ダウンロード - シグネチャ更新ファイル –

MC-50/100、MC-55S/60S/200S更新ファイル

ダウンロード シグネチャVersion177
ファイル名 sig_v177.sig
容量 10.1KB
リリース日 2017年6月22日
Version 177

MC-70S更新ファイル

ダウンロード シグネチャVersion177
ファイル名 signature.img
容量 351KB
リリース日 2017年6月22日
Version 177

更新内容

シグネチャID 2000600 (防御)
シグネチャ名 Fareit HTTP Connect
内容 マルウェアである「Fareit」が外部への接続を試みるときの通信を検出するシグネチャです。
Webブラウザ内に保存されたユーザ名およびパスワード、Eメールの認証情報を搾取される可能性があります。
送信元IPアドレスのウイルスチェックを行って下さい。
シグネチャID 2000601 (防御)
シグネチャ名 Old Adobe Flash Request (25.x.x.x : IE)
内容 脆弱性が報告されている旧バージョン25のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
シグネチャID 2000602 – 2000603 (防御)
シグネチャ名 DeltaCharlie TCP Connect 1
DeltaCharlie TCP Connect 2
内容 DDoSツールである「DeltaCharlie」の通信を検出するシグネチャです。
DeltaCharlieは、サポートされていないOS、旧バージョンのAdobe Flashを使用しているターゲットに攻撃することが報告されています。
OSのアップデート、Adobe Flashのアップデート等のセキュリティ対策を行ってください。
シグネチャID 2000604 (防御)
シグネチャ名 Industroyer UDP Connect
内容 産業用の制御システムを攻撃するマルウェア「Industroyer」の通信を検出するシグネチャです。
制御システムに対する運用妨害や情報漏えいなどのおそれがあります。
送信元IPアドレスに心当たりがない場合、アクセス制限等を行ってください。
シグネチャID 1679, 1690, 1693, 2000428 (検知)
2000433 (防御)
シグネチャ名 Oracle describe (検知)
Oracle grant (検知)
Oracle grant (検知)
api.ipify.org DNS Access (検知)
ICMP port unreachable (防御)
内容 ※本来の目的での検出が難しいため、無効化しました。

NetStable MC-50/100 シグネチャ手動更新の方法

MC-50/100 シグネチャ手動更新の方法
(1) シグネチャ管理の「シグネチャのアップデート」をクリックして下さい。
(2) シグネチャファイルの追加欄より、参照ボタンをクリックして、ダウンロードしたシグネチャプログラムを選択して下さい。
(3) アップロードボタンをクリックして適用を行って下さい。

NetStable MC-55S/60S/200S シグネチャ手動更新の方法

MC-55S/60S/200S シグネチャ手動更新の方法
以下のシグネチャ適用マニュアルをダウンロードして実施してください。
http://mcsecurity.co.jp/download/manual/signatureupdate.pdf

 

NetStable MC-70S シグネチャ手動更新の方法

MC-70S シグネチャ手動更新の方法
(1) システム情報右上に表示されているアップデートアイコンをクリックして下さい。
(2) シグネチャファイルの追加欄より、参照ボタンをクリックして、ダウンロードしたシグネチャプログラムを選択して下さい。
(3) 手動アップデートボタンをクリックして適用を行って下さい。

 

