ダウンロード - シグネチャ更新ファイル –

MC-50/100、MC-55S/60S/200S更新ファイル

ダウンロード シグネチャVersion228
ファイル名 sig_v228.sig
容量 43.9KB
リリース日 2019年9月12日
Version 228

MC-70S/MC-70S1U/MC-56S更新ファイル

ダウンロード シグネチャVersion228
ファイル名 signature.img
容量 503KB
リリース日 2019年9月12日
Version 228

更新内容

シグネチャID 2001308 (防御)
シグネチャ名 Amazon Phishing Redirect URL HTTP Request 1
内容 Amazonを装ったメールURLからリダイレクトされたフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
シグネチャID 2001309 (防御)
シグネチャ名 Apple Phishing Redirect URL HTTP Request 1
内容 Appleを装ったメールURLからリダイレクトされたフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
シグネチャID 2001310 – 2001311 (防御)
シグネチャ名 Japan nenkin Phishing URL SSL Request 1
Japan nenkin Phishing URL SSL Request 2
内容 日本年金機構を装ったフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
シグネチャID 3000222 (検知)
シグネチャ名 D-Link Vulnerability search access
内容 D-Link製デバイスにおける複数の脆弱性を狙ったアクセスを検出するシグネチャです。
脆弱性を悪用して、リモートの攻撃者にシステム上のファイルを閲覧される可能性があります。
D-Link社製のルータ等を利用している場合は、ファームウェアを最新バージョンにアップデートしてください。
シグネチャID 3000223 (検知)
シグネチャ名 Hadoop YARN ResourceManager search access
内容 Hadoop YARN ResourceManagerの脆弱性を突く攻撃を検出するシグネチャです。
脆弱性を悪用して、攻撃者から任意のコードが実行される可能性があります。
Hadoopを利用している場合は、最新バージョンにアップデートしてください。
シグネチャID 3000224 (検知)
シグネチャ名 ThinkPHP RCE search access
内容 中国で利用されているWebアプリケーションフレームワークの「ThinkPHP」の脆弱性を標的としたアクセスを検出するシグネチャです。
脆弱性を悪用して、マルウェアであるMiraiの亜種に感染させてボット化させることが報告されています。
送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
受信先IPアドレスの端末のウイルスチェックを行ってください。
シグネチャID 3000225 (検知)
シグネチャ名 Webmin Vulnerability search access
内容 ウェブベースのシステム管理ツール「Webmin」の脆弱性(CVE-2019-15107)を標的としたアクセスを検出するシグネチャです。
脆弱性を悪用して、リモートから任意のコマンドを実行される可能性があります。
Webminを利用している場合は、最新のバージョンにアップデートしてください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
シグネチャID 2000342 – 2000344 (検知)
シグネチャ名 Old Java Version (1.8.0_xx)
Old Java Version (1.7.0_xx)
Old Java Version (1.6.0_xx)
内容 ※検出精度の向上、危険な攻撃の優先度を変更しました
※Old Java Version (1.8.0_xx)シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
シグネチャID 2000251, 2000338, 2000339, 2000340, 2000351, 2000378, 2000399
2000421, 2000473, 2000474, 2000475, 2000476, 2000477, 2000478
2000479, 2000480, 2000521, 2000601, 2000670, 2000741, 2000818
2000931, 2001004, 2001049, 2100008, 3000081 (防御)
1000023, 1003163, 1003164, 1003165, 1003283, 1003284, 9000020
9000021, 3000082, 3000084, 3000085, 3000086, 3000087, 3000088
3000089, 3000091, 3000092, 3000093, 3000094, 3000095, 3000216 (検知)
シグネチャ名 Baidu update Block 1
Old Adobe Flash Request (1x.x.x.x : IE)
Old Adobe Flash Request (20.x.x.x : IE)
QuickTime for Windows (Support Expired)
Old Adobe Flash Request (21.x.x.x : IE)
Old Adobe Flash Request (22.x.x.x : IE)
Reimage Connection
Old Adobe Flash Request (23.x.x.x : IE)
BaiduIME HTTP Request 1
BaiduIME HTTP Request 4
BaiduIME HTTP Request 5
BaiduIME HTTP Request 6
BaiduIME HTTP Request 7
BaiduIME HTTP Request 8
BaiduIME Block SSL
BaiduIME Block SSL Proxy
Old Adobe Flash Request (24.x.x.x : IE)
Old Adobe Flash Request (25.x.x.x : IE)
Old Adobe Flash Request (26.x.x.x : IE)
Old Adobe Flash Request (27.x.x.x : IE)
Old Adobe Flash Request (28.x.x.x : IE)
Old Adobe Flash Request (29.x.x.x : IE)
Old Adobe Flash Request (30.x.x.x : IE)
Old Adobe Flash Request (31.x.x.x : IE)
GOM Player Update
RegClean Pro Connection
PacketiX VPN
P2P Skype client login
P2P Skype client login startup
P2P Skype client login startup 1
Teamviewer 1
Teamviewer 2
POLICY VNC
POLICY pcAnywhere
RegClean Pro Buy
hao123 Search
babylon Search
Kingsoft Security Connection
Kingsoft Security Update 1
Ask Toolbar download
Ask.com Search
Advanced System Protector Update 1
Advanced System Protector Update 2
Ask Toolbar Update 1
Ask Toolbar Update 2
Kingsoft Security Update 2
Fukuoka Univ. NTP Access
内容 ※危険な攻撃の優先度を変更しました

NetStable MC-50/100 シグネチャ手動更新の方法

MC-50/100 シグネチャ手動更新の方法
(1) シグネチャ管理の「シグネチャのアップデート」をクリックして下さい。
(2) シグネチャファイルの追加欄より、参照ボタンをクリックして、ダウンロードしたシグネチャプログラムを選択して下さい。
(3) アップロードボタンをクリックして適用を行って下さい。

NetStable MC-55S/60S/200S シグネチャ手動更新の方法

MC-55S/60S/200S シグネチャ手動更新の方法
以下のシグネチャ適用マニュアルをダウンロードして実施してください。
http://mcsecurity.co.jp/download/manual/signatureupdate.pdf

