ダウンロード - シグネチャ更新ファイル –

MC-50/100、MC-55S/60S/200S更新ファイル

ダウンロード シグネチャVersion231
ファイル名 sig_v231.sig
容量 16.9KB
リリース日 2019年11月7日
Version 231

MC-70S/MC-70S1U/MC-56S/MC-75S/MC-57S/MC-80S更新ファイル

ダウンロード シグネチャVersion231
ファイル名 signature.img
容量 516KB
リリース日 2019年11月7日
Version 231

更新内容

シグネチャID 2001330 (防御)
シグネチャ名 Webmin Vulnerability search access 2
内容 ウェブベースのシステム管理ツール「Webmin」の脆弱性(CVE-2019-15107)を標的としたアクセスを検出するシグネチャです。
脆弱性を悪用して、リモートから任意のコマンドを実行される可能性があります。
Webminを利用している場合は、最新のバージョンにアップデートしてください。
シグネチャID 2001331 (防御)
シグネチャ名 GPON Router Remote Code Execution 2
内容 GPONルータの脆弱性(CVE-2018-10561,CVE-2018-10562)を標的とした外部からのアクセスを検出するシグネチャです。
本脆弱性を悪用された場合、認証を回避し、遠隔からのコードを実行させることが可能になります。
受信先ルータ機器のファームウェアを最新バージョンに更新して運用してください。
シグネチャID 2001332 – 2001333 (防御)
シグネチャ名 Elasticsearch Vulnerability search access 1
Elasticsearch Vulnerability search access 2
内容 オープンソースの全文検索システム「Elasticsearch」の脆弱性を標的としたアクセスを検出するシグネチャです。
脆弱性を悪用して、リモートから任意のコマンドを実行される可能性があります。
Elasticsearchを利用している場合は、最新のバージョンにアップデートしてください。
送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
シグネチャID 2001334 (防御)
シグネチャ名 Coinminer Download Script Detect
内容 仮想通貨発掘ツールのバイナリファイルをダウンロードさせようとする通信を検出するシグネチャです。
ダウンロードし感染した場合、システム内のプロセスを停止し、リソースを占有される可能性があります。
受信先IPアドレスの機器のファームウェアを最新バージョンにアップデートしてください。
送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
シグネチャID 2001335 (防御)
シグネチャ名 IconDown Download Request
内容 マルウェアである「IconDown」をダウンロードするときの通信を検出するシグネチャです。
ASUS WebStorageのアップデート機能を悪用して侵入することが報告されています。
アクセスに心当たりがない場合は、送信元IPアドレスの端末のウイルスチェックを行ってください。
受信先IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
シグネチャID 2001336 (防御)
シグネチャ名 Amazon Phishing URL HTTP Request 9
内容 Amazonを装った偽サイトにアクセスするときの通信を検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
シグネチャID 2001337 – 2001339 (防御)
シグネチャ名 SMBC Phishing URL HTTP Request 5
SMBC Phishing URL SSL Request 1
SMBC Phishing URL SSL Request 2
内容 三井住友銀行を偽装したフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
シグネチャID 2001340 – 2001343 (防御)
シグネチャ名 MUFG Phishing URL SSL Request 1
MUFG Phishing URL SSL Request 2
MUFG Phishing URL SSL Request 3
MUFG Phishing URL SSL Request 4
内容 三菱UFJ銀行を偽装したフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
シグネチャID 2001344 (防御)
シグネチャ名 Phishing URL SSL Request 1
内容 正規サイトのドメインを置き換えたフィッシングサイトへアクセスするときの通信を検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
シグネチャID 2001345 (防御)
シグネチャ名 Fake Office365 login page
内容 Office365を偽装したログインページへアクセスするときの通信を検出するシグネチャです(doc*****.log****.me)。
送信元IPアドレスの端末がフィッシングサイトにアクセスしている可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
シグネチャID 2001346 (防御)
シグネチャ名 Fake Microsoft login page 1
内容 Microsoftを偽装したログインページへアクセスするときの通信を検出するシグネチャです(cli**.icp*****.com)。
送信元IPアドレスの端末がフィッシングサイトにアクセスしている可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
シグネチャID 2001347 (防御)
シグネチャ名 Fake Microsoft login page 2
内容 Microsoftを偽装したログインページへアクセスするときの通信を検出するシグネチャです(091*********.azu******.net)。
送信元IPアドレスの端末がフィッシングサイトにアクセスしている可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
シグネチャID 2000099 – 2000100 (防御)
シグネチャ名 Apache Struts ClassLoader Exploit
Apache Struts ClassLoader Exploit
内容 ※説明文を更新しました
シグネチャID 2000948 (防御)
3000225 (検知)
シグネチャ名 GPON Router Remote Code Execution
Webmin Vulnerability search access
内容 ※本来の目的での検知が難しいため、無効化しました
※Webmin Vulnerability search accessシグネチャは、MC-70S,MC-56S以降の機種のみ適用されています

NetStable MC-50/100 シグネチャ手動更新の方法

MC-50/100 シグネチャ手動更新の方法
(1) シグネチャ管理の「シグネチャのアップデート」をクリックして下さい。
(2) シグネチャファイルの追加欄より、参照ボタンをクリックして、ダウンロードしたシグネチャプログラムを選択して下さい。
(3) アップロードボタンをクリックして適用を行って下さい。

NetStable MC-55S/60S/200S シグネチャ手動更新の方法

MC-55S/60S/200S シグネチャ手動更新の方法
以下のシグネチャ適用マニュアルをダウンロードして実施してください。
http://mcsecurity.co.jp/download/manual/signatureupdate.pdf

 

NetStable MC-70S/MC-70S1U/MC-56S以降の機種 シグネチャ手動更新の方法

MC-70S シグネチャ手動更新の方法
(1) システム情報右上に表示されているアップデートアイコンをクリックして下さい。
(2) シグネチャファイルの追加欄より、参照ボタンをクリックして、ダウンロードしたシグネチャプログラムを選択して下さい。
(3) 手動アップデートボタンをクリックして適用を行って下さい。

 