更新履歴

日付 Version 機能追加・修正の概要
2017/6/14 sig_v176.sig シグネチャID
-2000593 (防御)
シグネチャ名及び内容
-Global Port 9101 TCP Connect
グローバルIPアドレスのTCP 9101番ポート宛への通信を検出するシグネチャです。
TCP 9101番ポートはWannaCryマルウェアで利用されたポートです。
送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
-2000594 (防御)
シグネチャ名及び内容
-Global Port 444 TCP Connect
グローバルIPアドレスのTCP 444番ポート宛への通信を検出するシグネチャです。
TCP 444番ポートはWannaCryマルウェアで利用されたポートです。
送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
シグネチャID
-2000595 (防御)
シグネチャ名及び内容
-Adylkuzz HTTP Connect
マルウェアである「Adylkuzz」が外部への接続を試みる通信を検出するシグネチャです。
Adylkuzzは、WindowsのSMB v1の脆弱性(MS17-010)を悪用して拡散をしていることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行い、Windows Updateを行ってください。
==============================================
シグネチャID
-2000596 – 2000597 (防御)
シグネチャ名及び内容
-Global MFT Request 1
-Global MFT Request 2
外部のIPアドレスのWebサーバからMFTへアクセスする内容を含む場合に検出するシグネチャです。
Windows端末で、OSがクラッシュするおそれがあります。
Windows Updateを行い、最新の状態で運用されることを推奨いたします。
※ 上記シグネチャは、第1〜3世代のみ適用されています。
==============================================
シグネチャID
-2000598 – 2000599 (防御)
シグネチャ名及び内容
-Global MFT Request 3
-Global MFT Request 4
外部のIPアドレスのWebサーバからMFTへアクセスする内容を含む場合に検出するシグネチャです。
Windows端末で、OSがクラッシュするおそれがあります。
Windows Updateを行い、最新の状態で運用されることを推奨いたします。
※ 上記シグネチャは、第4世代のみ適用されています。
2017/5/25 sig_v175.sig シグネチャID
-2000587 (防御)
シグネチャ名及び内容
-Eternalblue echo request
感染拡大を目的とした、Windowsの脆弱性を悪用する通信を遮断するシグネチャです。
このシグネチャが検出された場合、送信元IPアドレスの端末がWannaCryに感染している可能性があります。
また、受信先IPアドレスが自社のIPアドレスである場合、脆弱性を狙った攻撃を受けている可能性があります。
最新のセキュリティソフトにてスキャンを行い、マルウェアを駆除してください。
その後Windows Updateを行い、Windowsの更新を行ってください。
==============================================
-2000588 – 2000589 (防御)
シグネチャ名及び内容
-Malicious Address IP Connect 1
-Malicious Address IP Connect 2
リモートアクセスツールRedLeavesの通信先として報告されているIPアドレスへの接続を検出するシグネチャです。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000590 – 2000591 (検知)
シグネチャ名及び内容
-Global Telnet Password Request 1
-Global Telnet Password Request 2
外部のIPアドレスからTelnetサーバに向けて簡単なユーザ名・パスワードでログインしようとするときの通信を検出するシグネチャです。
Telnetは通信が暗号化されず、サーバ乗っ取りにも利用されています。
適切なアクセス制限を行ってください。
==============================================
シグネチャID
-2000592 (検知)
シグネチャ名及び内容
-Global Port 81 Connect
グローバルIPアドレスからTCP81番ポートへ接続するときの通信を検出するシグネチャです。
81番ポートはIoT機器やWebサーバソフトの管理用ポート等に利用され、セキュリティ制御が出来ない場合があります。
受信先IPアドレスの機器でアクセス制限を行ってください。
==============================================
シグネチャID
-1003135, 2000336 (防御)
シグネチャ名及び内容
-XSS attack 1
-XSS Reflective
※検出精度の向上を行いました。
2017/5/19 sig_v174.sig シグネチャID
-2000541 – 2000582 (防御)
シグネチャ名及び内容
-WannaCry C&C Connect 1 ~ 42
ランサムウェアWannaCryに感染した際に接続するC&CサーバのIPアドレスへの接続を検出するシグネチャです。
送信元IPアドレスの端末のウイルスチェックを行い、Windows Updateを行って下さい。
==============================================
シグネチャID
-2000583 (防御)
シグネチャ名及び内容
-Global Port 9001 (Tor) TCP Connect
グローバルIPのTCP 9001番宛への通信を検出するシグネチャです。
TCP 9001番はTorでも利用されるポートで、ランサムウェア等の不正なソフトウェアでも利用されます。
送信元IPアドレスのウイルスチェックを行って下さい。
==============================================
シグネチャID
-2000584 – 2000585 (防御)
シグネチャ名及び内容
-Doublepulsar ping
-Doublepulsar Process Injection
感染拡大を目的とした、Windowsの脆弱性を悪用する通信を遮断するシグネチャです。
このシグネチャが検出された場合、送信元IPアドレスの端末がWannaCryに感染している可能性があります。
また、受信先IPアドレスが自社のIPアドレスである場合、脆弱性を狙った攻撃を受けている可能性があります。
最新のセキュリティソフトにてスキャンを行い、マルウェアを駆除してください。
その後Windows Updateを行い、Windowsの更新を行ってください。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000586 (検知)
シグネチャ名及び内容
-SMB IPC Access
Windowsの共有をパスワード無しの匿名でアクセスしようとした通信を検知するシグネチャです。
社内間のファイル共有ではパスワード無しでの共有がされている事がありますが、受信先IPアドレスが共有サーバ以外である場合や、外部のIPアドレスである場合、WannaCry等のマルウェアに感染している可能性があります。
※ 上記シグネチャは、MC-70S,MC-70SIU,MC-56Sのみ適用されています。
==============================================
シグネチャID
-2000481 – 2000500 (防御)
シグネチャ名及び内容
-URSNIF DNS Request 1 ~ 10
-URSNIF HTTP Request 1 ~ 10
※シグネチャ名の変更を行いました。
2017/4/19 sig_v173.sig シグネチャID
-2000537 (検知)
シグネチャ名及び内容
-0sec Redirect HTTP Response
別のサイトへ即時に転送されるよう設定されたHTMLをダウンロードするときの通信を検出するシグネチャです。
転送は移転中サイトでも利用されますが、詐欺サイト等への転送でも利用されることがあります。
送信元IPアドレスの端末がアクセスしたサイトを確認してください。
==============================================
シグネチャID
-2000538 (検知)
シグネチャ名及び内容
-Global IIS 5.0 HTTP Response
MicrosoftのWebサーバソフトInternet Information Services(IIS)の旧バージョンの通信を検知するシグネチャです。
送信元IPアドレスのWebサーバではWindows 2000が稼働しています。
自社で管理するWebサーバの場合、OSおよびソフトの更新を検討してください。
==============================================
シグネチャID
-2000539 (検知)
シグネチャ名及び内容
-Global IIS 5.1 HTTP Response
MicrosoftのWebサーバソフトInternet Information Services(IIS)の旧バージョンの通信を検知するシグネチャです。
送信元IPアドレスのWebサーバではWindows XPが稼働しています。
自社で管理するWebサーバの場合、OSおよびソフトの更新を検討してください。
==============================================
シグネチャID
-2000540 (検知)
シグネチャ名及び内容
-Global IIS 6.0 HTTP Response
MicrosoftのWebサーバソフトInternet Information Services(IIS)の旧バージョンの通信を検知するシグネチャです。
送信元IPアドレスのWebサーバではWindows Server 2003が稼働しています。
自社で管理するWebサーバの場合、OSおよびソフトの更新を検討してください。
==============================================
シグネチャID
-1113, 1679, 1690, 1693 (検知)
シグネチャ名及び内容
-Http directory
-Oracle describe
-Oracle grant
-Oracle create
※検出精度の向上とシグネチャ説明文の変更を行いました。
==============================================
シグネチャID
-2000363 (検知)
シグネチャ名及び内容
-Windows 8 Detect
※検出精度の向上を行いました。
2017/4/5 sig_v172.sig シグネチャID
-2000526 – 2000531 (防御)
シグネチャ名及び内容
-Dreambot DNS Request 1
-Dreambot HTTP Request 1
-Dreambot DNS Request 2
-Dreambot HTTP Request 2
-Dreambot DNS Request 3
-Dreambot HTTP Request 3
インターネットバンキングマルウェアであるDreambotを実行する際に使用されるドメイン、URLへアクセスするときの通信を検出するシグネチャです。
Dreambotが実行されると、情報搾取機能により、送信元端末のアカウント認証情報や個人情報が搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000532 – 2000533 (防御)
シグネチャ名及び内容
-Fake LicensePage DNS Access 3
-Fake LicensePage HTTP Access 3
Microsoft Officeのライセンス認証を騙る偽サイトにアクセスする通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000534 (検知)
シグネチャ名及び内容
-Global Port 32 Connect
グローバルIPアドレスからTCPポート32番へ接続するときの通信を検出するシグネチャです。
32/TCPは、Miraiボットの亜種等からのアクセスに使用される可能性があります。
受信先IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000535 (検知)
シグネチャ名及び内容
-Global Port 3232 Connect
グローバルIPアドレスからTCPポート3232番へ接続するときの通信を検出するシグネチャです。
3232/TCPは、Miraiボットの亜種等からのアクセスに使用される可能性があります。
受信先IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000536 (検知)
シグネチャ名及び内容
-Global Port 19058 Connect
グローバルIPアドレスからTCPポート19058番へ接続するときの通信を検出するシグネチャです。
19058/TCPは、Miraiボットの亜種等からのアクセスに使用される可能性があります。
受信先IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-1171, 1384, 1917 (検知)
シグネチャ名及び内容
-Whisker HEAD
外部IPアドレスからHEADリクエストにデータを付加した通信を受信しました。一般にはデータのやりとりはHEAD以外を利用します。
IPアドレスに心当たりがない場合、アクセス制限などを行ってください。
-Malformed upnp
外部IPアドレスからUPnP NOTIFYパケットを受信しました。UPnPは一般には社内で利用されるプロトコルです。
IPアドレスに心当たりがない場合は、アクセス制限などを行ってください。
-UPnP probe
外部IPアドレスから端末が接続された際のUPnPパケットを受信しました。UPnPは一般には社内で利用されるプロトコルです。
IPアドレスに心当たりがない場合は、アクセス制限などを行ってください。
※検出精度の向上とシグネチャ説明文の変更を行いました。
2017/3/22 sig_v171.sig シグネチャID
-2000520 (防御)
シグネチャ名及び内容
-Apache Struts2 HTTP Request
脆弱性(CVE-2017-5638)が報告されているApache Struts2上でコマンドを実行しようとする通信を検出するシグネチャです。
この脆弱性を利用して不正なコマンドを実行される可能性があります。
Apache Struts2のバージョンアップを行っていただき、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000521 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (24.x.x.x : IE)
脆弱性が報告されている旧バージョン24のAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000522 (検知)
シグネチャ名及び内容
-onion HTTP Request
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイトである可能性がある「onion」を含むURLにアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000523 (検知)
シグネチャ名及び内容
-tor2web HTTP Request
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイトである可能性がある「tor2web」を含むURLにアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000524 (検知)
シグネチャ名及び内容
-Global Port 7547 Connect