 

NetStable MC-70S/MC-70S1U/MC-56S シグネチャ手動更新の方法

MC-70S シグネチャ手動更新の方法
(1) システム情報右上に表示されているアップデートアイコンをクリックして下さい。
(2) シグネチャファイルの追加欄より、参照ボタンをクリックして、ダウンロードしたシグネチャプログラムを選択して下さい。
(3) 手動アップデートボタンをクリックして適用を行って下さい。

 

更新履歴

日付 Version 機能追加・修正の概要
2019/8/21 sig_v227.sig シグネチャID
-2001285 – 2001286 (防御)
シグネチャ名及び内容
-Setag HTTP Request
-Setag SSL Request
バックドア型マルウェアである「Seteg/BillGates」感染時の通信を検出するシグネチャです。
インターネットからElasticsearchにアクセス可能な場合 、脆弱なまたは安全でないサーバを検索し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
Elasticsearchの適切な設定を行い、最新の修正プログラムを適用してください。
==============================================
シグネチャID
-2001287 – 2001288 (防御)
シグネチャ名及び内容
-Grandsoft EK HTTP Request 1
-Grandsoft EK HTTP Request 2
ハッキングツールである「Grandsoft Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001289 – 2001290 (防御)
シグネチャ名及び内容
-Fallout EK HTTP Request 1
-Fallout EK HTTP Request 2
ハッキングツールである「Fallout Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001291 – 2001293 (防御)
シグネチャ名及び内容
-Spelevo EK HTTP Request 1
-Spelevo EK HTTP Request 2
-Spelevo EK HTTP Request 3
ハッキングツールである「Spelevo Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001294 – 2001295 (防御)
シグネチャ名及び内容
-Underminer EK HTTP Request 1
-Underminer EK HTTP Request 2
ハッキングツールである「Underminer Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001296 – 2001297 (防御)
シグネチャ名及び内容
-Magnitude EK HTTP Request 1
-Magnitude EK HTTP Request 2
ハッキングツールである「Magnitude Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001298 (防御)
シグネチャ名及び内容
-RIG EK HTTP Request 1
ハッキングツールである「RIG Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001299 – 2001302 (防御)
シグネチャ名及び内容
-Greenflash Sundown EK HTTP Request 1
-Greenflash Sundown EK HTTP Request 2
-Greenflash Sundown EK HTTP Request 3
-Greenflash Sundown EK HTTP Request 4
ハッキングツールである「Greenflash Sundown Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001303 – 2001304 (防御)
シグネチャ名及び内容
-ShadowGate HTTP Request 1
-ShadowGate HTTP Request 2
サイバー攻撃キャンペーン「ShadowGate」の活動通信を検出するシグネチャです。
エクスプロイトキットを利用して仮想通貨発掘ツールを拡散することが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001305 – 2001307 (防御)
シグネチャ名及び内容
-HookAds HTTP Request 1
-HookAds HTTP Request 2
-HookAds HTTP Request 3
HookAdsと呼ばれる悪意ある広告攻撃の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000791, 2000793, 2000795, 2000797, 2000799, 2000801, 2000803, 2000805
2000807, 2000809, 2000811, 2000813, 2000815, 2000935, 2000937, 2001187
2001190, 2001193, 2001196, 2001199, 2001202, 2001205, 2001208 (防御)
シグネチャ名及び内容
-Web-Miner(coinimp) access 1 with proxy
-Web-Miner(coinimp) access 2 with proxy
-Web-Miner(coinimp) access 3 with proxy
-Web-Miner(coinimp) access 4 with proxy
-Web-Miner(coinimp) access 5 with proxy
-Web-Miner(Crypto-Loot) access 2 with proxy
-Web-Miner(Minr) access 1 with proxy
-Web-Miner(Minr) access 2 with proxy
-Web-Miner(Minr) access 3 with proxy
-Web-Miner(Minr) access 4 with proxy
-Web-Miner(Minr) access 5 with proxy
-Web-Miner(Minr) access 6 with proxy
-Web-Miner(Coin-service) access 1 with proxy
-Web-Miner(Coinhive) access 1 with proxy
-Web-Miner(Coinhive) access 2 with proxy
-GhostDNS C2 Domain Connect 1 SSL Proxy
-GhostDNS C2 Domain Connect 2 SSL Proxy
-GhostDNS C2 Domain Connect 3 SSL Proxy
-GhostDNS C2 Domain Connect 4 SSL Proxy
-GhostDNS C2 Domain Connect 5 SSL Proxy
-GhostDNS C2 Domain Connect 6 SSL Proxy
-GhostDNS C2 Domain Connect 7 SSL Proxy
-GhostDNS C2 Domain Connect 8 SSL Proxy
※説明文の変更を行いました
==============================================
シグネチャID
-2001272 (防御)
-3000216 (検知)
シグネチャ名及び内容
-ECShop SQL Injection
-Fukuoka Univ. NTP Access
※シグネチャのカテゴリ分類を見直しました
==============================================
シグネチャID
-3000139 – 3000141, 2000310, 3000151 – 3000154, 3000166 – 3000170 (検知)
シグネチャ名及び内容
-Lenovo Feedback 4 SSL
-Lenovo Feedback 4 SSL Proxy
-Lenovo Feedback 4 HTTP
-Lenovo Feedback 4 DNS
-Browser IE6 Detect
-Browser IE7 Detect (XP)
-Browser IE8 Detect (XP)
-Browser IE9 Detect (Vista)
-Browser IE10 Detect (Win7)
-Browser IE7 Detect (Vista)
-Browser IE8 Detect (Vista)
-Browser IE8 Detect (Win7)
-Browser IE9 Detect (Win7)
-Browser IE10 Detect (Win8)
※本来の目的での検知が難しいため、無効化しました
2019/7/31 sig_v226.sig シグネチャID