更新履歴

日付 Version 機能追加・修正の概要
2019/10/17 sig_v230.sig シグネチャID
-2001316 (防御)
シグネチャ名及び内容
-vBulletin Remote Code Execution
フォーラムサイトを構築するソフトウェア「vBulletin」における任意のコードを実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、任意のコード実行、ウェブサイトへバックドアの設置を試みる可能性があります。
vBulletinをご利用の場合は、最新バージョンにアップデートしてください。
接続先に心当たりがない場合は、アクセス制限を行ってください。
==============================================
シグネチャID
-2001317 – 2001320 (防御)
シグネチャ名及び内容
-RIG EK HTTP Request 2
-RIG EK HTTP Request 3
-RIG EK HTTP Request 4
-RIG EK HTTP Request 5
ハッキングツールである「RIG Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001321 – 2001329 (防御)
シグネチャ名及び内容
-wget Malware Download Request 1
-wget Malware Download Request 2
-wget Malware Download Request 3
-wget Malware Download Request 4
-wget Malware Download Request 5
-wget Malware Download Request 6
-wget Malware Download Request 7
-wget Malware Download Request 8
-wget Malware Download Request 9
マルウェアをダウンロードする接続先への通信を検出するシグネチャです。
外部IPアドレスからwgetコマンドを利用してマルウェアのダウンロードサイトへアクセスした可能性があります。
アクセスに心当たりがない場合は、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000228 (検知)
シグネチャ名及び内容
-Jira Server Vulnerability search access
プロジェクト管理ツールであるJira ServerおよびJira Data Centerの脆弱性を探求するアクセスを検出するシグネチャです。
脆弱性を悪用して、リモートからコード実行される可能性があります。
Jira Serverをご利用の場合は、最新バージョンにアップデートしてください。
接続先に心当たりがない場合は、アクセス制限を行ってください。
==============================================
シグネチャID
-5000013 (検知)
シグネチャ名及び内容
-Possible EXIM DoS
メール転送ソフト「Exim」の脆弱性(CVE-2019-16928)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、リモートからroot権限でコマンドを実行される可能性があります。
Eximをご利用の場合は、最新バージョンにアップデートしてください。
接続先に心当たりがない場合は、アクセス制限を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-3000205 (検知)
シグネチャ名及び内容
-Global SMB1 Trans Command
※検出精度の向上を行いました
==============================================
シグネチャID
-1904, 2000018, 2000693 (防御)
シグネチャ名及び内容
-Imap find
-Winamp AVI File DoS
-Trickbot HTTP Request 13
※本来の目的での検知が難しいため、無効化しました
2019/10/2 sig_v229.sig シグネチャID
-2001312 (防御)
シグネチャ名及び内容
-ELECTRICFISH Session Establishment attempt
マルウェアであるELECTRICFISHのセッションの確立を試みる通信を検出するシグネチャです。
セッションが確立した場合、情報を密かに搾取される可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-2001313 – 2001314 (防御)
シグネチャ名及び内容
-Fbot download request 1
-Fbot download request 2
マルウェアであるFbotのダウンロードするときの接続先へのアクセスを検出するシグネチャです。
本マルウェアは、ボットネットを形成し、他の端末に拡散することが報告されています。
防御設定ですが、送信元のIPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001315 (防御)
シグネチャ名及び内容
-MVPower DVR Shell Command Execution 2
MVPowerデジタルビデオレコーダ(DVR)におけるリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000226 (検知)
シグネチャ名及び内容
-Mirai bot DVR download command attempt
海外製デジタルビデオレコーダ等の脆弱性を悪用し、不正プログラムのダウンロードさせようとする通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000227 (検知)
シグネチャ名及び内容
-IoT Devices Dafault Pass (Port 34567)
TCPポート34567宛に対するIoTデバイスの初期パスワードを探求する通信を検出するシグネチャです。
機器の脆弱性を悪用して、マルウェアをダウンロードし、感染させるなどの攻撃が報告されています。
接続IPアドレスに心当たりが無い場合、アクセス制限設定を見直してください。
ご利用のパスワードを初期設定から変更してください。
==============================================
シグネチャID
-5000002 (検知)
シグネチャ名及び内容
-Possible EXIM RCE Inbound
メール転送ソフト「Exim」の脆弱性(CVE-2019-15846)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、リモートからroot権限でコマンドを実行される可能性があります。
Eximをご利用の場合は、最新バージョンにアップデートしてください。
接続先に心当たりがない場合は、アクセス制限を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000003 (検知)
シグネチャ名及び内容
-Possible Exim RCE Attempt Inbound
メール転送ソフト「Exim」の脆弱性(CVE-2019-10149)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、リモートからroot権限でコマンドを実行される可能性があります。
Eximをご利用の場合は、最新バージョンにアップデートしてください。
接続先に心当たりがない場合は、アクセス制限を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000004 (検知)
シグネチャ名及び内容
-HiSilicon DVR Buffer Overflow in Builtin Web Server
HiSilicon DVRデバイスに対するバッファオーバーフローの脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000005 (検知)
シグネチャ名及び内容
-HiSilicon DVR Application Credential Disclosure
HiSilicon DVRデバイスの証明書・パスワードの管理に関する脆弱性(CVE-2018-9995)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000006 (検知)
シグネチャ名及び内容
-HiSilicon DVR Default Telnet Root Password Inbound
HiSilicon DVRデバイスの初期パスワードでログインを試みるときの通信を検出するシグネチャです。
本デバイスを利用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
初期パスワードのままで運用している場合は、パスワードの変更を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000007 (検知)
シグネチャ名及び内容
-HiSilicon DVR Default Application Backdoor Password
HiSilicon DVRデバイスに対するハッキング可能な脆弱性を悪用した初期パスワードでのアプリケーションコンソールへのアクセスを検出するシグネチャです。
本デバイスを利用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
初期パスワードのままで運用している場合は、パスワードの変更を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000008 (検知)
シグネチャ名及び内容
-FortiOS SSL VPN – Information Disclosure
Fortinet社のFortiOSのパストラバーサルの脆弱性(CVE-2018-13379)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、攻撃者により情報を搾取される可能性があります。
FortiOSを最新バージョンに更新してください。
また、送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000009 (検知)
シグネチャ名及び内容
-FortiOS SSL VPN – Pre-Auth Messages Payload Buffer Overflow
Fortinet社のFortiOSのバッファエラーの脆弱性(CVE-2018-13381)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、攻撃者によりサービス運用妨害(DoS)状態にされる可能性があります。
FortiOSを最新バージョンに更新してください。
また、送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000010 (検知)
シグネチャ名及び内容
-FortiOS SSL VPN – Remote Code Execution
Fortinet社のFortiOSのバッファエラーの脆弱性(CVE-2018-13383)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、攻撃者によりサービス運用妨害(DoS)状態にされる可能性があります。
FortiOSを最新バージョンに更新してください。
また、送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000011 (検知)
シグネチャ名及び内容
-FortiOS SSL VPN – Improper Authorization Vulnerability
Fortinet社のFortiOSの不適切な認証の脆弱性(CVE-2018-13382)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、攻撃者により情報を搾取される可能性があります。
FortiOSを最新バージョンに更新してください。
また、送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000012 (検知)
シグネチャ名及び内容
-Pulse Secure SSL VPN – Arbitrary File Read
Pulse Secure社のPulse Connect SecureのSSL VPNの脆弱性(CVE-2019-11510)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、任意のファイルを読み取り、認証情報などの機微な情報を取得される可能性があります。