グローバルIPアドレスから通信機器の遠隔管理機能に使用されるポート(7547/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスに7547/TCPへのポートスキャンが行われている可能性があります。
送信元IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000525 (検知)
シグネチャ名及び内容
-Global Port 5358 Connect
グローバルIPアドレスからMicrosoft Web Services on Devices API(WSDAPI)で使用されるポート(5358/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスに5358/TCPへのポートスキャンが行われている可能性があります。
送信元IPアドレスの端末の確認をしていただき、アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000419 – 2000420 (検知)
シグネチャ名及び内容
-onion DNS Request
-tor2web DNS Request
※シグネチャ名の変更を行いました。
==============================================
シグネチャID
-3000112 – 3000114, 3000118 – 3000120, 2000409 – 2000418 (検知)
シグネチャ名及び内容
-Suspicious URL *.onion.to
-Suspicious URL *.tor2web.org
-Suspicious URL *.onion.cab
-Suspicious Domain *.onion.to
-Suspicious Domain *.tor2web.org
-Suspicious Domain *.onion.cab
-Suspicious URL *.onion.lt
-Suspicious Domain *.onion.lt
-Suspicious URL *.tor2web.blutmagie.de
-Suspicious Domain *.tor2web.blutmagie.de
-Suspicious URL *.onion.link
-Suspicious Domain *.onion.link
-Suspicious URL *.onion.gq
-Suspicious Domain *.onion.gq
-Suspicious URL *.tor2web.fi
-Suspicious Domain *.tor2web.fi
※代替シグネチャを作成したため、無効化しました。
2017/3/8 sig_v170.sig シグネチャID
-2000361 – 2000362 (検知)
-2000506 – 2000507 (検知)
シグネチャ名及び内容
-Dropbox SSL Request 1 (旧名:Dropbox SSL 1)
-Dropbox SSL Request 2 (旧名:Dropbox SSL 2)
-Dropbox SSL Request Proxy 1
-Dropbox SSL Request Proxy 2
クラウドを利用したファイル共有サービスDropboxの通信を検出するシグネチャです。
※シグネチャ名の変更、検出精度の向上、シグネチャの追加を行いました。
送信元IPアドレスの端末がDropboxのソフトを起動したか、Dropboxサイトに接続した通信を検出しました。
Dropboxの通信を遮断したい場合、Dropboxシグネチャを防御に変更してください。
==============================================
シグネチャID
-2000359 – 2000360 (検知)
シグネチャ名及び内容
-Dropbox DNS 1
-Dropbox DNS 2
※Dropbox SSL Requestシグネチャで代替するため、無効化しました。
==============================================
シグネチャID
-2000508 (検知)
シグネチャ名及び内容
-Global LPD Connect
グローバルIPアドレスからLPDプリントポート(515/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスのプリンタに外部から印刷指示が行われる可能性があります。
アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000509 (検知)
シグネチャ名及び内容
-Global IPP Connect
グローバルIPアドレスからIPPプリントポート(631/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスのプリンタに外部から印刷指示が行われる可能性があります。
アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000510 (検知)
シグネチャ名及び内容
-Global LPR Connect
グローバルIPアドレスからLPDプリントポート(9100/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスのプリンタに外部から印刷指示が行われる可能性があります。
アクセス制限設定等を見直してください。
==============================================
シグネチャID
-2000511 (検知)
シグネチャ名及び内容
-Global MongoDB Connect
グローバルIPアドレスからMongoDBで利用されるポート(27017/TCP)へ接続するときの通信を検出するシグネチャです。
受信先IPアドレスのMongoDBデータベースの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000512 (検知)
シグネチャ名及び内容
-Global CouchDB Request 1
グローバルIPアドレスからCouchDBのデータベース一覧を取得するコマンドall_dbsを受信したことを検出するシグネチャです。
受信先IPアドレスのCouchDBデータベースの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000513 (検知)
シグネチャ名及び内容
-Global CouchDB Request 2
グローバルIPアドレスからCouchDBへ認証して接続するコマンド_sessionを受信したことを検出するシグネチャです。
受信先IPアドレスのCouchDBデータベースの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000514 (検知)
シグネチャ名及び内容
-Global CouchDB Request 3
グローバルIPアドレスからCouchDBのデータベース内容を取得するコマンド/pleaseread/_all_docsを受信したことを検出するシグネチャです。
受信先IPアドレスのCouchDBデータベースの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000515 (検知)
シグネチャ名及び内容
-Global Elasticsearch Request 1
グローバルIPアドレスからElasticsearchのデータベース一覧を取得するコマンド_nodesを受信したことを検出するシグネチャです。
受信先IPアドレスのElasticsearchの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000516 (検知)
シグネチャ名及び内容
-Global Elasticsearch Request 2
グローバルIPアドレスからElasticsearchのデータベース一覧を取得するコマンド_nodesを受信したことを検出するシグネチャです。
受信先IPアドレスのElasticsearchの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000517 (検知)
シグネチャ名及び内容
-Global Elasticsearch Request 3
グローバルIPアドレスからElasticsearchのデータベース一覧を取得するコマンド_nodesを受信したことを検出するシグネチャです。
受信先IPアドレスのElasticsearchの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000518 (検知)
シグネチャ名及び内容
-Global Elasticsearch Request 4
グローバルIPアドレスからElasticsearchのデータを取得するコマンド/cat/_indicesを受信したことを検出するシグネチャです。
受信先IPアドレスのElasticsearchの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000519 (検知)
シグネチャ名及び内容
-Global Hadoop HDFS Request
グローバルIPアドレスからHadoopのファイルシステムHDFSのディレクトリ一覧を取得するコマンドLISTSTATUSを受信したことを検出するシグネチャです。
受信先IPアドレスのHadoopの情報が取得される可能性があります。
検出されたIPアドレスに心当たりがない場合は、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-524 (検知)
-525 , 2000377 (防御)
シグネチャ名及び内容
-TCP Port 0 Connect (旧名:Traffic on tcp port 0)
-UDP Port 0 Connect 1 (旧名:Traffic on udp port 0)
-UDP Port 0 Connect 2 (旧名:Traffic on udp port 0 from well-known port)
※シグネチャ名、シグネチャ説明文を変更しました。
==============================================
シグネチャID
-2000473 – 2000380 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 1
-BaiduIME HTTP Request 4
-BaiduIME HTTP Request 5
-BaiduIME HTTP Request 6
-BaiduIME HTTP Request 7
-BaiduIME HTTP Request 8
-BaiduIME SSL Request 1
-BaiduIME SSL Request 2
※シグネチャ説明文を変更しました。
2017/2/22 sig_v169.sig シグネチャID
-2000473 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 1
日本語入力ソフトであるBaidu IMEが、入力した文字をBaidu社サーバへ送信しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされており、クラウド変換機能が有効である可能性があります。
この場合、入力した文字をすべてBaidu社のサーバに送信し、変換が行われます。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000474 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 4
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000475 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 5
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信し、ダウンロードを開始しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000476 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 6
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信し、ダウンロードを開始しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000477 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 7
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000478 (防御)
シグネチャ名及び内容
-BaiduIME HTTP Request 8
日本語入力ソフトであるBaidu IMEが、Baidu社サーバと通信しようとするときの通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされている可能性があります。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000479 – 2000480 (防御)
シグネチャ名及び内容
-BaiduIME SSL Request 1
-BaiduIME SSL Request 2
日本語入力ソフトであるBaidu IMEが、入力した文字をBaidu社サーバへ送信しようとするときのSSL通信を検出するシグネチャです。
送信元IPアドレスの端末で、Baidu IMEがインストールされており、クラウド変換機能が有効である可能性があります。
この場合、入力した文字をすべてBaidu社のサーバに送信し、変換が行われます。
送信元IPアドレスの端末からBaidu IMEをアンインストールすることを推奨いたします。
==============================================
シグネチャID
-2000445 (防御)
シグネチャ名及び内容
-Pastebin JavaScript Code
テキスト貼り付けサイトPastebinから、JavaScriptを含む内容をダウンロードしようとするときの通信を検出するシグネチャです。
Pastebin経由で不正なコードを実行させようとする攻撃があります。受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000481 – 2000500 (防御)
シグネチャ名及び内容
-URSNIF DNS Request 1
-URSNIF HTTP Request 1
-URSNIF DNS Request 2
-URSNIF HTTP Request 2
-URSNIF DNS Request 3
-URSNIF HTTP Request 3
-URSNIF DNS Request 4
-URSNIF HTTP Request 4
-URSNIF DNS Request 5
-URSNIF HTTP Request 5
-URSNIF DNS Request 6
-URSNIF HTTP Request 6
-URSNIF DNS Request 7
-URSNIF HTTP Request 7
-URSNIF DNS Request 8
-URSNIF HTTP Request 8
-URSNIF DNS Request 9
-URSNIF HTTP Request 9
-URSNIF DNS Request 10
-URSNIF HTTP Request 10
URSNIFのマルウェアを実行する際に使用されるドメイン,URLへアクセスするときの通信を検出するシグネチャです。
URLNIFが実行されると、情報搾取機能により、送信元端末のアカウント認証情報や個人情報が搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000501 – 2000502 (検知)
シグネチャ名及び内容
-SundownEK HTTP Request 1
-SundownEK HTTP Request 2
Sundown Exploit Kitで使用されるURLへアクセスするときの通信を検出するシグネチャです。
このアクセス先は、ランサムウェアの感染に使用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000503 – 2000505 (検知)
シグネチャ名及び内容
-RIG-EK HTTP Response 1