-2001279 – 2001282 (防御)
シグネチャ名及び内容
-Malware shortcut file download request 1
-Malware shortcut file download request 2
-Malware shortcut file download request 3
-Malware shortcut file download request 4
マルウェアが含まれたショートカットファイルをダウンロードする際の通信を検出するシグネチャです。
マルウェアに感染した場合、攻撃者が感染端末の情報を搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001283 – 2001284 (防御)
シグネチャ名及び内容
-IoT Malware Download Request 1
-IoT Malware Download Request 2
IoT機器を標的としたマルウェアのダウンロード通信を検出するシグネチャです。
感染した場合、IoT機器を使用不能にする破壊活動が報告されています。
IoT機器のファームウェアを最新バージョンにアップデートして運用してください。
==============================================
シグネチャID
-3000220 (検知)
シグネチャ名及び内容
-Mirai bot download access 1
外部サーバから宛先ポート5500/TCPに対する不正プログラムのダウンロードおよび実行を試みるアクセスを検知するシグネチャです。
ダウンロードおよび実行が成功した場合、Miraiボットに感染する可能性があります。
受信先IPアドレスの端末のウイルスチェックを行ってください。
また送信元IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
==============================================
シグネチャID
-3000221 (検知)
シグネチャ名及び内容
-Mirai bot download access 2
外部サーバから宛先ポート60001/TCPに対する不正プログラムのダウンロードおよび実行を試みるアクセスを検知するシグネチャです。
ダウンロードおよび実行が成功した場合、Miraiボットに感染する可能性があります。
受信先IPアドレスの端末のウイルスチェックを行ってください。
また送信元IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
==============================================
シグネチャID
-2000480, 2000706, 2000730, 2000732, 2000734, 2000775, 2000779, 2001037 (防御)
2000506 – 2000507, 2000606, 2000608, 2000610, 2000612, 2000614
-2000626 – 2000628, 2000630, 2000736, 2000738, 2000740, 3000129, 3000140, 3000172 (検知)
シグネチャ名及び内容
-BaiduIME Block SSL Proxy
-CoinHive SSL Request Proxy
-Web-Miner(ppoi) access with proxy
-Web-Miner(Crypto-Loot) access with proxy
-Web-Miner(coinlab) access with proxy
-MEXT Phishing SSL Proxy request 1
-MEXT Phishing SSL Proxy request 2
-Web-Miner(xxgasm) access with proxy
-Dropbox SSL Request Proxy 1
-Dropbox SSL Request Proxy 2
-Box SSL Request Proxy 1
-Box SSL Request Proxy 2
-Box SSL Request Proxy 3
-Box SSL Request Proxy 4
-Yahoo Box SSL Request Proxy 1
-MS Skype SSL Request Proxy 1
-MS Skype SSL Request Proxy 2
-MS Skype SSL Request Proxy 3
-Evernote SSL Request Proxy 1
-bitcoin exchange(coincheck) access with proxy
-bitcoin exchange(zaif) access with proxy
-bitcoin exchange(bitflyer) access with proxy
-LINE SSL Client Request Proxy 1
-Lenovo Feedback 4 SSL Proxy
-SKYSEA Client View External connection Proxy
※説明文の変更を行いました
==============================================
シグネチャID
-527, 9003025 – 9003026 (検知)
シグネチャ名及び内容
-Traffic with same source/dest
-Winmx_file_down
-Winmx_up_down
※本来の目的での検知が難しいため、無効化しました
2019/7/11 sig_v225.sig シグネチャID
-2001266 – 2001267 (防御)
シグネチャ名及び内容
-Fake Site Domain Connect 1 HTTP
-Fake Site Domain Connect 1 SSL
クレジットカード等のログインページの偽サイト(フィッシングサイト)で利用されているドメインへの接続を検知するシグネチャです。
送信元IPアドレスの端末がフィッシングサイトにアクセスした可能性があります。
個人情報を入力して送信すると、情報を搾取される可能性があります。
防御設定の場合は問題はありません。
検知された直前にアクセスしたサイトやURLが、フィッシングサイトに誘導するよう改変されている可能性が有りますので、注意してください。
==============================================
シグネチャID
-2001268 (防御)
シグネチャ名及び内容
-Fake Site Domain Connect 1 SSL Proxy
プロキシ環境下の端末でクレジットカード等のログインページの偽サイト(フィッシングサイト)で利用されているドメインへの接続を検知するシグネチャです。
送信元IPアドレスの端末がフィッシングサイトにアクセスした可能性があります。
個人情報を入力して送信すると、情報を搾取される可能性があります。
防御設定の場合は問題はありません。
検知された直前にアクセスしたサイトやURLが、フィッシングサイトに誘導するよう改変されている可能性が有りますので、注意してください。
==============================================
シグネチャID
-2001269 – 2001271 (防御)
シグネチャ名及び内容
-Fake Site IP Request 1
-Fake Site IP Request 2
-Fake Site IP Request 3
クレジットカード等のログインページの偽サイト(フィッシングサイト)で利用されているIPアドレスへの接続を検知するシグネチャです。
送信元IPアドレスの端末がフィッシングサイトにアクセスした可能性があります。
個人情報を入力して送信すると、情報を搾取される可能性があります。
防御設定の場合は問題はありません。
検知された直前にアクセスしたサイトやURLが、フィッシングサイトに誘導するよう改変されている可能性が有りますので、注意してください。
==============================================
シグネチャID
-2001272 (防御)
シグネチャ名及び内容
-ECShop SQL Injection
ECサイトを狙った攻撃ツールの通信を検知するシグネチャです。
送信元IPアドレスの端末が、受信先IPアドレスのWebサイトに向けて、攻撃ツールを用いてSQLインジェクション攻撃を行おうとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001273 – 2001275 (防御)
シグネチャ名及び内容
-FakeSpy C&C Connect 1
-FakeSpy C&C Connect 2
-FakeSpy C&C Connect 3
不正アプリである「FAKESPY」感染時のC&Cサーバへの接続を検出するシグネチャです。
不正なアプリがダウンロードされ、個人情報等が搾取される可能性があります。
心当たりがないアプリがある場合は、アンインストールしてください。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001276 (防御)