最新バージョンに更新してください。
また、送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-2000342 – 2000344 (検知)
シグネチャ名及び内容
-Global Port 3389 Detect (RDP)
-Global Port 3306 Detect (MySQL)
-Global Port 1433 Detect (MSSQL)
-Port 2323 Detect (Telnet)
-Port 843 Detect (Flash)
-Port 1935 Detect (Flash RTMP)
-Port 4786 Detect (Cisco IOS)
-Port 22 Detect (SSH)
-Port 23 Detect (Telnet)
-Port 37777 Detect (Dahua DVR)
-Port 23123 Detect (Telnet)
-Port 2222 Detect (SSH)
※検出精度の向上を行いました
==============================================
シグネチャID
-2000342 – 2000344, 1000023, 1003283 – 1003284 ,9000020 – 9000021
3000082, 3000084 – 3000089, 3000091 – 3000095 (検知)
-2000251, 2000338 – 2000340, 2000351, 2000378, 2000399, 2000421
2000473 – 2000480, 2000521, 2000601, 2000670, 2000741, 2000818
2000931, 2001004, 2001049, 2100008, 3000081 (防御)
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
-Old Java Version (1.7.0_xx)
-Old Java Version (1.6.0_xx)
-PacketiX VPN
-Teamviewer 1
-Teamviewer 2
-POLICY VNC
-POLICY pcAnywhere
-RegClean Pro Buy
-hao123 Search
-babylon Search
-Kingsoft Security Connection
-Kingsoft Security Update 1
-Ask Toolbar download
-Ask.com Search
-Advanced System Protector Update 1
-Advanced System Protector Update 2
-Ask Toolbar Update 1
-Ask Toolbar Update 2
-Kingsoft Security Update 2
-Baidu update Block 1
-Old Adobe Flash Request (1x.x.x.x : IE)
-Old Adobe Flash Request (20.x.x.x : IE)
-QuickTime for Windows (Support Expired)
-Old Adobe Flash Request (21.x.x.x : IE)
-Old Adobe Flash Request (22.x.x.x : IE)
-Reimage Connection
-Old Adobe Flash Request (23.x.x.x : IE)
-BaiduIME HTTP Request 1
-BaiduIME HTTP Request 4
-BaiduIME HTTP Request 5
-BaiduIME HTTP Request 6
-BaiduIME HTTP Request 7
-BaiduIME HTTP Request 8
-BaiduIME Block SSL
-BaiduIME Block SSL Proxy
-Old Adobe Flash Request (24.x.x.x : IE)
-Old Adobe Flash Request (25.x.x.x : IE)
-Old Adobe Flash Request (26.x.x.x : IE)
-Old Adobe Flash Request (27.x.x.x : IE)
-Old Adobe Flash Request (28.x.x.x : IE)
-Old Adobe Flash Request (29.x.x.x : IE)
-Old Adobe Flash Request (30.x.x.x : IE)
-Old Adobe Flash Request (31.x.x.x : IE)
-GOM Player Update
-RegClean Pro Connection
※危険な攻撃の優先度を変更しました
上記シグネチャは、危険な攻撃として検出されるように変更しております
※Old Java Version (1.8.0_xx)シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-2001211, 2001213 (防御)
シグネチャ名及び内容
-BEBLOH SSL PNG Download 2
-BEBLOH HTTP PNG Download 2
※本来の目的での検知が難しいため、無効化しました
2019/9/12 sig_v228.sig シグネチャID
-2001308 (防御)
シグネチャ名及び内容
-Amazon Phishing Redirect URL HTTP Request 1
Amazonを装ったメールURLからリダイレクトされたフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2001309 (防御)
シグネチャ名及び内容
-Apple Phishing Redirect URL HTTP Request 1
Appleを装ったメールURLからリダイレクトされたフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2001310 – 2001311 (防御)
シグネチャ名及び内容
-Japan nenkin Phishing URL SSL Request 1
-Japan nenkin Phishing URL SSL Request 2
日本年金機構を装ったフィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLをクリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-3000222 (検知)
シグネチャ名及び内容
-D-Link Vulnerability search access
D-Link製デバイスにおける複数の脆弱性を狙ったアクセスを検出するシグネチャです。
脆弱性を悪用して、リモートの攻撃者にシステム上のファイルを閲覧される可能性があります。
D-Link社製のルータ等を利用している場合は、ファームウェアを最新バージョンにアップデートしてください。
==============================================
シグネチャID
-3000223 (検知)
シグネチャ名及び内容
-Hadoop YARN ResourceManager search access
Hadoop YARN ResourceManagerの脆弱性を突く攻撃を検出するシグネチャです。
脆弱性を悪用して、攻撃者から任意のコードが実行される可能性があります。
Hadoopを利用している場合は、最新バージョンにアップデートしてください。
==============================================
シグネチャID
-3000224 (検知)
シグネチャ名及び内容
-ThinkPHP RCE search access
中国で利用されているWebアプリケーションフレームワークの「ThinkPHP」の脆弱性を標的としたアクセスを検出するシグネチャです。
脆弱性を悪用して、マルウェアであるMiraiの亜種に感染させてボット化させることが報告されています。
送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000225 (検知)
シグネチャ名及び内容
-Webmin Vulnerability search access
ウェブベースのシステム管理ツール「Webmin」の脆弱性(CVE-2019-15107)を標的としたアクセスを検出するシグネチャです。
脆弱性を悪用して、リモートから任意のコマンドを実行される可能性があります。
Webminを利用している場合は、最新のバージョンにアップデートしてください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-2000342 – 2000344 (検知)
シグネチャ名及び内容
-Old Java Version (1.8.0_xx)
-Old Java Version (1.7.0_xx)
-Old Java Version (1.6.0_xx)
※検出精度の向上、危険な攻撃の優先度を変更しました
==============================================
シグネチャID
-2000251, 2000338, 2000339, 2000340, 2000351, 2000378, 2000399
2000421, 2000473, 2000474, 2000475, 2000476, 2000477, 2000478
2000479, 2000480, 2000521, 2000601, 2000670, 2000741, 2000818
2000931, 2001004, 2001049, 2100008, 3000081 (防御)
-1000023, 1003163, 1003164, 1003165, 1003283, 1003284, 9000020
9000021, 3000082, 3000084, 3000085, 3000086, 3000087, 3000088
3000089, 3000091, 3000092, 3000093, 3000094, 3000095, 3000216 (検知)
シグネチャ名及び内容
-Baidu update Block 1
-Old Adobe Flash Request (1x.x.x.x : IE)
-Old Adobe Flash Request (20.x.x.x : IE)
-QuickTime for Windows (Support Expired)
-Old Adobe Flash Request (21.x.x.x : IE)
-Old Adobe Flash Request (22.x.x.x : IE)
-Reimage Connection
-Old Adobe Flash Request (23.x.x.x : IE)
-BaiduIME HTTP Request 1
-BaiduIME HTTP Request 4
-BaiduIME HTTP Request 5
-BaiduIME HTTP Request 6
-BaiduIME HTTP Request 7
-BaiduIME HTTP Request 8
-BaiduIME Block SSL
-BaiduIME Block SSL Proxy
-Old Adobe Flash Request (24.x.x.x : IE)
-Old Adobe Flash Request (25.x.x.x : IE)
-Old Adobe Flash Request (26.x.x.x : IE)
-Old Adobe Flash Request (27.x.x.x : IE)
-Old Adobe Flash Request (28.x.x.x : IE)
-Old Adobe Flash Request (29.x.x.x : IE)
-Old Adobe Flash Request (30.x.x.x : IE)
-Old Adobe Flash Request (31.x.x.x : IE)
-GOM Player Update
-RegClean Pro Connection
-PacketiX VPN
-P2P Skype client login
-P2P Skype client login startup
-P2P Skype client login startup 1
-Teamviewer 1
-Teamviewer 2
-POLICY VNC
-POLICY pcAnywhere
-RegClean Pro Buy
-hao123 Search
-babylon Search
-Kingsoft Security Connection