-RIG-EK HTTP Response 2
-RIG-EK HTTP Response 3
RIG Exploit Kitで使用されるマルウェアのダウンロード先へアクセスするときの通信を検出するシグネチャです。
マルウェアがダウンロードされるとRIG Exploit Kitによる一連の攻撃が可能になります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-106 , 311 , 619 , 1545 , 1002000 , 1003074 , 1003125 (防御)
-1003204 – 1003211 , 1003216 – 1003218 (防御)
-1003223 – 1003224 , 1003228 – 1003240 , 1003246 – 1003248 (防御)
-1003251 , 1003267 – 1003270 , 1003274 – 1003275 (防御)
-1003277 – 1003278 , 1003285 , 2000001 , 2000003 , 2000005 (防御)
-2000013 – 2000014 , 2000034 , 2000039 , 2000045 (防御)
-2000059 – 2000060 , 2000062 – 2000066 , 2000087 (防御)
-2000101 – 2000102 , 2000105 – 2000106 , 9000024 (防御)
-1000018 , 1000020 , 1000024 , 1000037 , 1003283 – 1003284 (検知)
-1003303 , 3000070 – 3000071 , 3000082 (検知)
-3000084 – 3000089 , 3000091 – 3000095 , 9003016 (検知)
シグネチャ名及び内容
-ACKcmdC client (防御)
-Netscape overflow (防御)
-CyberCop probe (防御)
-Cisco DoS (防御)
-ACKcmdC response (防御)
-BlackWorm/Nyxem virus activity (防御)
-Trojan Prg data upload (防御)
-SQL injection GET (or 1=1) (防御)
-SQL injection POST (or 1=1) (防御)
-SQL injection GET (or 0=0) (防御)
-SQL injection POST (or 0=0) (防御)
-SQL injection GET (or a=a) (防御)
-SQL injection POST (or a=a) (防御)
-SQL injection GET (or x=x) (防御)
-SQL injection POST (or x=x) (防御)
-SQL injection (select) (防御)
-SQL injection (select) 1 (防御)
-SQL injection (declare) (防御)
-Password Stealer (PSW.Win32.Magania Family) GET (防御)
-Trojan Tigger.a Control (防御)
-Web Backdoor cfexec.cfm (防御)
-Backdoor cmdasp.asp (防御)
-Web Backdoor cmdasp.aspx (防御)
-Web Backdoor simple-backdoor.php (防御)
-Web Backdoor php-backdoor.php (防御)
-Web Backdoor jsp-reverse.jsp (防御)
-Web Backdoor perlcmd.cgi (防御)
-Web Backdoor cmdjsp.jsp (防御)
-Web Backdoor cmd-asp-5.1.asp (防御)
-NoBo downloader dropper GET (防御)
-Gumblar/Bredolab downloader communication 1 (防御)
-Gumblar/Bredolab downloader communication 2 (防御)
-Gumblar/Bredolab check in (防御)
-Trojan Spam-Mailbot.P 1 (防御)
-Trojan Spam-Mailbot.P 2 (防御)
-Trojan KillAV/Dropper/Mdrop/Hupigon (防御)
-Trojan Keylogger (防御)
-Slowloris DoS tool traffic (防御)
-ZBot EXE Download (pdf.exe) (防御)
-ZBot EXE Download (word.exe) (防御)
-ZBot EXE Download (updatetool.exe) (防御)
-Trojan Dropper Checkin (防御)
-Trojan Dropper Checkin 2 (防御)
-FakeAV traffic 2 (防御)
-FakeAV encrypted gif download (防御)
-Trojan-Dropper.Win32.Flystud (防御)
-W32.Virut.CE (防御)
-Safari SVG Exploit (防御)
-Mozilla Firefox mChannel (防御)
-Firefox null pointer exploit (防御)
-Firefox null pointer exploit (防御)
-MacOS.Flashback.A (防御)
-JavaScript Heap Exploitation (防御)
-Phising Paypal account 1 (防御)
-Trojan bot Download 1 (防御)
-Trojan bot Download 2 (防御)
-Malcious Redirect 1 (防御)
-Malcious Redirect Response 1 (防御)
-Malcious HTML File 2 (防御)
-Worm_RJUMP.AF Connect (防御)
-Worm_RJUMP.AF Connect (防御)
-Kelihos Send Message (防御)
-Apache Struts ClassLoader Exploit (防御)
-Apache Struts ClassLoader Exploit (防御)
-Phising Flash Player Update 1 (防御)
-Phising Flash Player Update 2 (防御)
-Idahack attack (防御)
-Totodisk activity (検知)
-Soribada6 login (検知)
-Filebada activity (検知)
-MSN gateway (Windows Live Messenger) (検知)
-Teamviewer 1 (検知)
-Teamviewer 2 (検知)
-Korean webdisk (検知)
-Browser IE6 Detect (検知)
-Windows XP Detect (検知)
-RegClean Pro Buy (検知)
-hao123 Search (検知)
-babylon Search (検知)
-Kingsoft Security Connection (検知)
-Kingsoft Security Update 1 (検知)
-Ask Toolbar download (検知)
-Ask.com Search (検知)
-Advanced System Protector Update 1 (検知)
-Advanced System Protector Update 2 (検知)
-Ask Toolbar Update 1 (検知)
-Ask Toolbar Update 2 (検知)
-Kingsoft Security Update 2 (検知)
-Touch login (検知)
※検出頻度の向上を行いました。
2017/2/8 sig_v168.sig シグネチャID
-2000438 – 2000441 (防御)
シグネチャ名及び内容
-Fake LicensePage DNS Access
-Fake LicensePage HTTP Access
-Fake LicensePage DNS Access 2
-Fake LicensePage HTTP Access 2
Officeのライセンス認証を騙る偽サイトにアクセスする通信を検出するシグネチャです。送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000442 – 2000444 (防御)
シグネチャ名及び内容
-Fake SupportPage DNS Access
-Fake SupportPage HTTP Access
-Fake SupportPage Access
Windowsにエラーがあることを騙った偽サイトにアクセスする通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000445 (防御)
シグネチャ名及び内容
-Pastebin JavaScript Code
テキスト貼り付けサイトPastebinから、JavaScriptを含む内容をダウンロードしようとするときの通信を検出するシグネチャです。
Pastebin経由で不正なコードを実行させようとする攻撃があります。受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000446 – 2000469 (防御)
シグネチャ名及び内容
-APT Domain Access 1
-APT URL Access 1
-APT Domain Access 2
-APT URL Access 2
-APT Domain Access 3
-APT URL Access 3
-APT Domain Access 4
-APT URL Access 4
-APT Domain Access 5
-APT URL Access 5
-APT Domain Access 6
-APT URL Access 6
-APT Domain Access 7
-APT URL Access 7
-APT Domain Access 8
-APT URL Access 8
-APT Domain Access 9
-APT URL Access 9
-APT Domain Access 10
-APT URL Access 10
-APT Domain Access 11
-APT URL Access 11
-APT Domain Access 12
-APT URL Access 12
標的型攻撃に使われたドメイン,URLへアクセスするときの通信を検出するシグネチャです。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000470 (検知)
シグネチャ名及び内容
-Port 37777 Detect (Dahua DVR)
TCPポート37777宛の通信を検出するシグネチャです。37777番ポートは一部の録画機器で利用されるポートです。
機器の脆弱性を悪用し、不正なソフトを動作させるなどの攻撃が報告されています。
接続IPアドレスに心当たりが無い場合、アクセス制限設定を見直してください。
==============================================
シグネチャID
-2000471 (検知)
シグネチャ名及び内容
-Port 23123 Detect (Telnet)
TCPポート23123宛の通信を検出するシグネチャです。23123番ポートは一部の機器でTelnetで利用されるポートです。
機器の脆弱性を悪用し、不正なソフトを動作させるなどの攻撃が報告されています。
接続IPアドレスに心当たりが無い場合、アクセス制限設定を見直してください。
==============================================
シグネチャID
-2000472 (検知)
シグネチャ名及び内容
-Port 2222 Detect (SSH)
TCPポート2222宛の通信を検出するシグネチャです。2222番ポートはリモートメンテナンス等に利用されるポートです。
機器の脆弱性を悪用し、不正なソフトを動作させるなどの攻撃が報告されています。
接続IPアドレスに心当たりが無い場合、アクセス制限設定を見直してください。
==============================================
シグネチャID
-2000433 (防御)
シグネチャ名及び内容
-ICMP port unreachable
※検出頻度の向上を行いました。
2017/1/25 sig_v167.sig シグネチャID
-2000433 (防御)
シグネチャ名及び内容
-ICMP port unreachable
相手先のポートに接続できなかった通知「ICMP port unreachable」の通知を検出するシグネチャです。
送信元IPアドレスに接続できなかったため、接続できなかった旨の通知が届きました。
一般には問題ない通信ですが、この通信を大量に受信すると、一部のネットワーク機器がDoS状態に陥る「BlackNurse」攻撃が報告されています。
ネットワーク機器のファームウェアの更新などの対策を行ってください。
==============================================
シグネチャID
-2000434 (検知)
シグネチャ名及び内容
-NTP monlist request
NTPサーバの動作履歴を取得するコマンドmonlistの通信を検出するシグネチャです。
送信元IPアドレスから、受信先IPアドレスのNTPサーバへmonlistコマンドが送信されました。
NTPサーバがこのパケットを大量に受信すると、通信量が増大するためDoS攻撃に利用される場合があります。
NTPサーバのバージョンアップやアクセス制限を行ってください。
==============================================
シグネチャID
-2000435 (検知)
シグネチャ名及び内容
-NTP mrulist request
NTP通信の接続元を認証するコマンドmrulistの通信を検出するシグネチャです。
送信元IPアドレスから、受信先IPアドレスのNTPサーバへmrulistコマンドが送信されました。
NTPサーバがこのパケットを大量に受信すると、通信量が増大するためDoS攻撃に利用される場合があります。
NTPサーバのバージョンアップやアクセス制限を行ってください。
==============================================
シグネチャID
-2000436 (検知)
シグネチャ名及び内容
-HTTP index_old.php access
Webサーバから、index_old.phpにアクセスするHTMLファイルをダウンロードするときの通信を検出するシグネチャです。
サイトの改ざん手法でindex_old.phpというファイル名を用い、検知しづらくする手法があります。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000437 (検知)
シグネチャ名及び内容
-anonymous FTP access
受信先IPアドレスのFTPサーバへanonymousログインを試行した通信を検出するシグネチャです。
anonymousはパスワードなしでFTPサーバへログインできるユーザ名です。
一部のダウンロードサービスで利用される場合がありますが、不正ファイルの配布に利用される場合が報告されています。
アクセスした心当たりがなければ送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-306 , 2000067 , 2000069 ,2000070 , 2000096 – 2000097 , 200099 – 200100 , 3000083 , 3000090 (防御)
-1881 , 1000026 , 1003293 , 3000072 , , 3000096 (検知)
シグネチャ名及び内容
-Vqserver admin (防御)
-Malcious HTML 3 (防御)
-Trojan Downloader File 2 (防御)
-Trojan Remote Access 2 (防御)
-Trojan Kryptik.BXXO 1 (防御)
-Trojan Kryptik.BXXO 2 (防御)
-Apache Struts ClassLoader Exploit (防御)
-Apache Struts ClassLoader Exploit (防御)