シグネチャ名及び内容
-Web-Miner(coinnebula) access
ブラウザ上で仮想通貨の採掘(マイニング)を行うツールを提供しているサイトへのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
また、採掘コード以外にも不正なコードが含まれている可能性があります。
サイトの閲覧を中止し、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001277 (防御)
シグネチャ名及び内容
-Web-Miner(coinnebula) access with proxy
プロキシ環境下の端末でブラウザ上で仮想通貨の採掘(マイニング)を行うツールを提供しているサイトへのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
また、採掘コード以外にも不正なコードが含まれている可能性があります。
サイトの閲覧を中止し、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001278 (防御)
シグネチャ名及び内容
-PCASTLE Module Download Request
仮想通貨Moneroを発掘するマルウェア「PCASTLE」のダウンロードする通信を検出するシグネチャです。
送信元IPアドレスの端末が、不正な仮想通貨採掘活動に利用される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000216 (検知)
シグネチャ名及び内容
-Fukuoka Univ. NTP Access
福岡大学のNTPサーバ(時刻同期サーバ)へ接続を行おうとしたことを検知するシグネチャです。
送信元IPアドレスの端末やネットワーク機器において、福岡大学の公開NTPサーバ(133.100.9.2)を利用する設定になっています。
福岡大学の公開NTPサーバは将来的にサービスを停止することが案内されており、かつ福岡大学のトラフィックを圧迫している事から、他のNTPサーバへの設定変更が推奨されています。
送信元IPアドレスの端末やネットワーク機器の時刻同期設定(NTPサーバ設定)を変更し、他のNTPサーバを参照するように設定を行ってください。
==============================================
シグネチャID
-3000217 (検知)
シグネチャ名及び内容
-Rejetto HttpFileServer command injection
HTTPファイルサーバ「Rejetto」のリモートコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、細工したHTTPリクエストを送信することにより、任意のコード実行が可能になります。
利用しているRejettoのバージョンを最新版にアップデートしてください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-3000218 (検知)
シグネチャ名及び内容
-Tomcat file upload request (CVE-2017-12615)
Apache Tomcatの脆弱性(CVE-2017-12615)を悪用したファイルアップデートの通信を検出するシグネチャです。
脆弱性を悪用して、特別に細工したHTTP PUTリクエストを送信して、JSPファイルをアップロードすることにより、サーバで任意のコードを実行することが可能になります。
受信先IPアドレスの端末に見覚えのないJSPファイルがある場合は、削除してください。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000219 (検知)
シグネチャ名及び内容
-ThinkPHP Payload Download Execution
中国で利用されているWebアプリケーションフレームワークの「ThinkPHP」のリモートからコード実行可能な脆弱性を攻撃する際のペイロードのダウンロード通信を検出するシグネチャです。
脆弱性を悪用して、マルウェアやワームに感染させることが報告されています。
送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000173 (検知)
シグネチャ名及び内容
-Global RDP login attempt
※検出精度の向上を行いました
==============================================
シグネチャID
-3000108 (検知)
シグネチャ名及び内容
-Other ping
※本来の目的での検知が難しいため、無効化しました
2019/6/12 sig_v224.sig シグネチャID
-2001233 (防御)
シグネチャ名及び内容
-Infected WordPress config file URL
WordPressの設定ファイルを改ざんし、マルウェアに感染させようとする通信を検知するシグネチャです。
送信元IPアドレスの端末・サーバが、改ざんされたサーバの影響を受けている可能性があります。
送信元IPアドレスの端末・サーバのウイルスチェックを行い、アクセスしたサイトの安全性を確認してください。
==============================================
シグネチャID
-2001234 – 2001235 (防御)
シグネチャ名及び内容
-Word Macro Malware URL Connect 22
-Word Macro Malware URL Connect 23
メールに添付されているマクロ付きWordファイルのマルウェアがアクセスするURLへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がマルウェアであるマクロ付きのWordファイルを開き、不審なURLへアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-2001236 (防御)
シグネチャ名及び内容
-Fake google search SSL Request
Google検索利用時の偽当選通知のページへのアクセスを検出するシグネチャです。
偽の当選ページを表示させ、クレジットカード情報等を搾取することが報告されています。
遮断しているため、問題ありませんが表示された場合は、個人情報は入力しないようにしてください。
==============================================
シグネチャID
-2001237 – 2001265 (防御)
シグネチャ名及び内容
-Tech Support Scam HTTP access 1 ~ 29
ユーザのブラウザを操作不能にするサポート詐欺活動で利用される偽のサポートページへのアクセスを検出するシグネチャです。
ポップアップが繰り返し表示し、ブラウザを操作不能にすることが報告されています。
遮断された場合は問題ありませんが、ページが表示された場合、ポップアップで煽ってくるページが表示されるため、タスクマネージャ等で強制終了してください。
==============================================
シグネチャID
-3000205 (検知)
シグネチャ名及び内容
-Global SMB1 Trans Command
グローバルIPから、SMBv1にて接続開始しようとした通信を検知するシグネチャです。
送信元のグローバルIPアドレスから、受信先IPアドレスに向けて、古いバージョンのWindowsファイル共有方式であるSMBv1の接続を開始しようとしました。
一般的に、Windowsファイル共有をグローバルIPアドレスにも許可することはほとんどないため、ネットワーク機器やサーバのファイアウォール設定を見直してください。
また、SMBv1はWindows XPまでの世代で利用された古い接続方式です。
多くの脆弱性が報告されているSMBv1を無効化する設定をされることをお勧めします。
==============================================
シグネチャID
-3000206 (検知)
シグネチャ名及び内容
-CCTV-DVR Remote Code Execution
複数のCCTV-DVRベンダに対するリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000207 (検知)
シグネチャ名及び内容
-UPnP SOAP TelnetD Command Execution
D-Link製デバイスにおけるUPnP SOAPコマンド実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000208 (検知)
シグネチャ名及び内容
-Eir WAN Side Remote Command Injection
Eir製ルータのWAN側におけるリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000209 (検知)
シグネチャ名及び内容
-Netgear setup.cgi Remote Code Execution