-Kingsoft Security Update 1
-Ask Toolbar download
-Ask.com Search
-Advanced System Protector Update 1
-Advanced System Protector Update 2
-Ask Toolbar Update 1
-Ask Toolbar Update 2
-Kingsoft Security Update 2
-Fukuoka Univ. NTP Access
※危険な攻撃の優先度を変更しました
2019/8/21 sig_v227.sig シグネチャID
-2001285 – 2001286 (防御)
シグネチャ名及び内容
-Setag HTTP Request
-Setag SSL Request
バックドア型マルウェアである「Seteg/BillGates」感染時の通信を検出するシグネチャです。
インターネットからElasticsearchにアクセス可能な場合 、脆弱なまたは安全でないサーバを検索し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
Elasticsearchの適切な設定を行い、最新の修正プログラムを適用してください。
==============================================
シグネチャID
-2001287 – 2001288 (防御)
シグネチャ名及び内容
-Grandsoft EK HTTP Request 1
-Grandsoft EK HTTP Request 2
ハッキングツールである「Grandsoft Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001289 – 2001290 (防御)
シグネチャ名及び内容
-Fallout EK HTTP Request 1
-Fallout EK HTTP Request 2
ハッキングツールである「Fallout Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001291 – 2001293 (防御)
シグネチャ名及び内容
-Spelevo EK HTTP Request 1
-Spelevo EK HTTP Request 2
-Spelevo EK HTTP Request 3
ハッキングツールである「Spelevo Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001294 – 2001295 (防御)
シグネチャ名及び内容
-Underminer EK HTTP Request 1
-Underminer EK HTTP Request 2
ハッキングツールである「Underminer Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001296 – 2001297 (防御)
シグネチャ名及び内容
-Magnitude EK HTTP Request 1
-Magnitude EK HTTP Request 2
ハッキングツールである「Magnitude Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001298 (防御)
シグネチャ名及び内容
-RIG EK HTTP Request 1
ハッキングツールである「RIG Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001299 – 2001302 (防御)
シグネチャ名及び内容
-Greenflash Sundown EK HTTP Request 1
-Greenflash Sundown EK HTTP Request 2
-Greenflash Sundown EK HTTP Request 3
-Greenflash Sundown EK HTTP Request 4
ハッキングツールである「Greenflash Sundown Exploit Kit」の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001303 – 2001304 (防御)
シグネチャ名及び内容
-ShadowGate HTTP Request 1
-ShadowGate HTTP Request 2
サイバー攻撃キャンペーン「ShadowGate」の活動通信を検出するシグネチャです。
エクスプロイトキットを利用して仮想通貨発掘ツールを拡散することが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001305 – 2001307 (防御)
シグネチャ名及び内容
-HookAds HTTP Request 1
-HookAds HTTP Request 2
-HookAds HTTP Request 3
HookAdsと呼ばれる悪意ある広告攻撃の通信を検出するシグネチャです。
既知の脆弱性を悪用し、仮想通貨発掘マルウェアやランサムウェアをダウンロードすることが報告されています。
利用しているソフトは最新バージョンにアップデートを行い、最新の修正プログラムを適用してください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2000791, 2000793, 2000795, 2000797, 2000799, 2000801, 2000803, 2000805
2000807, 2000809, 2000811, 2000813, 2000815, 2000935, 2000937, 2001187
2001190, 2001193, 2001196, 2001199, 2001202, 2001205, 2001208 (防御)
シグネチャ名及び内容
-Web-Miner(coinimp) access 1 with proxy
-Web-Miner(coinimp) access 2 with proxy
-Web-Miner(coinimp) access 3 with proxy
-Web-Miner(coinimp) access 4 with proxy
-Web-Miner(coinimp) access 5 with proxy
-Web-Miner(Crypto-Loot) access 2 with proxy
-Web-Miner(Minr) access 1 with proxy
-Web-Miner(Minr) access 2 with proxy
-Web-Miner(Minr) access 3 with proxy
-Web-Miner(Minr) access 4 with proxy
-Web-Miner(Minr) access 5 with proxy
-Web-Miner(Minr) access 6 with proxy
-Web-Miner(Coin-service) access 1 with proxy
-Web-Miner(Coinhive) access 1 with proxy
-Web-Miner(Coinhive) access 2 with proxy
-GhostDNS C2 Domain Connect 1 SSL Proxy
-GhostDNS C2 Domain Connect 2 SSL Proxy
-GhostDNS C2 Domain Connect 3 SSL Proxy
-GhostDNS C2 Domain Connect 4 SSL Proxy
-GhostDNS C2 Domain Connect 5 SSL Proxy
-GhostDNS C2 Domain Connect 6 SSL Proxy
-GhostDNS C2 Domain Connect 7 SSL Proxy
-GhostDNS C2 Domain Connect 8 SSL Proxy
※説明文の変更を行いました
==============================================
シグネチャID
-2001272 (防御)
-3000216 (検知)
シグネチャ名及び内容
-ECShop SQL Injection
-Fukuoka Univ. NTP Access
※シグネチャのカテゴリ分類を見直しました
==============================================
シグネチャID
-3000139 – 3000141, 2000310, 3000151 – 3000154, 3000166 – 3000170 (検知)
シグネチャ名及び内容
-Lenovo Feedback 4 SSL
-Lenovo Feedback 4 SSL Proxy
-Lenovo Feedback 4 HTTP
-Lenovo Feedback 4 DNS
-Browser IE6 Detect
-Browser IE7 Detect (XP)
-Browser IE8 Detect (XP)
-Browser IE9 Detect (Vista)
-Browser IE10 Detect (Win7)
-Browser IE7 Detect (Vista)
-Browser IE8 Detect (Vista)
-Browser IE8 Detect (Win7)
-Browser IE9 Detect (Win7)
-Browser IE10 Detect (Win8)
※本来の目的での検知が難しいため、無効化しました
2019/7/31 sig_v226.sig シグネチャID
-2001279 – 2001282 (防御)
シグネチャ名及び内容
-Malware shortcut file download request 1
-Malware shortcut file download request 2
-Malware shortcut file download request 3
-Malware shortcut file download request 4
マルウェアが含まれたショートカットファイルをダウンロードする際の通信を検出するシグネチャです。
マルウェアに感染した場合、攻撃者が感染端末の情報を搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001283 – 2001284 (防御)
シグネチャ名及び内容
-IoT Malware Download Request 1
-IoT Malware Download Request 2
IoT機器を標的としたマルウェアのダウンロード通信を検出するシグネチャです。
感染した場合、IoT機器を使用不能にする破壊活動が報告されています。
IoT機器のファームウェアを最新バージョンにアップデートして運用してください。
==============================================
シグネチャID
-3000220 (検知)
シグネチャ名及び内容
-Mirai bot download access 1
外部サーバから宛先ポート5500/TCPに対する不正プログラムのダウンロードおよび実行を試みるアクセスを検知するシグネチャです。
ダウンロードおよび実行が成功した場合、Miraiボットに感染する可能性があります。
受信先IPアドレスの端末のウイルスチェックを行ってください。
また送信元IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
==============================================
シグネチャID
-3000221 (検知)
シグネチャ名及び内容
-Mirai bot download access 2
外部サーバから宛先ポート60001/TCPに対する不正プログラムのダウンロードおよび実行を試みるアクセスを検知するシグネチャです。
ダウンロードおよび実行が成功した場合、Miraiボットに感染する可能性があります。
受信先IPアドレスの端末のウイルスチェックを行ってください。
また送信元IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
==============================================
シグネチャID
-2000480, 2000706, 2000730, 2000732, 2000734, 2000775, 2000779, 2001037 (防御)
2000506 – 2000507, 2000606, 2000608, 2000610, 2000612, 2000614
-2000626 – 2000628, 2000630, 2000736, 2000738, 2000740, 3000129, 3000140, 3000172 (検知)
シグネチャ名及び内容
-BaiduIME Block SSL Proxy
-CoinHive SSL Request Proxy