-hao123 Connection (防御)
-Advanced System Protector Buy (防御)
-Bad HTTP/1.1 (検知)
-P2P BitTorrent traffic (検知)
-ICQ login 2 (検知)
-XP Support End Message (検知)
-Superfish ads 1 (検知)
※検出精度の向上を行いました。
2016/1/12 sig_v166.sig シグネチャID
-2000421 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (23.x.x.x : IE)
脆弱性が報告されている旧バージョンのAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000422 (検知)
シグネチャ名及び内容
-Port 389 Detect (LDAP)
UDPポート389宛の通信を検出するシグネチャです。
389番ポートはLDAPに使用されるポートで、「SearchRequest」メッセージの送信により機器を探索する際に利用されますが、 「SearchRequest」への応答は、DoS攻撃の一種であるリフレクション攻撃に利用される可能性があります。
受信先IPの設定の確認を行い、必要に応じてアクセス制限などの対策を行ってください。
==============================================
シグネチャID
-2000423 (検知)
シグネチャ名及び内容
-Port 4786 Detect (Cisco IOS)
TCPポート4786宛の通信を検出するシグネチャです。
4786番ポートはCisco System社製スイッチやルータ等のSmall Install機能で使用されているポートですが、Cisco IOS及びCisco IOS XEのSmall Installに対する脆弱性が存在することが公表され、悪用された場合、メモリリークにより機能が停止する可能性があります。
最新バージョンにアップデートするなどのセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000424 (検知)
シグネチャ名及び内容
-ip-addr.es DNS Access
自身のグローバルIPアドレス調査サイトip-addr.esの名前解決通信を検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000425 (検知)
シグネチャ名及び内容
-ip-addr.es HTTP Access
自身のグローバルIPアドレス調査サイトip-addr.esへのアクセスを検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000426 (検知)
シグネチャ名及び内容
-myexternalip.com DNS Access
自身のグローバルIPアドレス調査サイトmyexternalip.comの名前解決通信を検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000427 (検知)
シグネチャ名及び内容
-myexternalip.com HTTP Access
自身のグローバルIPアドレス調査サイトmyexternalip.comへのアクセスを検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000428 (検知)
シグネチャ名及び内容
-api.ipify.org DNS Access
自身のグローバルIPアドレス調査サイトapi.ipify.orgの名前解決通信を検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000429 (検知)
シグネチャ名及び内容
-api.ipify.org HTTP Access
自身のグローバルIPアドレス調査サイトapi.ipify.orgへのアクセスを検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000430 (検知)
シグネチャ名及び内容
-ip.telize.com DNS Access
自身のグローバルIPアドレス調査サイトip.telize.comの名前解決通信を検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000431 (検知)
シグネチャ名及び内容
-ip.telize.com HTTP Access
自身のグローバルIPアドレス調査サイip.telize.comへのアクセスを検知するシグネチャです。
このサイト自体には問題はありませんが、ウイルスが感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
検出に心当たりが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000432 (検知)
シグネチャ名及び内容
-Global FTP Plain Connection
外部のFTPサーバ(TCP 21)へ暗号化せずにアクセスしたことを検出するシグネチャです。
FTPはホームページ更新等のファイル転送に利用されますが、標準では通信が暗号化されておらず、セキュリティレベルが低いことが報告されています。
FTPES(FTP Explicitモード)やSCPなどの暗号化された方式での通信に変更することをお勧めいたします。
==============================================
シグネチャID
-3000100 , 3000101 (検知)
シグネチャ名及び内容
-Port 22 Detect (SSH)
-Port 23 Detect (Telnet)
※検出精度の向上を行いました。
==============================================
シグネチャID
-3000104 (検知)
シグネチャ名及び内容
-Global IP FTP Connect
※代替シグネチャを作成したため、無効化しました。
2016/12/15 sig_v165.sig シグネチャID
-2000400 (防御)
シグネチャ名及び内容
-Mirai bot exec command
DDoS攻撃に利用されるマルウェア「Mirai」で、送信元IPから受信先IPの端末や機器へ不正なコードを実行するコマンドが送信されるときの通信を検出するシグネチャです。
受信先IPの端末や機器のセキュリティ設定を確認し、不正なツールが動作していないか確認してください。
==============================================
シグネチャID
-2000401 (防御)
シグネチャ名及び内容
-Adware URL *.exclusiverewards.xx.com
広告のポップアップを表示するサイトへのアクセスを検出するシグネチャです。
このポップアップ表示のサイトには問題はありませんが、ポップアップのリンク先で入力された情報を抜き取られる可能性があります。
検出に心当たりがない場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000402 (防御)
シグネチャ名及び内容
-Trojan.PlugX Traffic 1
遠隔操作ウイルスPlugXに感染した際の通信を検出するシグネチャです。
送信元IPアドレスの端末がPlugXウイルスに感染し、外部に情報を送信しようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000403 (防御)
シグネチャ名及び内容
-SOAP RCE exploit
SOAPのデフォルトポートであるTCP 7547番ポートに対するRemote Code Execution(RCE)攻撃を検出するシグネチャです。
ルータ等の機器がクラッシュする可能性があります。
受信先IPの機器のセキュリティ設定を確認してください。
==============================================
シグネチャID
-2000404 (防御)
シグネチャ名及び内容
-NETGEAR Command Injection
NETGEAR製ルータの脆弱性を攻撃する通信を検出するシグネチャです。受信先IPアドレスが脆弱性が存在するNETGEAR製のルータ(#582384)である場合、任意のコマンドが実行され、設定の変更や機能の停止をされる可能性があります。回避策の実施や、他機種へのルータの変更、対策済ファームウェアの更新を行ってください。
==============================================
シグネチャID
-2000405 (検知)
シグネチャ名及び内容
-Port 2323 Detect (Telnet)
TCPポート2323(Telnetポート)宛の通信を検出するシグネチャです。Telnetはリモートメンテナンス等に利用される場合がありますが、通信が暗号化されておらず、セキュリティレベルが低いことが報告されています。受信先IPアドレスのTelnetサーバの設定を確認してください。また、Telnetを無効化し、SSHへ移行する、利用するポート番号を変更して運用されるなどの対策をお勧めいたします。
==============================================
シグネチャID
-2000406 (検知)
シグネチャ名及び内容
-Port 843 Detect (Flash)
TCPポート843宛の通信を検出するシグネチャです。843番ポートはAdobe Flashにより利用されるポートで、Flash Playerから直接サーバに接続されます。
利用しているFlash Playerが古い場合、脆弱性を悪用されるなどの影響が考えられますので、最新版のFlash Playerを利用するなどの対策を行ってください。
==============================================
シグネチャID
-2000407 (検知)
シグネチャ名及び内容
-Port 1935 Detect (Flash RTMP)
TCPポート1935宛の通信を検出するシグネチャです。1935番ポートはAdobe Flashによりリアルタイム通信の際に利用されるポートで、Flash Playerから直接サーバに接続されます。
利用しているFlash Playerが古い場合、脆弱性を悪用されるなどの影響が考えられますので、最新版のFlash Playerを利用するなどの対策を行ってください。
==============================================
シグネチャID
-2000408 (検知)
シグネチャ名及び内容
-Baidu Link forward
BaiduのURLを経由して別サイトへ転送させるリンクにアクセスしたときの通信を検出するシグネチャです。
送信元IPアドレスの端末が不正なサイトにアクセスした可能性があります。送信元IPアドレスの端末のウイルスチェックやアクセス履歴を確認し、不正なソフトなどがインストールされていないか確認を行ってください。
==============================================
シグネチャID
-2000409 – 2000410 (検知)
シグネチャ名及び内容
-Suspicious URL *.onion.lt
-Suspicious Domain *.onion.lt
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.onion.lt」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000411 – 2000412 (検知)
シグネチャ名及び内容
-Suspicious URL *.tor2web.blutmagie.de
-Suspicious Domain *.tor2web.blutmagie.de
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.tor2web.blutmagie.de」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000413 – 2000414 (検知)
シグネチャ名及び内容
-Suspicious URL *.onion.link
-Suspicious Domain *.onion.link
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.onion.link」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000415 – 2000416 (検知)
シグネチャ名及び内容
-Suspicious URL *.onion.gq
-Suspicious Domain *.onion.gq
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.onion.gq」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000417 – 2000418 (検知)
シグネチャ名及び内容
-Suspicious URL *.tor2web.fi
-Suspicious Domain *.tor2web.fi
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイト「*.tor2web.fi」にアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。
また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000419 – 2000420 (検知)
シグネチャ名及び内容
-Suspicious Domain *.onion.*
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイトである可能性がある「onion」を含むドメインにアクセスしようとしたときの通信を検出するシグネチャです。
-Suspicious Domain *.tor2web.*
送信元IPアドレスの端末が、匿名通信ソフトTorへの中継サイトである可能性がある「tor2web」を含むドメインにアクセスしようとしたときの通信を検出するシグネチャです。
不正なソフトがインストールされた可能性があります。また、このアクセス先はランサムウェア感染後の金銭要求にも利用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000109 – 3000314 , 2000364 (検知)
シグネチャ名及び内容
-Suspicious URL *.ceorldess.com
-Suspicious URL *.gpay4it.com
-Suspicious URL *.pay4softrn.com
-Suspicious URL *.onion.to
-Suspicious URL *.tor2web.org
-Suspicious URL *.onion.cab
-Windows Vista Detect
※検出精度の向上を行いました。
2016/11/17 sig_v164.sig シグネチャID
-2000384 (検知)
シグネチャ名及び内容
-L2TP/IPSec Connect
L2TP/IPSecを用いたVPN通信が開始されるときの通信を検出するシグネチャです。
送信元IPと受信先IP間がVPNで接続され、外部から接続できるようになっている可能性があります。
適切なファイアウォールの設定や、VPNのアクセス制限などを行い、許可された端末のみ接続できるよう設定してください。
==============================================
シグネチャID
-2000385 – 2000388 (検知)
シグネチャ名及び内容
-Default Basic Pass 1
-Default Basic Pass 2
-Default Basic Pass 3
-Default Basic Pass 4
受信先IPの機器にデフォルトパスワードでログインしようとする通信を検出するシグネチャです。
デフォルトパスワードはマニュアル等に掲載されており、管理者以外が容易にログインできます。
パスワードを変更されることをお勧めします。
==============================================
シグネチャID