Netgear DGN1000デバイスを狙ったリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000210 (検知)
シグネチャ名及び内容
-MVPower DVR Shell Command Execution
MVPowerデジタルビデオレコーダ(DVR)におけるリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000211 (検知)
シグネチャ名及び内容
-Vacron NVR Remote Code Execution
「Vacron」製ネットワークビデオレコーダー(NVR)デバイスに対するリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000212 – 3000215 (検知)
シグネチャ名及び内容
-Linksys Remote Code Execution 1
-Linksys Remote Code Execution 2
-Linksys Remote Code Execution 3
-Linksys Remote Code Execution 4
Linksys Eシリーズルータに対するリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2000403 (防御)
シグネチャ名及び内容
-SOAP RCE exploit
※本来の目的での検知が難しいため、無効化しました。
2019/5/29 sig_v223.sig シグネチャID
-2001229 (防御)
シグネチャ名及び内容
-Trickbot HTTP Request 14
マルウェアである「Trickbot」で利用される偽ログインページへのアクセスを検出するシグネチャです。
Trickbotは、偽ログインページに誘導して、認証情報を盗み取ることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001230 (防御)
シグネチャ名及び内容
-Mirai bot C&C Connect
DDoS攻撃に利用されるマルウェアMiraiの亜種が感染後にアクセスするC2サーバへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がMiraiの亜種に感染し、外部のC2サーバにアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001231 – 2001232 (防御)
シグネチャ名及び内容
-Mirai bot Download Connect 1
-Mirai bot Download Connect 2
DDoS攻撃に利用されるマルウェアMiraiの亜種をダウンロードする接続先へのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がMiraiのダウンロード先にアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000204 (検知)
シグネチャ名及び内容
-Oracle WebLogic Server Async access
Oracle WebLogic Serverの脆弱性(CVE-2019-2725)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用された場合、リモートから任意のコードを実行される可能性があります。
WebLogicサーバのバージョンを確認し、最新版にアップデートしてください。
==============================================
シグネチャID
-5000000 (検知)
シグネチャ名及び内容
-Inbound RDP Exploitation Attempt (CVE-2019-0708)
リモートデスクトップサービスの任意のコードが実行される脆弱性(CVE-2019-0708)を攻撃する通信を検出するシグネチャです。
攻撃者により、標的のシステム上で任意のプログラムやデータやアカウントの作成や操作が行われる可能性があります。
該当のIPアドレスの端末に修正プログラムを適用してください。
また、リモートデスクトップサービスを利用していない場合は無効化してください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000001 (検知)
シグネチャ名及び内容
-SharePoint RCE Attempt (CVE-2019-0604)
Microsoft SharePointの任意のコードが実行される脆弱性(CVE-2019-0604)を攻撃する通信を検出するシグネチャです。
攻撃者により、リモートでコードを実行される可能性があります。
該当のIPアドレスの端末に修正プログラムを適用してください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
2019/5/15 sig_v221.sig シグネチャID
-2001217 (防御)
シグネチャ名及び内容
-Fake Site URL Request
偽サイトが公開されているIPアドレスへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が公式サイトを騙った偽サイトのURLにアクセスした可能性があります。
アクセスしようとしたURLは偽物のサイトですので、誤ってアクセスしないよう注意してください。
==============================================
シグネチャID
-2001218 – 2001220 (防御)
シグネチャ名及び内容
-URSNIF HTTP Request 26
-URSNIF HTTP Request 27
-URSNIF HTTP Request 28
URSNIFのマルウェアを実行する際に使用されるURLへアクセスするときの通信を検出するシグネチャです。
URLNIFが実行されると、情報搾取機能により、送信元端末のアカウント認証情報や個人情報が搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001221 (防御)
シグネチャ名及び内容
-BEBLOH Malware Download
オンライン詐欺ツールであるBEBLOHをダウンロードする際の通信を検出するシグネチャです。
ダウンロードした場合、C&Cサーバへの接続を試み、他の情報を搾取するマルウェアをダウンロードする可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001222 – 2001228 (防御)
シグネチャ名及び内容
-Suspicious transfer site HTTP Request
-Suspicious transfer site SSL Request 2
-Suspicious transfer site HTTP Request 2
-Suspicious transfer site SSL Request 3
-Suspicious transfer site HTTP Request 3
-Suspicious transfer site SSL Request 4
-Suspicious transfer site HTTP Request 4
改ざんされたWebサイトから転送される不審なサイトへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が、改ざんサイトへアクセスし、不審なサイトに転送されている可能性があります。
防御設定ですが、送信元IPアドレスの端末のウイルスチェックを行ってください。
2019/4/17 sig_v221.sig シグネチャID
-2001163 – 2001184 (防御)
シグネチャ名及び内容
-GhostDNS C2 IP Connect 1 ~ 22
DNS設定を書き換えるマルウェアGhostDNSが感染後にアクセスするC2サーバへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がGhostDNSに感染し、外部のC2サーバにアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-2001185 – 2001208 (防御)
シグネチャ名及び内容
-GhostDNS C2 Domain Connect 1 ~ 8 HTTP
-GhostDNS C2 Domain Connect 1 ~ 8 SSL
-GhostDNS C2 Domain Connect 1 ~ 8 SSL Proxy
DNS設定を書き換えるマルウェアGhostDNSが感染後にアクセスするC2サーバへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がGhostDNSに感染し、外部のC2サーバにアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-2001209 – 2001210 (防御)
シグネチャ名及び内容
-GhostDNS C2 URL Connect 1
