop3 .mdb 2
-Pop3 .mde 2
-Pop3 .msc 2
-Pop3 .msi 2
-Pop3 .msp 2
-Pop3 .mst 2
-Pop3 .pcd 2
-Pop3 .reg 2
-Pop3 .sct 2
-Pop3 .shb 2
-Pop3 .shs 2
-Pop3 .url 2
-Pop3 .vb 2
-Pop3 .vbe 2
-Pop3 .vbs 2
-Pop3 .wsc 2
-Pop3 .wsf 2
-Pop3 .wsh 2
※検出精度の向上を行いました。
==============================================
シグネチャID
-253 , 254 (防御)
シグネチャ名及び内容
-Spoofed dns
-Spoofed dns
※本来の目的での検知が難しいため、無効化しました。
==============================================
シグネチャID
-9003032 , 159 (防御)
シグネチャ名及び内容
-UPX 1.25
-Netmetro server
※誤検知が発生したため、無効化しました。
==============================================
シグネチャID
-141 , 161 , 162 , 195 , 1980 (防御)
シグネチャ名及び内容
-Hackattack 1.20
-Matrix 2.0 client
-Matrix 2.0 server
-Deepthroat 3.1
-Deepthroat 3.1
※現在使用されていないため、無効化しました。
2016/4/20 sig_v155.sig シグネチャID
-2000337 (防御)
シグネチャ名及び内容
-Wordpress Advanced Video Plugin
WordPressのExploitDataBaseの脆弱性を攻撃する通信を検出するシグネチャ
です。受信先IPアドレスのWebサーバ上のWordPressのアップデート等の
セキュリティ対策を行ってください。
==============================================
シグネチャID
-2000338 – 2000339 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (1x.x.x.x : IE)
-Old Adobe Flash Request (20.x.x.x : IE)
脆弱性が報告されている旧バージョンのAdobe Flashを検出するシグネチャ
です。送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ
対策を行ってください。
==============================================
シグネチャID
-465 , 466 ,467 , 469 , 476 , 478 , 481 , 482 , 484 (検知)
シグネチャ名及び内容
-Iss ping
-L3retriever ping
-Nemesis ping
-Nmap ping
-Webtrends ping
-Broadscan ping
-Tjping ping
-Whatsupgold ping
-Netxray ping
※other pingシグネチャで代替するため、無効化しました。
==============================================
シグネチャID
-472 – 473 (検知)
シグネチャ名及び内容
-Icmp redirect
-Icmp redirect
※検知効果が低いため、無効化しました。
==============================================
シグネチャID
-485 – 487 (防御)
シグネチャ名及び内容
-Icmp admin prohibited
-Icmp admin host prohibited
-Icmp admin network prohibited
※本来の目的での検知が難しいため、無効化しました。
2016/3/29 sig_v154.sig シグネチャID
-2000335 (防御)
シグネチャ名及び内容
-SQL Injection GET (AND 1=1)
攻撃ツールを使用したSQLインジェクション攻撃の通信を検出するシグネチャ
です。送信元IPアドレスの端末のデータベースの内容の漏えいや改ざんの危険性
があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
受信先IPアドレスのWebサーバを自社で管理している場合は、セキュリティ設定
の見直しやシステムのバージョンアップ等の対策を行ってください。
==============================================
シグネチャID
-2000336 (防御)
シグネチャ名及び内容
-XSS Reflective
攻撃ツールを使用したクロスサイトスクリプティング攻撃の通信を検出する
シグネチャです。送信元IPアドレスの端末の個人情報が不正に搾取される
危険性があります。送信元IPアドレスの端末のウイルスチェックを行って
ください。受信先IPアドレスのWebサーバを自社で管理している場合は、
セキュリティ設定の見直しやシステムのバージョンアップ等の対策を