-Web-Miner(ppoi) access with proxy
-Web-Miner(Crypto-Loot) access with proxy
-Web-Miner(coinlab) access with proxy
-MEXT Phishing SSL Proxy request 1
-MEXT Phishing SSL Proxy request 2
-Web-Miner(xxgasm) access with proxy
-Dropbox SSL Request Proxy 1
-Dropbox SSL Request Proxy 2
-Box SSL Request Proxy 1
-Box SSL Request Proxy 2
-Box SSL Request Proxy 3
-Box SSL Request Proxy 4
-Yahoo Box SSL Request Proxy 1
-MS Skype SSL Request Proxy 1
-MS Skype SSL Request Proxy 2
-MS Skype SSL Request Proxy 3
-Evernote SSL Request Proxy 1
-bitcoin exchange(coincheck) access with proxy
-bitcoin exchange(zaif) access with proxy
-bitcoin exchange(bitflyer) access with proxy
-LINE SSL Client Request Proxy 1
-Lenovo Feedback 4 SSL Proxy
-SKYSEA Client View External connection Proxy
※説明文の変更を行いました
==============================================
シグネチャID
-527, 9003025 – 9003026 (検知)
シグネチャ名及び内容
-Traffic with same source/dest
-Winmx_file_down
-Winmx_up_down
※本来の目的での検知が難しいため、無効化しました
2019/7/11 sig_v225.sig シグネチャID
-2001266 – 2001267 (防御)
シグネチャ名及び内容
-Fake Site Domain Connect 1 HTTP
-Fake Site Domain Connect 1 SSL
クレジットカード等のログインページの偽サイト(フィッシングサイト)で利用されているドメインへの接続を検知するシグネチャです。
送信元IPアドレスの端末がフィッシングサイトにアクセスした可能性があります。
個人情報を入力して送信すると、情報を搾取される可能性があります。
防御設定の場合は問題はありません。
検知された直前にアクセスしたサイトやURLが、フィッシングサイトに誘導するよう改変されている可能性が有りますので、注意してください。
==============================================
シグネチャID
-2001268 (防御)
シグネチャ名及び内容
-Fake Site Domain Connect 1 SSL Proxy
プロキシ環境下の端末でクレジットカード等のログインページの偽サイト(フィッシングサイト)で利用されているドメインへの接続を検知するシグネチャです。
送信元IPアドレスの端末がフィッシングサイトにアクセスした可能性があります。
個人情報を入力して送信すると、情報を搾取される可能性があります。
防御設定の場合は問題はありません。
検知された直前にアクセスしたサイトやURLが、フィッシングサイトに誘導するよう改変されている可能性が有りますので、注意してください。
==============================================
シグネチャID
-2001269 – 2001271 (防御)
シグネチャ名及び内容
-Fake Site IP Request 1
-Fake Site IP Request 2
-Fake Site IP Request 3
クレジットカード等のログインページの偽サイト(フィッシングサイト)で利用されているIPアドレスへの接続を検知するシグネチャです。
送信元IPアドレスの端末がフィッシングサイトにアクセスした可能性があります。
個人情報を入力して送信すると、情報を搾取される可能性があります。
防御設定の場合は問題はありません。
検知された直前にアクセスしたサイトやURLが、フィッシングサイトに誘導するよう改変されている可能性が有りますので、注意してください。
==============================================
シグネチャID
-2001272 (防御)
シグネチャ名及び内容
-ECShop SQL Injection
ECサイトを狙った攻撃ツールの通信を検知するシグネチャです。
送信元IPアドレスの端末が、受信先IPアドレスのWebサイトに向けて、攻撃ツールを用いてSQLインジェクション攻撃を行おうとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001273 – 2001275 (防御)
シグネチャ名及び内容
-FakeSpy C&C Connect 1
-FakeSpy C&C Connect 2
-FakeSpy C&C Connect 3
不正アプリである「FAKESPY」感染時のC&Cサーバへの接続を検出するシグネチャです。
不正なアプリがダウンロードされ、個人情報等が搾取される可能性があります。
心当たりがないアプリがある場合は、アンインストールしてください。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001276 (防御)
シグネチャ名及び内容
-Web-Miner(coinnebula) access
ブラウザ上で仮想通貨の採掘(マイニング)を行うツールを提供しているサイトへのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
また、採掘コード以外にも不正なコードが含まれている可能性があります。
サイトの閲覧を中止し、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001277 (防御)
シグネチャ名及び内容
-Web-Miner(coinnebula) access with proxy
プロキシ環境下の端末でブラウザ上で仮想通貨の採掘(マイニング)を行うツールを提供しているサイトへのアクセスを検知するシグネチャです。
送信元IPアドレスの端末が、ブラウザ上でマイニングを行うサービスへのサイトにアクセスした可能性や、このサイトのツールを用いてマイニングを実行された場合、端末の処理速度が低下する可能性があります。
また、採掘コード以外にも不正なコードが含まれている可能性があります。
サイトの閲覧を中止し、端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001278 (防御)
シグネチャ名及び内容
-PCASTLE Module Download Request
仮想通貨Moneroを発掘するマルウェア「PCASTLE」のダウンロードする通信を検出するシグネチャです。
送信元IPアドレスの端末が、不正な仮想通貨採掘活動に利用される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000216 (検知)
シグネチャ名及び内容
-Fukuoka Univ. NTP Access
福岡大学のNTPサーバ(時刻同期サーバ)へ接続を行おうとしたことを検知するシグネチャです。
送信元IPアドレスの端末やネットワーク機器において、福岡大学の公開NTPサーバ(133.100.9.2)を利用する設定になっています。
福岡大学の公開NTPサーバは将来的にサービスを停止することが案内されており、かつ福岡大学のトラフィックを圧迫している事から、他のNTPサーバへの設定変更が推奨されています。
送信元IPアドレスの端末やネットワーク機器の時刻同期設定(NTPサーバ設定)を変更し、他のNTPサーバを参照するように設定を行ってください。
==============================================
シグネチャID
-3000217 (検知)
シグネチャ名及び内容
-Rejetto HttpFileServer command injection
HTTPファイルサーバ「Rejetto」のリモートコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、細工したHTTPリクエストを送信することにより、任意のコード実行が可能になります。
利用しているRejettoのバージョンを最新版にアップデートしてください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-3000218 (検知)
シグネチャ名及び内容
-Tomcat file upload request (CVE-2017-12615)
Apache Tomcatの脆弱性(CVE-2017-12615)を悪用したファイルアップデートの通信を検出するシグネチャです。
脆弱性を悪用して、特別に細工したHTTP PUTリクエストを送信して、JSPファイルをアップロードすることにより、サーバで任意のコードを実行することが可能になります。
受信先IPアドレスの端末に見覚えのないJSPファイルがある場合は、削除してください。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000219 (検知)
シグネチャ名及び内容
-ThinkPHP Payload Download Execution
中国で利用されているWebアプリケーションフレームワークの「ThinkPHP」のリモートからコード実行可能な脆弱性を攻撃する際のペイロードのダウンロード通信を検出するシグネチャです。
脆弱性を悪用して、マルウェアやワームに感染させることが報告されています。
送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000173 (検知)
シグネチャ名及び内容
-Global RDP login attempt
※検出精度の向上を行いました
==============================================
シグネチャID
-3000108 (検知)
シグネチャ名及び内容
-Other ping
※本来の目的での検知が難しいため、無効化しました
2019/6/12 sig_v224.sig シグネチャID
-2001233 (防御)
シグネチャ名及び内容
-Infected WordPress config file URL
WordPressの設定ファイルを改ざんし、マルウェアに感染させようとする通信を検知するシグネチャです。
送信元IPアドレスの端末・サーバが、改ざんされたサーバの影響を受けている可能性があります。
送信元IPアドレスの端末・サーバのウイルスチェックを行い、アクセスしたサイトの安全性を確認してください。
==============================================
シグネチャID
-2001234 – 2001235 (防御)
シグネチャ名及び内容
-Word Macro Malware URL Connect 22
-Word Macro Malware URL Connect 23
メールに添付されているマクロ付きWordファイルのマルウェアがアクセスするURLへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がマルウェアであるマクロ付きのWordファイルを開き、不審なURLへアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-2001236 (防御)
シグネチャ名及び内容
-Fake google search SSL Request
Google検索利用時の偽当選通知のページへのアクセスを検出するシグネチャです。
偽の当選ページを表示させ、クレジットカード情報等を搾取することが報告されています。
遮断しているため、問題ありませんが表示された場合は、個人情報は入力しないようにしてください。
==============================================
シグネチャID
-2001237 – 2001265 (防御)
シグネチャ名及び内容
-Tech Support Scam HTTP access 1 ~ 29
ユーザのブラウザを操作不能にするサポート詐欺活動で利用される偽のサポートページへのアクセスを検出するシグネチャです。
ポップアップが繰り返し表示し、ブラウザを操作不能にすることが報告されています。