-GhostDNS C2 URL Connect 2
DNS設定を書き換えるマルウェアGhostDNSが感染後にアクセスするURLへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がGhostDNSに感染し、外部のC2サーバにアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-2001211 – 2001213 (防御)
シグネチャ名及び内容
-BEBLOH SSL PNG Download 2
-BEBLOH HTTP PNG Download
-BEBLOH HTTP PNG Download 2
オンライン詐欺ツールであるBEBLOHをダウンロードする際の通信を検出するシグネチャです。
ダウンロードした場合、C&Cサーバへの接続を試み、他の情報を搾取するマルウェアをダウンロードする可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001214 (防御)
シグネチャ名及び内容
-Suspicious Javascript embedded
不審なWebサイトへ転送させようとする不正コードが挿入されたJavaScriptを検出するシグネチャです。
改ざんされたページの至るところにコードを挿入させることが報告されています。
防御設定ですが、受信先IPアドレスまたは送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001215 (防御)
シグネチャ名及び内容
-Suspicious transfer site SSL Request
改ざんされたWebサイトから転送される不審なサイトへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が、改ざんサイトへアクセスし、不審なサイトに転送されている可能性があります。
防御設定ですが、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001216 (防御)
シグネチャ名及び内容
-URLZone malware HTTP Request
マルウェアである「URLZone」感染時の通信を検出するシグネチャです。
URLZoneは他のマルウェアへ感染させることを目的としており、感染した場合、情報を搾取される可能性があります。
防御設定ですが、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000201 (検知)
シグネチャ名及び内容
-Malion5 External connection
資産管理ツール「Malion5」の外部へアクセスするときの通信を検出するシグネチャです。
本シグネチャは、検知専用であり、防御に変更した場合も遮断されない仕様となっております。
==============================================
シグネチャID
-3000202 (検知)
シグネチャ名及び内容
-Malion5 Server Request
資産管理ツール「Malion5」の中継サーバへアクセスするときの通信を検出するシグネチャです。
本シグネチャは、検知専用であり、防御に変更した場合も遮断されない仕様となっております。
==============================================
シグネチャID
-3000203 (検知)
シグネチャ名及び内容
-Internet Messaging Program access
ウェブメールクライアント「Internet Messaging Program」の脆弱性が存在する機器に対するアクセスを検出するシグネチャです。
脆弱性を悪用された場合、攻撃者によって任意のOSコマンドが実行される可能性があります。
PHPおよびIMPをご利用の場合は、PHPを最新バージョンにアップデートしてください。
また、送信元IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
==============================================
シグネチャID
-2001012 – 2001018 (防御)
シグネチャ名及び内容
-Mirai bot malformed User-Agent Gemini
-Mirai bot malformed User-Agent Hakai
-Mirai bot malformed User-Agent Hello World
-Mirai bot malformed User-Agent LMAO
-Mirai bot malformed User-Agent Ronin
-Mirai bot malformed User-Agent Shinka 1
-Mirai bot malformed User-Agent Shinka 2
※検出精度の向上を行いました
==============================================
シグネチャID
-3000149 – 3000150 (検知)
シグネチャ名及び内容
-BEBLOH C&C Connect
-BEBLOH SSL PNG Download
※初期設定を検知から防御に変更しました
2019/4/3 sig_v220.sig シグネチャID
-2001087 – 2001097 (防御)
シグネチャ名及び内容
-Mirai bot malformed User-Agent Rift
-Mirai bot malformed User-Agent Yakuza
-Mirai bot malformed User-Agent Hentai
-Mirai bot malformed User-Agent Solar
-Mirai bot malformed User-Agent Shaolin
-Mirai bot malformed User-Agent Damien
-Mirai bot malformed User-Agent muhstik
-Mirai bot malformed User-Agent lessie
-Mirai bot malformed User-Agent Cakle
-Mirai bot malformed User-Agent Tsunami
-Mirai bot malformed User-Agent Yowai
Miraiの亜種による感染を試みる通信を検出するシグネチャです。
感染した場合、DDoS攻撃などに悪用される可能性があります。
一般的なWeb閲覧で利用されることはありません。
設置されているルータ等のファームウェアを最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2001098 (防御)
シグネチャ名及び内容
-Fake Alert Redirect site access
偽警告画面を表示させるWebサイトへのアクセスを検出するシグネチャです。
改ざんされたWebサイトから不審なWebサイトへリダイレクトされたページにアクセスした可能性があります。
警告表示で、正規のサポートページを偽装し、不正なプログラムをダウンロードさせられる可能性があります。
==============================================
シグネチャID
-2001099 – 2001101 (防御)
シグネチャ名及び内容
-ASUS Live Update backdoor request 1
-ASUS Live Update backdoor request 2
-ASUS Live Update backdoor request 3
ソフトウェアである「ASUS Live Update」がバックドア化し、マルウェアを配布する接続先への通信を検出するシグネチャです。
バックドア化したASUS Live Updateを通じてマルウェアに感染する可能性があります。
ASUS Live Updateを最新にアップデートしてください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001102 – 2001141 (防御)
シグネチャ名及び内容
-Mining Malware C2 Connect 1 〜 40
仮想通貨のマイニングを行うマルウェアが制御サーバ(C2サーバ)に接続する際の通信を検出するシグネチャです。
送信元IPアドレスの端末がマルウェアに感染し、制御サーバに接続しようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施し、不正なソフトを削除してください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-2001142 – 2001162 (防御)
シグネチャ名及び内容
-Word Macro Malware URL Connect 1 〜 21
メールに添付されているマクロ付きWordファイルのマルウェアがアクセスするURLへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がマルウェアであるマクロ付きのWordファイルを開き、不審なURLへアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-3000199 (検知)