行ってください。
==============================================
シグネチャID
-1748 (防御)
シグネチャ名及び内容
-Large ftp
一部のFTPサーバへ接続できない問題を改善しました。
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000332 – 2000334 (防御)
シグネチャ名及び内容
-Malicious address 10 TCP
-Malicious address 10 UDP
-Malicious address 10 ICMP
検出精度向上のため、シグネチャの変更と追加を行いました。
※検出精度の向上を行いました。
2016/2/25 sig_v153.sig シグネチャID
-2000326 – 2000331 (防御)
シグネチャ名及び内容
-Malicious domain 5 – 10
遠隔操作ウイルスに利用されるドメイン名の名前解決を検出するシグネチャ
です。送信元IPアドレスの端末が不正な用途に利用されるドメイン名の
名前解決通信を利用して、ウイルスのコマンドを受信しようとした
可能性があります。送信元IPアドレスの端末のウイルスチェックを行って
ください。
==============================================
シグネチャID
-2000336 (防御)
シグネチャ名及び内容
-XSS Reflective
攻撃の前準備であるポートスキャンを行ったことが報告されている、
特定のネットワーク帯域への送受信を遮断するシグネチャです。
==============================================
シグネチャID
-3000121 – 3000122 (検知)
シグネチャ名及び内容
-Global Port 3389 Detect (RDP)
-Global Port 3306 Detect (MySQL)
グローバルIPアドレス宛の3389番ポートへの接続を検出するシグネチャです。
3389番はリモートデスクトップ(RDP)の標準ポートです。
グローバルIPアドレス宛の3389番ポートへの接続を検出するシグネチャです。
3389番はリモートデスクトップ(RDP)の標準ポートです。
受信先IPアドレスに心当たりがなければ、ウイルス等による通信の可能性が
あります。メンテナンス等で利用している場合でも、アクセス制限やポート番号
の変更などを行ってください。
2016/1/19 sig_v152.sig シグネチャID
-3000109 – 3000120 (検知)
シグネチャ名及び内容
-Suspicious URL
-Suspicious Domain
送信元IPアドレスの端末が、ランサムウェアや不正なソフトの支払いに利用
されるURL・ドメインにアクセスしようとしました。
次のURL・ドメインへのアクセスを検出します。
*.ceorldess.com
*.gpay4it.com
*.pay4softrn.com
*.onion.to
*.tor2web.org
*.onion.cab
また、*.onion.to、*.tor2web.org、*.onion.cabは匿名通信ソフトTorによる
サイトの可能性があります。
==============================================
シグネチャID
-Global Port 3389 Detect (RDP)
-Global Port 3306 Detect (MySQL)
シグネチャ名及び内容
-Worm VIRUS Sober.AA 1 – 5
ウイルスSober.AAに感染するファイルを添付したメールを
送信しようとしたことを検出するシグネチャです。
検出精度の向上を行いました。
2015/11/26 sig_v151.sig シグネチャID
-2000319 – 2000325 (防御)
シグネチャ名及び内容
-Infected HTML 21 ~ 27
送信元IPアドレスの端末が、改ざんされたサイトへアクセスしたことを
検出しました。
2015/11/5 sig_v150.sig シグネチャID
-2000311 – 2000318 (防御)
シグネチャ名及び内容
-Shiz/Shifu Traffic 1 〜 8
実在企業を装ったなりすましメールの添付ファイルより感染する、
Shiz/Shifuウイルスによる通信を遮断するシグネチャです。
2015/10/28 sig_v149.sig シグネチャID
-3000105 (検知)
シグネチャ名及び内容
-Global SMB Session
グローバルIPアドレス宛のWindows共有フォルダ(SMB)への接続通信を
検出するシグネチャです。
シグネチャの検出精度の向上を行い、シグネチャ名称の変更を行いました。
2015/10/8 sig_v148.sig シグネチャID
-2000307 – 2000310 (検知)
シグネチャ名及び内容
-Lenovo Feedback 1 HTTP
-Lenovo Feedback 2 HTTP
-Lenovo Feedback 3 DNS
-Lenovo Feedback 4 DNS
10月7日にリリース致しましたシグネチャでは、一般的なウェブサイトへの
アクセスの際にも検出される可能性がありました。
シグネチャの検出精度の向上を行い、シグネチャ名称の変更を行いました。