遮断された場合は問題ありませんが、ページが表示された場合、ポップアップで煽ってくるページが表示されるため、タスクマネージャ等で強制終了してください。
==============================================
シグネチャID
-3000205 (検知)
シグネチャ名及び内容
-Global SMB1 Trans Command
グローバルIPから、SMBv1にて接続開始しようとした通信を検知するシグネチャです。
送信元のグローバルIPアドレスから、受信先IPアドレスに向けて、古いバージョンのWindowsファイル共有方式であるSMBv1の接続を開始しようとしました。
一般的に、Windowsファイル共有をグローバルIPアドレスにも許可することはほとんどないため、ネットワーク機器やサーバのファイアウォール設定を見直してください。
また、SMBv1はWindows XPまでの世代で利用された古い接続方式です。
多くの脆弱性が報告されているSMBv1を無効化する設定をされることをお勧めします。
==============================================
シグネチャID
-3000206 (検知)
シグネチャ名及び内容
-CCTV-DVR Remote Code Execution
複数のCCTV-DVRベンダに対するリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000207 (検知)
シグネチャ名及び内容
-UPnP SOAP TelnetD Command Execution
D-Link製デバイスにおけるUPnP SOAPコマンド実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000208 (検知)
シグネチャ名及び内容
-Eir WAN Side Remote Command Injection
Eir製ルータのWAN側におけるリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000209 (検知)
シグネチャ名及び内容
-Netgear setup.cgi Remote Code Execution
Netgear DGN1000デバイスを狙ったリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000210 (検知)
シグネチャ名及び内容
-MVPower DVR Shell Command Execution
MVPowerデジタルビデオレコーダ(DVR)におけるリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000211 (検知)
シグネチャ名及び内容
-Vacron NVR Remote Code Execution
「Vacron」製ネットワークビデオレコーダー(NVR)デバイスに対するリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000212 – 3000215 (検知)
シグネチャ名及び内容
-Linksys Remote Code Execution 1
-Linksys Remote Code Execution 2
-Linksys Remote Code Execution 3
-Linksys Remote Code Execution 4
Linksys Eシリーズルータに対するリモートでコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェア「Mirai」の亜種に感染させる活動が報告されています。
受信先IoT機器のファームウェアのバージョンを確認していただき、常に最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2000403 (防御)
シグネチャ名及び内容
-SOAP RCE exploit
※本来の目的での検知が難しいため、無効化しました。
2019/5/29 sig_v223.sig シグネチャID
-2001229 (防御)
シグネチャ名及び内容
-Trickbot HTTP Request 14
マルウェアである「Trickbot」で利用される偽ログインページへのアクセスを検出するシグネチャです。
Trickbotは、偽ログインページに誘導して、認証情報を盗み取ることが報告されています。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001230 (防御)
シグネチャ名及び内容
-Mirai bot C&C Connect
DDoS攻撃に利用されるマルウェアMiraiの亜種が感染後にアクセスするC2サーバへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がMiraiの亜種に感染し、外部のC2サーバにアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001231 – 2001232 (防御)
シグネチャ名及び内容
-Mirai bot Download Connect 1
-Mirai bot Download Connect 2
DDoS攻撃に利用されるマルウェアMiraiの亜種をダウンロードする接続先へのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がMiraiのダウンロード先にアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000204 (検知)
シグネチャ名及び内容
-Oracle WebLogic Server Async access
Oracle WebLogic Serverの脆弱性(CVE-2019-2725)を攻撃する通信を検出するシグネチャです。
脆弱性を悪用された場合、リモートから任意のコードを実行される可能性があります。
WebLogicサーバのバージョンを確認し、最新版にアップデートしてください。
==============================================
シグネチャID
-5000000 (検知)
シグネチャ名及び内容
-Inbound RDP Exploitation Attempt (CVE-2019-0708)
リモートデスクトップサービスの任意のコードが実行される脆弱性(CVE-2019-0708)を攻撃する通信を検出するシグネチャです。
攻撃者により、標的のシステム上で任意のプログラムやデータやアカウントの作成や操作が行われる可能性があります。
該当のIPアドレスの端末に修正プログラムを適用してください。
また、リモートデスクトップサービスを利用していない場合は無効化してください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-5000001 (検知)
シグネチャ名及び内容
-SharePoint RCE Attempt (CVE-2019-0604)
Microsoft SharePointの任意のコードが実行される脆弱性(CVE-2019-0604)を攻撃する通信を検出するシグネチャです。
攻撃者により、リモートでコードを実行される可能性があります。
該当のIPアドレスの端末に修正プログラムを適用してください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
2019/5/15 sig_v221.sig シグネチャID
-2001217 (防御)
シグネチャ名及び内容
-Fake Site URL Request
偽サイトが公開されているIPアドレスへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が公式サイトを騙った偽サイトのURLにアクセスした可能性があります。
アクセスしようとしたURLは偽物のサイトですので、誤ってアクセスしないよう注意してください。
==============================================
シグネチャID
-2001218 – 2001220 (防御)
シグネチャ名及び内容
-URSNIF HTTP Request 26
-URSNIF HTTP Request 27
-URSNIF HTTP Request 28
URSNIFのマルウェアを実行する際に使用されるURLへアクセスするときの通信を検出するシグネチャです。
URLNIFが実行されると、情報搾取機能により、送信元端末のアカウント認証情報や個人情報が搾取される可能性があります。
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001221 (防御)
シグネチャ名及び内容
-BEBLOH Malware Download
オンライン詐欺ツールであるBEBLOHをダウンロードする際の通信を検出するシグネチャです。
ダウンロードした場合、C&Cサーバへの接続を試み、他の情報を搾取するマルウェアをダウンロードする可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001222 – 2001228 (防御)
シグネチャ名及び内容
-Suspicious transfer site HTTP Request
-Suspicious transfer site SSL Request 2
-Suspicious transfer site HTTP Request 2
-Suspicious transfer site SSL Request 3
-Suspicious transfer site HTTP Request 3
-Suspicious transfer site SSL Request 4
-Suspicious transfer site HTTP Request 4
改ざんされたWebサイトから転送される不審なサイトへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が、改ざんサイトへアクセスし、不審なサイトに転送されている可能性があります。
防御設定ですが、送信元IPアドレスの端末のウイルスチェックを行ってください。
2019/4/17 sig_v221.sig シグネチャID
-2001163 – 2001184 (防御)
シグネチャ名及び内容
-GhostDNS C2 IP Connect 1 ~ 22
DNS設定を書き換えるマルウェアGhostDNSが感染後にアクセスするC2サーバへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がGhostDNSに感染し、外部のC2サーバにアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-2001185 – 2001208 (防御)
シグネチャ名及び内容
-GhostDNS C2 Domain Connect 1 ~ 8 HTTP
-GhostDNS C2 Domain Connect 1 ~ 8 SSL
-GhostDNS C2 Domain Connect 1 ~ 8 SSL Proxy
DNS設定を書き換えるマルウェアGhostDNSが感染後にアクセスするC2サーバへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がGhostDNSに感染し、外部のC2サーバにアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-2001209 – 2001210 (防御)
シグネチャ名及び内容
-GhostDNS C2 URL Connect 1
-GhostDNS C2 URL Connect 2
DNS設定を書き換えるマルウェアGhostDNSが感染後にアクセスするURLへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がGhostDNSに感染し、外部のC2サーバにアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-2001211 – 2001213 (防御)
シグネチャ名及び内容
-BEBLOH SSL PNG Download 2
-BEBLOH HTTP PNG Download
-BEBLOH HTTP PNG Download 2
オンライン詐欺ツールであるBEBLOHをダウンロードする際の通信を検出するシグネチャです。
ダウンロードした場合、C&Cサーバへの接続を試み、他の情報を搾取するマルウェアをダウンロードする可能性があります。
受信先IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001214 (防御)
シグネチャ名及び内容
-Suspicious Javascript embedded