-2000389 – 2000394 (防御)
シグネチャ名及び内容
-supportservice247.com HTTP Access 1
-housemarket21.com HTTP Access 1
-supportservice247.com HTTP Access 2
-housemarket21.com HTTP Access 2
-requestword.com HTTP Access
-enewsdatabank.com HTTP Access
標的型サイバー攻撃に利用されるサイトへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が不正な用途に利用されるサイトへアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000395 – 2000398 (防御)
シグネチャ名及び内容
-supportservice247.com DNS Access
-housemarket21.com DNS Access
-requestword.com DNS Access
-enewsdatabank.com DNS Access
標的型サイバー攻撃に利用されるドメイン名の名前解決を検出するシグネチャです。
送信元IPアドレスの端末が不正な用途に利用されるドメイン名の名前解決通信を利用して、
ウイルスのコマンドを受信しようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000399 (防御)
シグネチャ名及び内容
-Reimage Connection
PCメンテナンスツールを称するReimageによる通信を検出するシグネチャです。
Reimageは、フリーソフトのインストールなどと一緒に、意図せずインストールされる場合があります。
特に必要でない場合は、送信元IPアドレスの端末よりアンインストールをしてください。
==============================================
シグネチャID
-1411 , 1412 , 2000382 (検知)
-3000054 – 3000055 , 3000057 – 3000058 , 3000060 – 3000063 , 3000066 – 3000069 (検知)
-3000063 – 3000064 (検知)
シグネチャ名及び内容
-Snmp public
-Snmp public
-ip-api.com DNS Access
-Foreign Country Access .ru PHP
-Foreign Country Access .ru PHP
-Foreign Country Access .cn PHP
-Foreign Country Access .cn PHP
-Foreign Country Access .ru js
-Foreign Country Access .ru js
-Foreign Country Access .cn js
-Foreign Country Access .cn js
-Foreign Country Access .in PHP
-Foreign Country Access .in PHP
-Foreign Country Access .in js
-Foreign Country Access .in js
-Windows 8 Detect
-Windows Vista Detect
※検出精度の向上を行いました。
2016/10/19 sig_v163.sig シグネチャID
-2000374 – 2000376 (防御)
シグネチャ名及び内容
-Trojan RANSOM_WALTRIX.C 1
-Trojan RANSOM_WALTRIX.C 2
-Trojan RANSOM_WALTRIX.C 3
悪意あるサイトからランサムウェアRANSOM_WALTRIX.CがPCに侵入しようとするときの通信を検出するシグネチャです。
侵入が成功した場合、PC内のファイルを暗号化し、金銭を要求される危険性があります。
送信元IPアドレスのPCのウイルスチェックを行ってください。
==============================================
シグネチャID
-2000377 (防御)
シグネチャ名及び内容
-Traffic on udp port 0 from well-known port
UDP: ~1024番ポートからUDP:0番ポート宛への通信を検出しました。
0番ポートは通常利用されないポート番号です。送信元IPアドレスを確認し、
ファイアウォール等で不要なポートを遮断する設定などを行ってください。
==============================================
シグネチャID
-525 (検知)
シグネチャ名及び内容
-Traffic on udp port 0
UDP: 1025~65535番ポートからUDP:0番ポート宛への通信を検出しました。
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000378 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (22.x.x.x : IE)
脆弱性が報告されている旧バージョンのAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000379 (検知)
シグネチャ名及び内容
-SMTP Macro File
送信元IPアドレスの端末が、メールでマクロを含むファイル(拡張子.docmや.xlsmなど)を送信しました。
マクロを含む添付ファイルを実行させ、ウイルスに感染させる手法が流行しています。
送信に心当たりが無い場合は送信元のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000380 (検知)
シグネチャ名及び内容
-POP3 Macro File
受信先IPアドレスの端末が、メールでマクロを含むファイル(拡張子.docmや.xlsmなど)を受信しました。
マクロを含む添付ファイルを実行させ、ウイルスに感染させる手法が流行しています。
該当のメールは開かないで下さい。
==============================================
シグネチャID
-2000381 (検知)
シグネチャ名及び内容
-Windows Live Mail SMTP
送信元IPアドレスの端末が、Windows Live メールを使ってメールを送信しました。
Windows Live メールは2017年1月10日にサポートが終了することが予告されています。
他のメールソフトに移行されることをお勧めします。
==============================================
シグネチャID
-2000382 (検知)
シグネチャ名及び内容
-ip-api.com DNS Access
自身のグローバルIPアドレス調査サイトip-api.comの名前解決通信を検出するシグネチャです。
このサイト自体に問題はありませんが、ウイルス感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
ip-api.comにアクセスした覚えが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000383 (検知)
シグネチャ名及び内容
-ip-api.com HTTP Access
自身のグローバルIPアドレス調査サイトip-api.comへのアクセスを検出するシグネチャです。
このサイト自体に問題はありませんが、ウイルス感染後にアクセスし、自身のIPアドレスを収集することが多く知られています。
ip-api.comにアクセスした覚えが無い場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-1062,1064,1065,1066,1068 (検知)
シグネチャ名及び内容
-Nc.exe attempt
-Wsh attempt
-Rcmd attempt
-Telnet attempt
-Tftp attempt
※本来の目的での検知が難しいため、無効化しました。
2016/9/15 sig_v162.sig シグネチャID
-2000359 – 2000362 (検知)
シグネチャ名及び内容
-Dropbox DNS 1
-Dropbox DNS 2
-Dropbox SSL 1
-Dropbox SSL 2
クラウドを利用したファイル共有サービスDropboxの通信を検出するシグネチャです。
受信先IPアドレスの端末がDropboxのソフトを起動したか、Dropboxサイトに接続した通信を検出しました。
Dropboxの通信を遮断したい場合、このシグネチャを防御に変更してください。
==============================================
シグネチャID
-2000363 (検知)
シグネチャ名及び内容
-Windows 8 Detect
2016年1月13日にサポートが終了した、Windows 8によるインターネット接続を検知しました。
送信元IPアドレスの端末はWindows 8を利用しています。Windows 8は後継のWindows 8.1に無償でアップグレードすることができます。
Windows 8.1にアップグレードを行い、最新の更新プログラムを適用した状態で利用されることを推奨します。
==============================================
シグネチャID
-2000364 (検知)
シグネチャ名及び内容
-Windows Vista Detect
2017年4月11日にサポートが終了する、Windows Vistaによるインターネット接続を検知しました。
送信元IPアドレスの端末はWindows Vistaを利用しています。主要ソフトがWindows Vista非対応となっています。
サポート期限に関わらず、OSのアップグレードや新しいパソコンの検討を行ってください。
==============================================
シグネチャID
-2000365 (検知)
シグネチャ名及び内容
-Docker API Global access
グローバルIP宛のDocker(仮想環境管理ソフト)への接続を検知しました。
受信先IPアドレスのDockerが、外部から閲覧できる設定になっている可能性があり、権限のないユーザから稼働状況の閲覧や設定の変更が行われる可能性があります。
外部から閲覧できない設定に変更するか、適切なアクセス制御やSSLが利用できるRemoteAPIなどを利用するよう変更してください。
==============================================
シグネチャID
-2000366 (検知)
シグネチャ名及び内容
-Global Port 69 UDP (TFTP)
外部のUDPポート69番宛への通信が行われました。
このポート番号はTFTPで利用されるポート番号です。
TFTPは一般的なFTPと違い、簡易的なファイル転送機能しかなく、限定的な用途にしか利用されません。
また、DoS攻撃に利用されることがあります。
この通信に心当たりが無い場合、防御設定に変更したり、ファイアウォールの設定を見直すなどして、通信を遮断してください。
==============================================
シグネチャID
-2000367 (検知)
シグネチャ名及び内容
-Global Port 1433 Detect (MSSQL)
グローバルIPアドレス宛の1433番ポートへの接続を検出するシグネチャです。
1433番はMicrosoft SQL Server (MSSQL)の標準ポートです。受信先IPアドレスに心当たりがなければ、ウイルス等による通信の可能性があります。
メンテナンス等で利用している場合でも、アクセス制限やポート番号の変更などを行ってください。
==============================================
シグネチャID
-2000368 (検知)
シグネチャ名及び内容
-Global SMB Connect
外部のWindowsファイル共有(SMB)へファイル閲覧を行おうとする通信を検出するシグネチャです。
送信元IPアドレスの端末が、受信先グローバルIPアドレスのWindowsファイル共有サーバのファイルを閲覧しようとしました。
接続したIPアドレスに心当たりがない場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000369 (検知)
シグネチャ名及び内容
-Global Proxy Connect
送信元IPアドレスの端末が、受信先IPアドレスの社外プロキシサーバを経由してインターネット接続をする設定になっています。
全てのインターネット通信がプロキシサーバを経由し、通信内容がのぞき見られる可能性があります。
==============================================
シグネチャID
-2000370 (防御)
シグネチャ名及び内容
-Global WPAD Connect
送信元IPアドレスの端末が、受信先IPアドレスのプロキシサーバを経由して通信する設定を取得しようとしました。
防御された場合は問題ありませんが、端末のインターネットオプション設定の「設定を自動的に検出する」項目を無効にして運用されることをお勧めします。
==============================================
シグネチャID
-2000371 (検知)
シグネチャ名及び内容
-httpoxy header detect (CVE-2016-5385 – 5389)
httpoxy(CVE-2016-5385~2016-5389)を攻撃する通信を検出しました。
送信元IPアドレスから不正なHTTPヘッダが含まれた通信が送信された可能性があります。
受信先IPアドレスのWebサーバで対策を行ってください。
==============================================
シグネチャID
-2000372 – 2000373 (防御)
シグネチャ名及び内容
-Spyware. TSPY_FAREIT.AFM 1
-Spyware. TSPY_FAREIT.AFM 2
スパイウェア「TSPY_FAREIT.AFM」がインストールされるときに発生するイベントです。
FTPクライアントのアカウント情報やブラウザに保存されたEメールの認証情報などが不正に取得される恐れがあります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
心当たりのないメールの添付ファイルは実行しないでください。
==============================================
シグネチャID
-2000342 (検知)
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
※Java検知のバージョンを更新しました。
※Old Java Version (1.8.0_xx)はMC-70Sのみ適用されています。
==============================================
シグネチャID
-1003135 , 2000336 (防御)
シグネチャ名及び内容
-XSS attack 1
-XSS Reflective
※検出精度の向上を行いました。
==============================================
シグネチャID
-1042 (検知)
シグネチャ名及び内容
-Source via
※説明文の変更を行いました。
2016/8/24 sig_v161.sig シグネチャID
-2000353 (防御)
シグネチャ名及び内容
-dnscat Tunneling detect
DNSプロトコルを利用した通信制御回避ツールdnscatの通信を検出するシグネチャです。
送信元IPアドレスの端末が、dnscatを利用した通信を行った可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000354 (検知)
シグネチャ名及び内容
-ipinfo.io DNS Access
自身のグローバルIPアドレス調査サイトipinfo.ioの名前解決通信を検出するシグネチャです。
このサイト自体に問題はありませんが、ウイルス感染後にアクセスし、
自身のIPアドレスを収集することが多く知られています。