シグネチャ名及び内容
-ThinkPHP Remote Code Execution access
中国で利用されているWebアプリケーションフレームワークの「ThinkPHP」のリモートからコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェアであるMiraiの亜種に感染させてボット化させることが報告されています。
送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000200 (検知)
シグネチャ名及び内容
-WinRAR C2 Server Response
アーカイブツールである「WinRAR」の脆弱性を悪用した際のC&Cサーバからのレスポンスの通信を検出するシグネチャです。
C&Cサーバからマルウェアがダウンロードされることが報告されています。
受信先IPアドレスの端末のウイルスチェックを行ってください。
WinRARをご利用の場合は、最新バージョンで運用されることを推奨いたします。
==============================================
シグネチャID
-3000070, 3000151 – 3000154, 3000166 – 3000170 (検知)
シグネチャ名及び内容
-Browser IE6 Detect
-Browser IE7 Detect (XP)
-Browser IE8 Detect (XP)
-Browser IE9 Detect (Vista)
-Browser IE10 Detect (Win7)
-Browser IE7 Detect (Vista)
-Browser IE8 Detect (Vista)
-Browser IE8 Detect (Win7)
-Browser IE9 Detect (Win7)
-Browser IE10 Detect (Win8)
※検出精度の向上を行いました
2019/3/27 sig_v219.sig シグネチャID
-3000192 (検知)
シグネチャ名及び内容
-WP Cost Estimation access 1
外部IPアドレスからWordPressのプラグインである「WP Cost Estimation」
の脆弱性を狙った特定のURLへのアクセスを検出するシグネチャです。
脆弱性が悪用されると、ウェブサイトの改ざんなどの被害にあう
可能性があります。
プラグインのバージョンを最新にアップデートしてください。
また、プラグインを利用していない場合は無効化されることを推奨いたします。
==============================================
シグネチャID
-3000193 (検知)
シグネチャ名及び内容
-WP Cost Estimation access 2
外部IPアドレスからWordPressのプラグインである「WP Cost Estimation」
の脆弱性を狙った特定のURLへのアクセスを検出するシグネチャです。
脆弱性が悪用されると、脆弱なサイト上の任意のファイルを
削除される可能性があります。
プラグインのバージョンを最新にアップデートしてください。
また、プラグインを利用していない場合は無効化されることを推奨いたします。
==============================================
シグネチャID
-3000194 – 3000195 (検知)
シグネチャ名及び内容
-WP Total Donations access (CVE-2019-6703) 1
-WP Total Donations access (CVE-2019-6703) 2
外部IPアドレスからWordPressのプラグインである「Total Donations」の
脆弱性(CVE-2019-6703)を狙った特定のURLへのアクセスを
検出するシグネチャです。
脆弱性が悪用されると、ウェブサイトの改ざんなどの被害に
あう可能性があります。
プラグインのバージョンを最新にアップデートしてください。
また、プラグインを利用していない場合は無効化されることを
推奨いたします。
==============================================
シグネチャID
-3000196 (検知)
シグネチャ名及び内容
-WordPress RCE access (CVE-2019-8942)
外部IPアドレスからWordPressの脆弱性(CVE-2019-8942)を狙った
特定のURLへのアクセスを検出するシグネチャです。
脆弱性が悪用されると、リモートからコード実行が可能になり、
ウェブサイトの改ざんなどの被害にあう可能性があります。
WordPressのバージョンを最新にアップデートしてください。
==============================================
シグネチャID
-3000197 – 3000198 (検知)
シグネチャ名及び内容
-WinRAR Remote Code Execution 1
-WinRAR Remote Code Execution 2
アーカイブツールである「WinRAR」のリモートよりコード実行が
可能な脆弱性を悪用する通信を検出するシグネチャです。
WinRARにはパストラバーサルの脆弱性(CVE-2018-20250)が報告されて
おり、マルウェアへ感染する恐れがあります。
WinRARのバージョンを最新にアップデートしてください。
また、受信先IPアドレスの端末のウイルスチェックを行ってください。
2019/3/13 sig_v218.sig シグネチャID
-2001075 (防御)
シグネチャ名及び内容
-Drupal Remote Code Execution (CVE-2019-6340)
Drupal coreの脆弱性(CVE-2019-6340)を狙った攻撃通信を
検出するシグネチャです。
RESTful Web Serviceなどのモジュールを有効化している状態で
脆弱性が悪用されると、認証なしに遠隔からのコード実行が可能になります。
バージョンのアップデート、対象モジュール(RESTful Web Serviced、
JSON:API)の無効化をご検討ください。
==============================================
シグネチャID
-2001076 – 2001077 (防御)
シグネチャ名及び内容
-Chrome PDF Viewer Vulnerability Request 1
-Chrome PDF Viewer Vulnerability Request 2
Chrome PDF Viewerの情報漏えいの脆弱性のリクエスト通信を
検出するシグネチャです。
意図せずHTTPリクエストを送信している可能性があり、
情報漏えいする恐れがあります。
受信先IPアドレスに心当たりがない場合は、アクセス制限の
対策を行ってください。
また、Chromeのバージョンを最新状態で運用することを推奨いたします。
==============================================
シグネチャID
-2001078 – 2001079 (防御)
シグネチャ名及び内容
-Amazon Phishing URL HTTP Request 7
-Amazon Phishing URL HTTP Request 8
Amazonを装った偽サイトにアクセスするときの通信を
検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2001080 – 2001081 (防御)
シグネチャ名及び内容
-JP-Bank Phishing URL SSL Request 1
-JP-Bank Phishing URL SSL Request 2
ゆうちょ銀行を装った偽サイトにアクセスするときの通信を
検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2001082 (防御)
シグネチャ名及び内容
-SMBC Card Phishing URL HTTP Request 1
三井住友カードを装ったクレジットカード情報や個人情報を狙った
フィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLを
クリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード
変更等の対処を行ってください。
==============================================
シグネチャID
-2001083 – 2001084 (防御)
シグネチャ名及び内容
-VJA Card Phishing URL HTTP Request 1
-VJA Card Phishing URL HTTP Request 2
VJAグループを装ったクレジットカード情報を狙ったフィッシング
サイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLを
クリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード
変更等の対処を行ってください。
==============================================
シグネチャID
-2001085 (防御)
シグネチャ名及び内容
-Scannig Activity Malware Download
スキャン活動でダウンロードされるマルウェアの通信先を
検出するシグネチャです。
IoT機器に対してスキャン活動を行った際に、マルウェアを
ダウンロードして感染拡大させることが報告されています。
他の通信先からダウンロードされている可能性もあるため、
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001086 (防御)
シグネチャ名及び内容
-Fake Microsoft error page
偽のMicrosoftの警告メッセージを表示し、フリーダイヤルに
電話させようとする画面の表示を検知するシグネチャです。
警告表示や音声で、パソコンが故障したと騙してフリーダイヤルに
電話させようとし、不正なソフトをインストールさせられる
可能性があります。
==============================================
シグネチャID
-3000177 (検知)
シグネチャ名及び内容
-Android Debug Bridge Scannig Activity Detect
外部IPアドレスからAndroid端末のコマンドラインツール(ADB)で
利用される5555/TCP宛のスキャン活動の通信を検出するシグネチャです。
ADBポートを介してシェルスクリプトを作成、実行されることが
報告されています。
送信元IPアドレスに心当たりがない場合は、アクセス制限の対策を
行ってください。
また、受信先IPアドレスのOSおよび該当するアプリケーションを
最新版に更新して運用されることを推奨いたします。
==============================================
シグネチャID
-3000178 – 3000181 (検知)
シグネチャ名及び内容
-tomcat manager login (root)
-tomcat manager login (admin)
-tomcat manager login (tomcat)
-tomcat manager login (manager)
Apache Tomcatの管理画面に、頻繁に使用されるユーザ名で
ログインしようとしたことを検知するシグネチャです。
受信先IPアドレスのWebサーバのTomcatにログイン試行が行われました。
連続で検出される場合は、ブルートフォース攻撃でログイン試行が
行われている可能性があります。
==============================================
シグネチャID
-3000182 – 3000191 (検知)
シグネチャ名及び内容
-Well-Known PortScan Open Response 1
-Well-Known PortScan Open Response 2
-Well-Known PortScan Open Response 3
-Well-Known PortScan Open Response 4
-Well-Known PortScan Open Response 5
-Well-Known PortScan Open Response 6
-Well-Known PortScan Open Response 7
-Well-Known PortScan Open Response 8
-Well-Known PortScan Open Response 9
-Well-Known PortScan Open Response 10
情報通信研究機構(NICT)によるポートスキャンと情報収集の
通信を検知するシグネチャです。
送信元IPアドレスのサーバにポートスキャンが行われ、
応答を返す通信を検知します。
送信元IPアドレスのサーバが外部のIPから直接応答出来る
設定になっています。
意図しないサービスが公開設定になっていないか確認してください。
特にSSH,Telnet等のメンテナンス用ポートを公開する必要がある場合は、
IPアドレスによるアクセス制限やパスワードを強固にして利用してください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
2019/2/27 sig_v217.sig シグネチャID
-3000173 (検知)
シグネチャ名及び内容
-Global RDP login attempt
外部IPアドレスからMicrosoft Windowsのリモートデスクトップ
サービスを利用してログインするときの通信を検出するシグネチャです。
リモートデスクトップを利用して内部へ侵入し、ランサムウェア感染等の
被害が報告されています。
送信元IPアドレスに心当たりがない場合はアクセス制限を行ってください。
また、受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000174 – 3000175 (検知)
シグネチャ名及び内容
-Cisco test interface detected 1
-Cisco test interface detected 2
Cisco社製ルータ等における脆弱性(CVE-2014-0659)を悪用したテスト
インターフェースへのリクエストを検出するシグネチャです。
IoT機器を狙ったMiraiボットへの感染活動に利用されていることが
報告されています。
送信元IPアドレスに心当たりがない場合はアクセス制限を行ってください。
また、Cisco社製ルータ等をご利用の場合は、ファームウェアの
バージョンを最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000176 (検知)
シグネチャ名及び内容
-Huawei Device command injection attempt
Huawei社製ルータのリモートからの任意のコード実行が可能となる
脆弱性(CVE-2017-17215)を悪用する通信を検出するシグネチャです。
IoT機器を狙ったMiraiボットへの感染活動に利用されていることが
報告されています。
送信元IPアドレスに心当たりがない場合はアクセス制限を行ってください。
また、Huawei社製ルータのファームウェアのバージョンを最新の状態で
運用されることを推奨いたします。
2019/2/14 sig_v216.sig シグネチャID
-2001067 – 2001068 (防御)
シグネチャ名及び内容
-GOMPlayer malvertisement request 1
-GOMPlayer malvertisement request 2
GOMPlayer終了時に表示される悪質な広告の接続先を
検出するシグネチャです。
GOMPlayer終了後にブラウザが起動し広告が表示されることが
報告されています。
パソコンが故障したといったメッセージを表示したり、
警告音を鳴らして不安感を煽り、不正なサイトに転送させたり、
マルウェアをインストールさせようとするページに転送されます。
==============================================
シグネチャID
-2001069 (防御)
シグネチャ名及び内容
-Mirai bot Yowai download request
IoT機器を狙ったマルウェア「Mirai」の亜種「Yowai」の通信を
検出するシグネチャです。
IoT機器の脆弱性を狙った攻撃が報告されており、
マルウェアに感染しDoS攻撃に利用される可能性があります。
防御設定ですが、送信元/受信先IPアドレスのIoT機器の
ファームウェアのバージョンを確認し、最新の状態で
運用されることを推奨いたします。
==============================================
シグネチャID
-2001070 – 2001072 (防御)
シグネチャ名及び内容
-GandCrab v5.1 download request 1
-GandCrab v5.1 download request 2
-GandCrab v5.1 download request 3
ランサムウェアである「GandCrab」のダウンローダーによる
通信を検出するシグネチャです。
不審なスパムメールに添付してあるURLにアクセス・添付ファイルを
開いた可能性があります。
心当たりのないメールは開かないでください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001073 – 2001074 (防御)
シグネチャ名及び内容
-Ransomware download request 1
-Ransomware download request 2
ランサムウェアのダウンローダーによる通信を
検出するシグネチャです。
不審なスパムメールに添付してあるURLにアクセス・添付ファイルを
開いた可能性があります。
心当たりのないメールは開かないでください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。