不審なWebサイトへ転送させようとする不正コードが挿入されたJavaScriptを検出するシグネチャです。
改ざんされたページの至るところにコードを挿入させることが報告されています。
防御設定ですが、受信先IPアドレスまたは送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001215 (防御)
シグネチャ名及び内容
-Suspicious transfer site SSL Request
改ざんされたWebサイトから転送される不審なサイトへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末が、改ざんサイトへアクセスし、不審なサイトに転送されている可能性があります。
防御設定ですが、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001216 (防御)
シグネチャ名及び内容
-URLZone malware HTTP Request
マルウェアである「URLZone」感染時の通信を検出するシグネチャです。
URLZoneは他のマルウェアへ感染させることを目的としており、感染した場合、情報を搾取される可能性があります。
防御設定ですが、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000201 (検知)
シグネチャ名及び内容
-Malion5 External connection
資産管理ツール「Malion5」の外部へアクセスするときの通信を検出するシグネチャです。
本シグネチャは、検知専用であり、防御に変更した場合も遮断されない仕様となっております。
==============================================
シグネチャID
-3000202 (検知)
シグネチャ名及び内容
-Malion5 Server Request
資産管理ツール「Malion5」の中継サーバへアクセスするときの通信を検出するシグネチャです。
本シグネチャは、検知専用であり、防御に変更した場合も遮断されない仕様となっております。
==============================================
シグネチャID
-3000203 (検知)
シグネチャ名及び内容
-Internet Messaging Program access
ウェブメールクライアント「Internet Messaging Program」の脆弱性が存在する機器に対するアクセスを検出するシグネチャです。
脆弱性を悪用された場合、攻撃者によって任意のOSコマンドが実行される可能性があります。
PHPおよびIMPをご利用の場合は、PHPを最新バージョンにアップデートしてください。
また、送信元IPアドレスに心当たりがない場合は、アクセス制限等の対策を行ってください。
==============================================
シグネチャID
-2001012 – 2001018 (防御)
シグネチャ名及び内容
-Mirai bot malformed User-Agent Gemini
-Mirai bot malformed User-Agent Hakai
-Mirai bot malformed User-Agent Hello World
-Mirai bot malformed User-Agent LMAO
-Mirai bot malformed User-Agent Ronin
-Mirai bot malformed User-Agent Shinka 1
-Mirai bot malformed User-Agent Shinka 2
※検出精度の向上を行いました
==============================================
シグネチャID
-3000149 – 3000150 (検知)
シグネチャ名及び内容
-BEBLOH C&C Connect
-BEBLOH SSL PNG Download
※初期設定を検知から防御に変更しました
2019/4/3 sig_v220.sig シグネチャID
-2001087 – 2001097 (防御)
シグネチャ名及び内容
-Mirai bot malformed User-Agent Rift
-Mirai bot malformed User-Agent Yakuza
-Mirai bot malformed User-Agent Hentai
-Mirai bot malformed User-Agent Solar
-Mirai bot malformed User-Agent Shaolin
-Mirai bot malformed User-Agent Damien
-Mirai bot malformed User-Agent muhstik
-Mirai bot malformed User-Agent lessie
-Mirai bot malformed User-Agent Cakle
-Mirai bot malformed User-Agent Tsunami
-Mirai bot malformed User-Agent Yowai
Miraiの亜種による感染を試みる通信を検出するシグネチャです。
感染した場合、DDoS攻撃などに悪用される可能性があります。
一般的なWeb閲覧で利用されることはありません。
設置されているルータ等のファームウェアを最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-2001098 (防御)
シグネチャ名及び内容
-Fake Alert Redirect site access
偽警告画面を表示させるWebサイトへのアクセスを検出するシグネチャです。
改ざんされたWebサイトから不審なWebサイトへリダイレクトされたページにアクセスした可能性があります。
警告表示で、正規のサポートページを偽装し、不正なプログラムをダウンロードさせられる可能性があります。
==============================================
シグネチャID
-2001099 – 2001101 (防御)
シグネチャ名及び内容
-ASUS Live Update backdoor request 1
-ASUS Live Update backdoor request 2
-ASUS Live Update backdoor request 3
ソフトウェアである「ASUS Live Update」がバックドア化し、マルウェアを配布する接続先への通信を検出するシグネチャです。
バックドア化したASUS Live Updateを通じてマルウェアに感染する可能性があります。
ASUS Live Updateを最新にアップデートしてください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001102 – 2001141 (防御)
シグネチャ名及び内容
-Mining Malware C2 Connect 1 〜 40
仮想通貨のマイニングを行うマルウェアが制御サーバ(C2サーバ)に接続する際の通信を検出するシグネチャです。
送信元IPアドレスの端末がマルウェアに感染し、制御サーバに接続しようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施し、不正なソフトを削除してください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
==============================================
シグネチャID
-2001142 – 2001162 (防御)
シグネチャ名及び内容
-Word Macro Malware URL Connect 1 〜 21
メールに添付されているマクロ付きWordファイルのマルウェアがアクセスするURLへのアクセスを検出するシグネチャです。
送信元IPアドレスの端末がマルウェアであるマクロ付きのWordファイルを開き、不審なURLへアクセスしようとした可能性があります。
送信元IPアドレスの端末のウイルスチェックを実施してください。
==============================================
シグネチャID
-3000199 (検知)
シグネチャ名及び内容
-ThinkPHP Remote Code Execution access
中国で利用されているWebアプリケーションフレームワークの「ThinkPHP」のリモートからコード実行可能な脆弱性を攻撃する通信を検出するシグネチャです。
脆弱性を悪用して、マルウェアであるMiraiの亜種に感染させてボット化させることが報告されています。
送信元IPアドレスに心当たりがない場合は、アクセス制限を行ってください。
受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000200 (検知)
シグネチャ名及び内容
-WinRAR C2 Server Response
アーカイブツールである「WinRAR」の脆弱性を悪用した際のC&Cサーバからのレスポンスの通信を検出するシグネチャです。
C&Cサーバからマルウェアがダウンロードされることが報告されています。
受信先IPアドレスの端末のウイルスチェックを行ってください。
WinRARをご利用の場合は、最新バージョンで運用されることを推奨いたします。
==============================================
シグネチャID
-3000070, 3000151 – 3000154, 3000166 – 3000170 (検知)
シグネチャ名及び内容
-Browser IE6 Detect
-Browser IE7 Detect (XP)
-Browser IE8 Detect (XP)
-Browser IE9 Detect (Vista)
-Browser IE10 Detect (Win7)
-Browser IE7 Detect (Vista)
-Browser IE8 Detect (Vista)
-Browser IE8 Detect (Win7)
-Browser IE9 Detect (Win7)
-Browser IE10 Detect (Win8)
※検出精度の向上を行いました
2019/3/27 sig_v219.sig シグネチャID
-3000192 (検知)
シグネチャ名及び内容
-WP Cost Estimation access 1
外部IPアドレスからWordPressのプラグインである「WP Cost Estimation」
の脆弱性を狙った特定のURLへのアクセスを検出するシグネチャです。
脆弱性が悪用されると、ウェブサイトの改ざんなどの被害にあう
可能性があります。
プラグインのバージョンを最新にアップデートしてください。
また、プラグインを利用していない場合は無効化されることを推奨いたします。
==============================================
シグネチャID
-3000193 (検知)
シグネチャ名及び内容
-WP Cost Estimation access 2
外部IPアドレスからWordPressのプラグインである「WP Cost Estimation」
の脆弱性を狙った特定のURLへのアクセスを検出するシグネチャです。
脆弱性が悪用されると、脆弱なサイト上の任意のファイルを
削除される可能性があります。
プラグインのバージョンを最新にアップデートしてください。
また、プラグインを利用していない場合は無効化されることを推奨いたします。
==============================================
シグネチャID
-3000194 – 3000195 (検知)
シグネチャ名及び内容
-WP Total Donations access (CVE-2019-6703) 1
-WP Total Donations access (CVE-2019-6703) 2
外部IPアドレスからWordPressのプラグインである「Total Donations」の
脆弱性(CVE-2019-6703)を狙った特定のURLへのアクセスを
検出するシグネチャです。
脆弱性が悪用されると、ウェブサイトの改ざんなどの被害に
あう可能性があります。
プラグインのバージョンを最新にアップデートしてください。
また、プラグインを利用していない場合は無効化されることを
推奨いたします。
==============================================
シグネチャID
-3000196 (検知)
シグネチャ名及び内容
-WordPress RCE access (CVE-2019-8942)
外部IPアドレスからWordPressの脆弱性(CVE-2019-8942)を狙った
特定のURLへのアクセスを検出するシグネチャです。