検出に心当たりがない場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000355 (検知)
シグネチャ名及び内容
-ipinfo.io HTTP Access
自身のグローバルIPアドレス調査サイトipinfo.ioへのアクセスを検出するシグネチャです。
このサイト自体に問題はありませんが、ウイルス感染後にアクセスし、
自身のIPアドレスを収集することが多く知られています。
検出に心当たりがない場合、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000356 (検知)
シグネチャ名及び内容
-Global Port 6892 UDP
外部のUDPポート6892番宛への通信を検出するシグネチャです。
このポート番号はBitTorrentで利用されますが、ウイルス感染時の通信にも
利用される場合があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000357 (検知)
シグネチャ名及び内容
-HTTPBrowser/1.0 Detect
HTTPBrowser/1.0 による通信を検出するシグネチャです。
一般のインターネット閲覧ではなく、別のソフトやウイルス等による通信である
可能性があります。
送信元IPアドレスのウイルスチェックを行ってください。
==============================================
シグネチャID
-2000358 (防御)
シグネチャ名及び内容
-Angler exploit kit landing page
Angler exploit kitを使用して脆弱性攻撃する通信を検出するシグネチャです。
この攻撃が成功した場合、バックドアを仕掛けて端末が乗っ取られる危険性があります。
送信元IPアドレスの端末のウイルスチェック等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000342 (検知)
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
※Java検知のバージョンを更新しました。
※Old Java Version (1.8.0_xx)はMC-70Sのみ適用されています。
==============================================
シグネチャID
-1003135 , 2000336 (防御)
シグネチャ名及び内容
-XSS attack 1
-XSS Reflective
※検出精度の向上を行いました。
2016/7/20 sig_v160.sig シグネチャID
-2000352 (防御)
シグネチャ名及び内容
-Apache Struts2 REST Plugin (2016 s2-037)
脆弱性が報告されているApache Struts2のRESTプラグインを攻撃する通信を検出する
シグネチャです。
受信先IPアドレスのApache Struts2のアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-1634 , 1866 (防御)
シグネチャ名及び内容
-Pop3 pass
-Pop3 user
※検出精度向上、説明文を変更しました。
==============================================
シグネチャID
-1321 (防御)
シグネチャ名及び内容
-Traffic with 0 ttl
※本来の目的での検知が難しいため、無効化しました。
2016/6/22 sig_v159.sig シグネチャID
-2000345 – 2000350 (防御)
シグネチャ名及び内容
-Apache Struts2 (2014 s2-020)
-Apache Struts2 (2013 s2-019)
-Apache Struts2 (2013 s2-016)
-Apache Struts2 (2013 s2-013)
-Apache Struts2 (2011 s2-009)
-Apache Struts2 (2010 s2-005)
脆弱性が報告されているApache Struts2を攻撃する通信を検出するシグネチャです。
受信先IPアドレスのApache Struts2のアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000351 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (21.x.x.x : IE)
脆弱性が報告されている旧バージョンのAdobe Flashを検出するシグネチャです。
送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ対策を行ってください。
==============================================
シグネチャID
-2000340 (防御)
シグネチャ名及び内容
-QuickTime for Windows (Support Expired)
説明文を修正しました。
※MC-70Sのみ適用されております。
==============================================
シグネチャID
-1003134 – 1003135 (防御)
シグネチャ名及び内容
-XSS attack
-XSS attack 1
説明文を変更しました。
※MC-70Sのみ適用されております。
==============================================
シグネチャID
-159 (防御)
シグネチャ名及び内容
-Netmetro server
一部機器において無効化が反映されていなかったため、修正しました。
==============================================
シグネチャID
-471 , 474 , 475 , 480 , 483 (検知)
シグネチャ名及び内容
-Icmpenum ping
-Scan tool ping
-Scan tool ping 2
-Speedera ping
-Cyberkit 2.2 ping
other pingシグネチャで代替するため、無効化しました。
2016/6/16 sig_v158.sig シグネチャID
-3000121 – 3000122 (検知)
シグネチャ名及び内容
-Global Port 3389 Detect (RDP)
-Global Port 3306 Detect (MySQL)
一部シグネチャが過去のポリシーに戻っていたため修正しました。
※MC-70Sのみアップデートしております。
2016/6/14 sig_v157.sig シグネチャID
-2000342 – 2000344 (検知)
※シグネチャ防御によって、お客様システムに影響が出る可能性があるため
初期設定を防御から検知に変更しました。
※Javaの旧バージョンには脆弱性が多数報告されておりますので、Javaを使用した
システム等を利用されていない場合は、防御設定に変更してください。
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
-Old Java Version (1.7.0_xx)
-Old Java Version (1.6.0_xx)
※Old Java Version (1.8.0_xx)はMC-70Sのみ適用されています。
脆弱性が報告されているJavaを検出するシグネチャです。
送信元IPアドレスのJavaのアップデート等のセキュリティ対策を
行ってください。
2016/5/25 sig_v156.sig シグネチャID
-2000340 (防御)
シグネチャ名及び内容
-QuickTime for Windows (Support Expired)
脆弱性が報告されている旧バージョンのQuickTime for Windowsを検出する
シグネチャです。メーカーによるサポートが終了しているため、利用されて
いない場合はアンインストールを行ってください。
==============================================
シグネチャID
-2000341 (防御)
シグネチャ名及び内容
-Apache Struts2 Dynamic Method Invocation
脆弱性が報告されているApache Struts2を検出するシグネチャです。
受信先IPアドレスのApache Struts2のアップデートまたはDMI機能の停止を検討
するなどの対策を行ってください。
==============================================
シグネチャID
-2000342 – 2000344 (防御)
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
-Old Java Version (1.7.0_xx)
-Old Java Version (1.6.0_xx)
※Old Java Version (1.8.0_xx)はMC-70Sのみ適用されています
※other pingシグネチャで代替するため、無効化しました。
==============================================
シグネチャID
-2000336 (防御)
シグネチャ名及び内容
-XSS Reflective
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000338 – 2000339 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (1x.x.x.x : IE)
-Old Adobe Flash Request (20.x.x.x : IE)
※説明文を変更しました。
==============================================
シグネチャID
-1002002 (検知)
シグネチャ名及び内容
-ICMP Traceroute
※検出精度の向上を行いました。
==============================================
シグネチャID
-9000009 – 9000011 (検知)
シグネチャ名及び内容
-Pop3 .scr
-Pop3 .pif
-Pop3 .bat
※検出精度の向上を行いました。
==============================================
シグネチャID
-9000031 – 9000062 (検知)
シグネチャ名及び内容
-Pop3 .ade
-Pop 3.adp
-Pop3 .bas
-Pop3 .chm
-Pop3 .cmd
-Pop3 .com
-Pop3 .cpl
-Pop3 .crt
-Pop3 .exe
-Pop3 .hpl
-Pop3 .hta
-Pop3 .inf
-Pop3 .ins
-Pop3 .lnk
-Pop3 .mdb
-Pop3 .mde
-Pop3 .msc
-Pop3 .msi
-Pop3 .msp
-Pop3 .mst
-Pop3 .pcd
-Pop3 .reg
-Pop3 .sct
-Pop3 .shb
-Pop3 .shs
-Pop3 .url
-Pop3 .vb
-Pop3 .vbe
-Pop3 .vbs
-Pop3 .wsc
-Pop3 .wsf
-Pop3 .wsh
※検出精度の向上を行いました。
==============================================
シグネチャID
-9003036 – 9003069 (検知)
シグネチャ名及び内容
-Pop3 .scr 2
-Pop3 .pif 2
-Pop3 .bat 2
-Pop3 .ade 2
-Pop3 .adp 2
-Pop3 .bas 2
-Pop3 .chm 2
-Pop3 .cmd 2
-Pop3 .cpl 2
-Pop3 .crt 2
-Pop3 .exe 2
-Pop3 .hlp 2
-Pop3 .hta 2
-Pop3 .inf 2
-Pop3 .ins 2
-Pop3 .lnk 2
-Pop3 .mdb 2
-Pop3 .mde 2
-Pop3 .msc 2
-Pop3 .msi 2
-Pop3 .msp 2
-Pop3 .mst 2
-Pop3 .pcd 2
-Pop3 .reg 2
-Pop3 .sct 2
-Pop3 .shb 2
-Pop3 .shs 2
-Pop3 .url 2
-Pop3 .vb 2
-Pop3 .vbe 2
-Pop3 .vbs 2
-Pop3 .wsc 2
-Pop3 .wsf 2
-Pop3 .wsh 2
※検出精度の向上を行いました。
==============================================
シグネチャID
-253 , 254 (防御)
シグネチャ名及び内容
-Spoofed dns
-Spoofed dns
※本来の目的での検知が難しいため、無効化しました。
==============================================
シグネチャID
-9003032 , 159 (防御)
シグネチャ名及び内容
-UPX 1.25
-Netmetro server
※誤検知が発生したため、無効化しました。
==============================================
シグネチャID
-141 , 161 , 162 , 195 , 1980 (防御)
シグネチャ名及び内容
-Hackattack 1.20
-Matrix 2.0 client
-Matrix 2.0 server
-Deepthroat 3.1
-Deepthroat 3.1
※現在使用されていないため、無効化しました。
2016/4/20 sig_v155.sig シグネチャID
-2000337 (防御)
シグネチャ名及び内容
-Wordpress Advanced Video Plugin
WordPressのExploitDataBaseの脆弱性を攻撃する通信を検出するシグネチャ
です。受信先IPアドレスのWebサーバ上のWordPressのアップデート等の
セキュリティ対策を行ってください。
==============================================
シグネチャID
-2000338 – 2000339 (防御)
シグネチャ名及び内容
-Old Adobe Flash Request (1x.x.x.x : IE)
-Old Adobe Flash Request (20.x.x.x : IE)
脆弱性が報告されている旧バージョンのAdobe Flashを検出するシグネチャ
です。送信元IPアドレスのAdobe Flashのアップデート等のセキュリティ
対策を行ってください。
==============================================
シグネチャID
-465 , 466 ,467 , 469 , 476 , 478 , 481 , 482 , 484 (検知)
シグネチャ名及び内容
-Iss ping
-L3retriever ping
-Nemesis ping
-Nmap ping
-Webtrends ping
-Broadscan ping
-Tjping ping
-Whatsupgold ping
-Netxray ping
※other pingシグネチャで代替するため、無効化しました。
==============================================
シグネチャID
-472 – 473 (検知)
シグネチャ名及び内容
-Icmp redirect
-Icmp redirect
※検知効果が低いため、無効化しました。
==============================================
シグネチャID
-485 – 487 (防御)
シグネチャ名及び内容
-Icmp admin prohibited
-Icmp admin host prohibited
-Icmp admin network prohibited
※本来の目的での検知が難しいため、無効化しました。
2016/3/29 sig_v154.sig シグネチャID
-2000335 (防御)
シグネチャ名及び内容
-SQL Injection GET (AND 1=1)
攻撃ツールを使用したSQLインジェクション攻撃の通信を検出するシグネチャ
です。送信元IPアドレスの端末のデータベースの内容の漏えいや改ざんの危険性
があります。送信元IPアドレスの端末のウイルスチェックを行ってください。
受信先IPアドレスのWebサーバを自社で管理している場合は、セキュリティ設定
の見直しやシステムのバージョンアップ等の対策を行ってください。