2015/10/7 sig_v147.sig シグネチャID
-2000303 – 2000306 (防御)
シグネチャ名及び内容
-Malicious address 9 (XcodeGhost)
-Malicious domain 2 (XcodeGhost)
-Malicious domain 3 (XcodeGhost)
-Malicious domain 4 (XcodeGhost)
不正なIPアドレスへのアクセスを検出するシグネチャです。
アクセスしようとしたサイトは、iOSアプリに混入したウイルス(XcodeGhost)が
接続する先を遮断するシグネチャです。
==============================================
シグネチャID
-2000307 – 2000310 (検知)
シグネチャ名及び内容
-Suspicious Traffic 27 (Lenovo Feedback)
-Suspicious Traffic 28 (Lenovo Feedback)
-Malicious domain 5 (Lenovo Feedback)
-Malicious domain 6 (Lenovo Feedback)
Lenovo製のパソコンからアプリケーションの利用情報を外部に送信しようとする
通信を検出するシグネチャです。
==============================================
シグネチャID
-9000006 – 9000008 , 9000067 , 9000071 , 9000084 (防御)
-9003033 – 9003035 , 9003074 , 9003078 , 9003091 (防御)
シグネチャ名及び内容
-Smtp .scr .pif .bat .cmd .exe .reg
検出精度の向上を行いました。
2015/8/26 sig_v146.sig シグネチャID
-2000300 (防御)
シグネチャ名及び内容
-Suspicious Traffic 25 (MS15-093)
改ざんされているページへのアクセスを検出するシグネチャです。
==============================================
シグネチャID
-2000301 – 2000302 (防御)
シグネチャ名及び内容
-Malicious address 8
不正なIPアドレスへのアクセスを検出するシグネチャです。
2015/8/6 sig_v145.sig シグネチャID
-30510 – 30513 (検知)
シグネチャ名及び内容
-SSL/TLS heartbeat send message (heartbleed)
SSLの通信維持機能であるheartbeat通信にて、多くのデータが送受信された場合に検知されるシグネチャです。
==============================================
シグネチャID
-30514 – 30517 (検知)
-30520 – 30523 (検知)
シグネチャ名及び内容
-SSL/TLS heartbeat server (heartbleed)
-SSL/TLS heartbeat client (heartbleed)
SSLの通信維持機能であるheartbeat通信にて、多くのデータが送受信された場合に検知されるシグネチャです。
2015/7/22 sig_v144.sig シグネチャID
-2000294 – 2000297 (防御)
シグネチャ名及び内容
-Exploit Flash file 30 – 33
Flash Playerの脆弱性(CVE-2015-5122,2015-5123)を悪用するFlashファイルへのアクセスを検出します。
==============================================
シグネチャID
-2000298 – 2000299 (防御)
シグネチャ名及び内容
-Windows ATMFD.dll exploit 1 – 2
Windowsの脆弱性(MS15-077 CVE-2015-2387)を悪用するファイルへのアクセスを検出します。
==============================================
シグネチャID
-3000106 – 3000108 (検知)
シグネチャ名及び内容
-Windows ping
-Linux/Mac ping
-Other ping
Windows、Linux、MacそれぞれのOSから送信されるpingコマンドによる通信を検出するシグネチャです。
2015/7/15 sig_v143.sig シグネチャID
-2000292 – 2000293 (防御)
シグネチャ名及び内容
-Exploit Flash file 28
-Exploit Flash file 29
Flash Playerの脆弱性(CVE-2015-5119)を悪用するFlashファイルへのアクセスを検出します。
2015/6/24 sig_v142.sig シグネチャID
-2000271 – 2000291 (検知)
シグネチャ名及び内容
-Suspicious Traffic (Emdivi)
日本年金機構に送付されたウイルスEmdivi(エンディビ)や、その亜種がアクセスするURLへの通信を検出するシグネチャです。
2015/6/18 sig_v141.sig シグネチャID