==============================================
シグネチャID
-2000336 (防御)
シグネチャ名及び内容
-XSS Reflective
攻撃ツールを使用したクロスサイトスクリプティング攻撃の通信を検出する
シグネチャです。送信元IPアドレスの端末の個人情報が不正に搾取される
危険性があります。送信元IPアドレスの端末のウイルスチェックを行って
ください。受信先IPアドレスのWebサーバを自社で管理している場合は、
セキュリティ設定の見直しやシステムのバージョンアップ等の対策を
行ってください。
==============================================
シグネチャID
-1748 (防御)
シグネチャ名及び内容
-Large ftp
一部のFTPサーバへ接続できない問題を改善しました。
※検出精度の向上を行いました。
==============================================
シグネチャID
-2000332 – 2000334 (防御)
シグネチャ名及び内容
-Malicious address 10 TCP
-Malicious address 10 UDP
-Malicious address 10 ICMP
検出精度向上のため、シグネチャの変更と追加を行いました。
※検出精度の向上を行いました。
2016/2/25 sig_v153.sig シグネチャID
-2000326 – 2000331 (防御)
シグネチャ名及び内容
-Malicious domain 5 – 10
遠隔操作ウイルスに利用されるドメイン名の名前解決を検出するシグネチャ
です。送信元IPアドレスの端末が不正な用途に利用されるドメイン名の
名前解決通信を利用して、ウイルスのコマンドを受信しようとした
可能性があります。送信元IPアドレスの端末のウイルスチェックを行って
ください。
==============================================
シグネチャID
-2000336 (防御)
シグネチャ名及び内容
-XSS Reflective
攻撃の前準備であるポートスキャンを行ったことが報告されている、
特定のネットワーク帯域への送受信を遮断するシグネチャです。
==============================================
シグネチャID
-3000121 – 3000122 (検知)
シグネチャ名及び内容
-Global Port 3389 Detect (RDP)
-Global Port 3306 Detect (MySQL)
グローバルIPアドレス宛の3389番ポートへの接続を検出するシグネチャです。
3389番はリモートデスクトップ(RDP)の標準ポートです。
グローバルIPアドレス宛の3389番ポートへの接続を検出するシグネチャです。
3389番はリモートデスクトップ(RDP)の標準ポートです。
受信先IPアドレスに心当たりがなければ、ウイルス等による通信の可能性が
あります。メンテナンス等で利用している場合でも、アクセス制限やポート番号
の変更などを行ってください。
2016/1/19 sig_v152.sig シグネチャID
-3000109 – 3000120 (検知)
シグネチャ名及び内容
-Suspicious URL
-Suspicious Domain
送信元IPアドレスの端末が、ランサムウェアや不正なソフトの支払いに利用
されるURL・ドメインにアクセスしようとしました。
次のURL・ドメインへのアクセスを検出します。
*.ceorldess.com
*.gpay4it.com
*.pay4softrn.com
*.onion.to
*.tor2web.org
*.onion.cab
また、*.onion.to、*.tor2web.org、*.onion.cabは匿名通信ソフトTorによる
サイトの可能性があります。
==============================================
シグネチャID
-Global Port 3389 Detect (RDP)
-Global Port 3306 Detect (MySQL)
シグネチャ名及び内容
-Worm VIRUS Sober.AA 1 – 5
ウイルスSober.AAに感染するファイルを添付したメールを
送信しようとしたことを検出するシグネチャです。
検出精度の向上を行いました。
2015/11/26 sig_v151.sig シグネチャID
-2000319 – 2000325 (防御)
シグネチャ名及び内容
-Infected HTML 21 ~ 27
送信元IPアドレスの端末が、改ざんされたサイトへアクセスしたことを
検出しました。
2015/11/5 sig_v150.sig シグネチャID
-2000311 – 2000318 (防御)
シグネチャ名及び内容
-Shiz/Shifu Traffic 1 〜 8
実在企業を装ったなりすましメールの添付ファイルより感染する、
Shiz/Shifuウイルスによる通信を遮断するシグネチャです。
2015/10/28 sig_v149.sig シグネチャID
-3000105 (検知)
シグネチャ名及び内容
-Global SMB Session
グローバルIPアドレス宛のWindows共有フォルダ(SMB)への接続通信を
検出するシグネチャです。
シグネチャの検出精度の向上を行い、シグネチャ名称の変更を行いました。
2015/10/8 sig_v148.sig シグネチャID
-2000307 – 2000310 (検知)
シグネチャ名及び内容
-Lenovo Feedback 1 HTTP
-Lenovo Feedback 2 HTTP
-Lenovo Feedback 3 DNS
-Lenovo Feedback 4 DNS
10月7日にリリース致しましたシグネチャでは、一般的なウェブサイトへの
アクセスの際にも検出される可能性がありました。
シグネチャの検出精度の向上を行い、シグネチャ名称の変更を行いました。
2015/10/7 sig_v147.sig シグネチャID
-2000303 – 2000306 (防御)
シグネチャ名及び内容
-Malicious address 9 (XcodeGhost)
-Malicious domain 2 (XcodeGhost)
-Malicious domain 3 (XcodeGhost)
-Malicious domain 4 (XcodeGhost)
不正なIPアドレスへのアクセスを検出するシグネチャです。
アクセスしようとしたサイトは、iOSアプリに混入したウイルス(XcodeGhost)が
接続する先を遮断するシグネチャです。
==============================================
シグネチャID
-2000307 – 2000310 (検知)
シグネチャ名及び内容
-Suspicious Traffic 27 (Lenovo Feedback)
-Suspicious Traffic 28 (Lenovo Feedback)
-Malicious domain 5 (Lenovo Feedback)
-Malicious domain 6 (Lenovo Feedback)
Lenovo製のパソコンからアプリケーションの利用情報を外部に送信しようとする
通信を検出するシグネチャです。
==============================================
シグネチャID
-9000006 – 9000008 , 9000067 , 9000071 , 9000084 (防御)
-9003033 – 9003035 , 9003074 , 9003078 , 9003091 (防御)
シグネチャ名及び内容
-Smtp .scr .pif .bat .cmd .exe .reg
検出精度の向上を行いました。
2015/8/26 sig_v146.sig シグネチャID
-2000300 (防御)
シグネチャ名及び内容
-Suspicious Traffic 25 (MS15-093)
改ざんされているページへのアクセスを検出するシグネチャです。
==============================================
シグネチャID
-2000301 – 2000302 (防御)
シグネチャ名及び内容
-Malicious address 8
不正なIPアドレスへのアクセスを検出するシグネチャです。
2015/8/6 sig_v145.sig シグネチャID
-30510 – 30513 (検知)
シグネチャ名及び内容
-SSL/TLS heartbeat send message (heartbleed)
SSLの通信維持機能であるheartbeat通信にて、多くのデータが送受信された場合に検知されるシグネチャです。
==============================================
シグネチャID
-30514 – 30517 (検知)
-30520 – 30523 (検知)
シグネチャ名及び内容
-SSL/TLS heartbeat server (heartbleed)
-SSL/TLS heartbeat client (heartbleed)
SSLの通信維持機能であるheartbeat通信にて、多くのデータが送受信された場合に検知されるシグネチャです。
2015/7/22 sig_v144.sig シグネチャID
-2000294 – 2000297 (防御)
シグネチャ名及び内容
-Exploit Flash file 30 – 33
Flash Playerの脆弱性(CVE-2015-5122,2015-5123)を悪用するFlashファイルへのアクセスを検出します。
==============================================
シグネチャID
-2000298 – 2000299 (防御)
シグネチャ名及び内容
-Windows ATMFD.dll exploit 1 – 2
Windowsの脆弱性(MS15-077 CVE-2015-2387)を悪用するファイルへのアクセスを検出します。
==============================================
シグネチャID
-3000106 – 3000108 (検知)
シグネチャ名及び内容
-Windows ping
-Linux/Mac ping
-Other ping
Windows、Linux、MacそれぞれのOSから送信されるpingコマンドによる通信を検出するシグネチャです。
2015/7/15 sig_v143.sig シグネチャID
-2000292 – 2000293 (防御)
シグネチャ名及び内容
-Exploit Flash file 28
-Exploit Flash file 29
Flash Playerの脆弱性(CVE-2015-5119)を悪用するFlashファイルへのアクセスを検出します。
2015/6/24 sig_v142.sig シグネチャID
-2000271 – 2000291 (検知)
シグネチャ名及び内容
-Suspicious Traffic (Emdivi)
日本年金機構に送付されたウイルスEmdivi(エンディビ)や、その亜種がアクセスするURLへの通信を検出するシグネチャです。
2015/6/18 sig_v141.sig シグネチャID
-2000266 (防御)
シグネチャ名及び内容
-Trojan.Emdivi Traffic
日本年金機構に送付されたウイルスEmdivi(エンディビ)が情報を外部に送信しようとする通信を検出するシグネチャです。
==============================================
シグネチャID
-2000267 – 2000270 (検知)
シグネチャ名及び内容
-Suspicious Traffic (Emdivi)
ウイルスEmdivi(エンディビ)がアクセスするURLへのアクセスを検出するシグネチャです。
2015/5/27 sig_v140.sig シグネチャID
-2000258 – 2000265 (防御)
シグネチャ名及び内容
-MalPutty Domain
-MalPutty IP access
-MalPutty URL Access
-MalPutty User-Agent
SSH・Telnet接続クライアントであるPuttyのウイルス改変版がインストールされた際、ウイルスが行う通信を遮断するシグネチャです。
==============================================
シグネチャID
-3000104 (検知)
シグネチャ名及び内容
-Global IP FTP Connect
グローバルIPアドレスのFTPサーバへ接続しようとしたことを検出するシグネチャです。
==============================================
シグネチャID
-3000105 (検知)
シグネチャ名及び内容
-Global IP SMB Connect
グローバルIPアドレスのWindows共有フォルダ(SMB)へ接続しようとしたことを検出するシグネチャです。
2015/4/22 sig_v139.sig シグネチャID
-2000253 – 2000254 (防御)
シグネチャ名及び内容
-Microsoft IIS Range header overflow
MS15-034にて公開されているWindowsの脆弱性を攻撃する通信を検出するシグネチャです。
==============================================
シグネチャID
-2000255 (防御)
シグネチャ名及び内容
-Vulnerability Scan Tool
脆弱性スキャンツールによる通信を検出するシグネチャです。
==============================================
シグネチャID
-2000256 (防御)
シグネチャ名及び内容
-Fake Error Ads
パソコンが不調であることを煽る文言のWeb広告へのアクセスや、パソコンの動作を快適にすると謳ってインストールさせようとするフリーソフトのダウンロードを遮断するシグネチャです。
==============================================
シグネチャID
-2000257 (防御)
シグネチャ名及び内容
-Wordpress Ajax Exploit
CMSソフトであるWordPressのプラグインの脆弱性を悪用し、意図しないページを挿入しようとする通信を検出するシグネチャです。
==============================================
シグネチャID
-4100140 – 4100141 (防御)
シグネチャ名及び内容
-saveitkeep Request
広告ソフトSaveITKeepのアクセスを検出するシグネチャです。
==============================================
シグネチャID
-3000103 (検知)
シグネチャ名及び内容
-Windows Server 2003 Detect
Windows Server 2003やServer 2003 R2による通信を検出するシグネチャです。
2015/3/25 sig_v138.sig シグネチャID
-2000252 (防御)
シグネチャ名及び内容
-Infected HTML 20
改ざんされたサイトにアクセスした兆候を検出するシグネチャです。
==============================================
シグネチャID
-3000100 – 3000101 (検知)
シグネチャ名及び内容
-Port 22 Detect (SSH)
-Port 23 Detect (Telnet)
TCPポート22番(SSHの標準ポート)、23番(Telnetの標準ポート)宛の通信を
検出するシグネチャです。
2015/2/25 sig_v137.sig ==============================================
シグネチャID
-2000219 – 2000245 (防御)
シグネチャ名及び内容
-Exploit Flash file 1 – 27
Flash Playerの脆弱性(CVE-2015-0311,CVE-2015-0339)を悪用する
Flashファイルのダウンロードを検出するシグネチャです。
==============================================
シグネチャID
-3000096 – 3000097 (検知)
シグネチャ名及び内容
-Superfish ads 1 – 2
Lenovo