-2000266 (防御)
シグネチャ名及び内容
-Trojan.Emdivi Traffic
日本年金機構に送付されたウイルスEmdivi(エンディビ)が情報を外部に送信しようとする通信を検出するシグネチャです。
==============================================
シグネチャID
-2000267 – 2000270 (検知)
シグネチャ名及び内容
-Suspicious Traffic (Emdivi)
ウイルスEmdivi(エンディビ)がアクセスするURLへのアクセスを検出するシグネチャです。
2015/5/27 sig_v140.sig シグネチャID
-2000258 – 2000265 (防御)
シグネチャ名及び内容
-MalPutty Domain
-MalPutty IP access
-MalPutty URL Access
-MalPutty User-Agent
SSH・Telnet接続クライアントであるPuttyのウイルス改変版がインストールされた際、ウイルスが行う通信を遮断するシグネチャです。
==============================================
シグネチャID
-3000104 (検知)
シグネチャ名及び内容
-Global IP FTP Connect
グローバルIPアドレスのFTPサーバへ接続しようとしたことを検出するシグネチャです。
==============================================
シグネチャID
-3000105 (検知)
シグネチャ名及び内容
-Global IP SMB Connect
グローバルIPアドレスのWindows共有フォルダ(SMB)へ接続しようとしたことを検出するシグネチャです。
2015/4/22 sig_v139.sig シグネチャID
-2000253 – 2000254 (防御)
シグネチャ名及び内容
-Microsoft IIS Range header overflow
MS15-034にて公開されているWindowsの脆弱性を攻撃する通信を検出するシグネチャです。
==============================================
シグネチャID
-2000255 (防御)
シグネチャ名及び内容
-Vulnerability Scan Tool
脆弱性スキャンツールによる通信を検出するシグネチャです。
==============================================
シグネチャID
-2000256 (防御)
シグネチャ名及び内容
-Fake Error Ads
パソコンが不調であることを煽る文言のWeb広告へのアクセスや、パソコンの動作を快適にすると謳ってインストールさせようとするフリーソフトのダウンロードを遮断するシグネチャです。
==============================================
シグネチャID
-2000257 (防御)
シグネチャ名及び内容
-Wordpress Ajax Exploit
CMSソフトであるWordPressのプラグインの脆弱性を悪用し、意図しないページを挿入しようとする通信を検出するシグネチャです。
==============================================
シグネチャID
-4100140 – 4100141 (防御)
シグネチャ名及び内容
-saveitkeep Request
広告ソフトSaveITKeepのアクセスを検出するシグネチャです。
==============================================
シグネチャID
-3000103 (検知)
シグネチャ名及び内容
-Windows Server 2003 Detect
Windows Server 2003やServer 2003 R2による通信を検出するシグネチャです。
2015/3/25 sig_v138.sig シグネチャID
-2000252 (防御)
シグネチャ名及び内容
-Infected HTML 20
改ざんされたサイトにアクセスした兆候を検出するシグネチャです。
==============================================
シグネチャID
-3000100 – 3000101 (検知)
シグネチャ名及び内容
-Port 22 Detect (SSH)
-Port 23 Detect (Telnet)
TCPポート22番(SSHの標準ポート)、23番(Telnetの標準ポート)宛の通信を
検出するシグネチャです。
2015/2/25 sig_v137.sig ==============================================
シグネチャID
-2000219 – 2000245 (防御)
シグネチャ名及び内容
-Exploit Flash file 1 – 27
Flash Playerの脆弱性(CVE-2015-0311,CVE-2015-0339)を悪用する
Flashファイルのダウンロードを検出するシグネチャです。
==============================================
シグネチャID
-3000096 – 3000097 (検知)
シグネチャ名及び内容
-Superfish ads 1 – 2
Lenovo