脆弱性が悪用されると、リモートからコード実行が可能になり、
ウェブサイトの改ざんなどの被害にあう可能性があります。
WordPressのバージョンを最新にアップデートしてください。
==============================================
シグネチャID
-3000197 – 3000198 (検知)
シグネチャ名及び内容
-WinRAR Remote Code Execution 1
-WinRAR Remote Code Execution 2
アーカイブツールである「WinRAR」のリモートよりコード実行が
可能な脆弱性を悪用する通信を検出するシグネチャです。
WinRARにはパストラバーサルの脆弱性(CVE-2018-20250)が報告されて
おり、マルウェアへ感染する恐れがあります。
WinRARのバージョンを最新にアップデートしてください。
また、受信先IPアドレスの端末のウイルスチェックを行ってください。
2019/3/13 sig_v218.sig シグネチャID
-2001075 (防御)
シグネチャ名及び内容
-Drupal Remote Code Execution (CVE-2019-6340)
Drupal coreの脆弱性(CVE-2019-6340)を狙った攻撃通信を
検出するシグネチャです。
RESTful Web Serviceなどのモジュールを有効化している状態で
脆弱性が悪用されると、認証なしに遠隔からのコード実行が可能になります。
バージョンのアップデート、対象モジュール(RESTful Web Serviced、
JSON:API)の無効化をご検討ください。
==============================================
シグネチャID
-2001076 – 2001077 (防御)
シグネチャ名及び内容
-Chrome PDF Viewer Vulnerability Request 1
-Chrome PDF Viewer Vulnerability Request 2
Chrome PDF Viewerの情報漏えいの脆弱性のリクエスト通信を
検出するシグネチャです。
意図せずHTTPリクエストを送信している可能性があり、
情報漏えいする恐れがあります。
受信先IPアドレスに心当たりがない場合は、アクセス制限の
対策を行ってください。
また、Chromeのバージョンを最新状態で運用することを推奨いたします。
==============================================
シグネチャID
-2001078 – 2001079 (防御)
シグネチャ名及び内容
-Amazon Phishing URL HTTP Request 7
-Amazon Phishing URL HTTP Request 8
Amazonを装った偽サイトにアクセスするときの通信を
検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2001080 – 2001081 (防御)
シグネチャ名及び内容
-JP-Bank Phishing URL SSL Request 1
-JP-Bank Phishing URL SSL Request 2
ゆうちょ銀行を装った偽サイトにアクセスするときの通信を
検出するシグネチャです。
送信元IPアドレスの端末が、偽サイトにアクセスしようとしました。
情報を入力した場合、直ちにパスワード変更等の対処を行ってください。
==============================================
シグネチャID
-2001082 (防御)
シグネチャ名及び内容
-SMBC Card Phishing URL HTTP Request 1
三井住友カードを装ったクレジットカード情報や個人情報を狙った
フィッシングサイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLを
クリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード
変更等の対処を行ってください。
==============================================
シグネチャID
-2001083 – 2001084 (防御)
シグネチャ名及び内容
-VJA Card Phishing URL HTTP Request 1
-VJA Card Phishing URL HTTP Request 2
VJAグループを装ったクレジットカード情報を狙ったフィッシング
サイトへのアクセスを検出するシグネチャです。
当該IPアドレスに心当たりがない場合、フィッシング詐欺のURLを
クリックした可能性があります。
フィッシングサイトに情報を入力した場合、直ちにパスワード
変更等の対処を行ってください。
==============================================
シグネチャID
-2001085 (防御)
シグネチャ名及び内容
-Scannig Activity Malware Download
スキャン活動でダウンロードされるマルウェアの通信先を
検出するシグネチャです。
IoT機器に対してスキャン活動を行った際に、マルウェアを
ダウンロードして感染拡大させることが報告されています。
他の通信先からダウンロードされている可能性もあるため、
送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001086 (防御)
シグネチャ名及び内容
-Fake Microsoft error page
偽のMicrosoftの警告メッセージを表示し、フリーダイヤルに
電話させようとする画面の表示を検知するシグネチャです。
警告表示や音声で、パソコンが故障したと騙してフリーダイヤルに
電話させようとし、不正なソフトをインストールさせられる
可能性があります。
==============================================
シグネチャID
-3000177 (検知)
シグネチャ名及び内容
-Android Debug Bridge Scannig Activity Detect
外部IPアドレスからAndroid端末のコマンドラインツール(ADB)で
利用される5555/TCP宛のスキャン活動の通信を検出するシグネチャです。
ADBポートを介してシェルスクリプトを作成、実行されることが
報告されています。
送信元IPアドレスに心当たりがない場合は、アクセス制限の対策を
行ってください。
また、受信先IPアドレスのOSおよび該当するアプリケーションを
最新版に更新して運用されることを推奨いたします。
==============================================
シグネチャID
-3000178 – 3000181 (検知)
シグネチャ名及び内容
-tomcat manager login (root)
-tomcat manager login (admin)
-tomcat manager login (tomcat)
-tomcat manager login (manager)
Apache Tomcatの管理画面に、頻繁に使用されるユーザ名で
ログインしようとしたことを検知するシグネチャです。
受信先IPアドレスのWebサーバのTomcatにログイン試行が行われました。
連続で検出される場合は、ブルートフォース攻撃でログイン試行が
行われている可能性があります。
==============================================
シグネチャID
-3000182 – 3000191 (検知)
シグネチャ名及び内容
-Well-Known PortScan Open Response 1
-Well-Known PortScan Open Response 2
-Well-Known PortScan Open Response 3
-Well-Known PortScan Open Response 4
-Well-Known PortScan Open Response 5
-Well-Known PortScan Open Response 6
-Well-Known PortScan Open Response 7
-Well-Known PortScan Open Response 8
-Well-Known PortScan Open Response 9
-Well-Known PortScan Open Response 10
情報通信研究機構(NICT)によるポートスキャンと情報収集の
通信を検知するシグネチャです。
送信元IPアドレスのサーバにポートスキャンが行われ、
応答を返す通信を検知します。
送信元IPアドレスのサーバが外部のIPから直接応答出来る
設定になっています。
意図しないサービスが公開設定になっていないか確認してください。
特にSSH,Telnet等のメンテナンス用ポートを公開する必要がある場合は、
IPアドレスによるアクセス制限やパスワードを強固にして利用してください。
※上記シグネチャは、MC-70S,MC-56S以降の機種のみ適用されています
2019/2/27 sig_v217.sig シグネチャID
-3000173 (検知)
シグネチャ名及び内容
-Global RDP login attempt
外部IPアドレスからMicrosoft Windowsのリモートデスクトップ
サービスを利用してログインするときの通信を検出するシグネチャです。
リモートデスクトップを利用して内部へ侵入し、ランサムウェア感染等の
被害が報告されています。
送信元IPアドレスに心当たりがない場合はアクセス制限を行ってください。
また、受信先IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-3000174 – 3000175 (検知)
シグネチャ名及び内容
-Cisco test interface detected 1
-Cisco test interface detected 2
Cisco社製ルータ等における脆弱性(CVE-2014-0659)を悪用したテスト
インターフェースへのリクエストを検出するシグネチャです。
IoT機器を狙ったMiraiボットへの感染活動に利用されていることが
報告されています。
送信元IPアドレスに心当たりがない場合はアクセス制限を行ってください。
また、Cisco社製ルータ等をご利用の場合は、ファームウェアの
バージョンを最新の状態で運用されることを推奨いたします。
==============================================
シグネチャID
-3000176 (検知)
シグネチャ名及び内容
-Huawei Device command injection attempt
Huawei社製ルータのリモートからの任意のコード実行が可能となる
脆弱性(CVE-2017-17215)を悪用する通信を検出するシグネチャです。
IoT機器を狙ったMiraiボットへの感染活動に利用されていることが
報告されています。
送信元IPアドレスに心当たりがない場合はアクセス制限を行ってください。
また、Huawei社製ルータのファームウェアのバージョンを最新の状態で
運用されることを推奨いたします。
2019/2/14 sig_v216.sig シグネチャID
-2001067 – 2001068 (防御)
シグネチャ名及び内容
-GOMPlayer malvertisement request 1
-GOMPlayer malvertisement request 2
GOMPlayer終了時に表示される悪質な広告の接続先を
検出するシグネチャです。
GOMPlayer終了後にブラウザが起動し広告が表示されることが
報告されています。
パソコンが故障したといったメッセージを表示したり、
警告音を鳴らして不安感を煽り、不正なサイトに転送させたり、
マルウェアをインストールさせようとするページに転送されます。
==============================================
シグネチャID
-2001069 (防御)
シグネチャ名及び内容
-Mirai bot Yowai download request
IoT機器を狙ったマルウェア「Mirai」の亜種「Yowai」の通信を
検出するシグネチャです。
IoT機器の脆弱性を狙った攻撃が報告されており、
マルウェアに感染しDoS攻撃に利用される可能性があります。
防御設定ですが、送信元/受信先IPアドレスのIoT機器の
ファームウェアのバージョンを確認し、最新の状態で
運用されることを推奨いたします。
==============================================
シグネチャID
-2001070 – 2001072 (防御)
シグネチャ名及び内容
-GandCrab v5.1 download request 1
-GandCrab v5.1 download request 2
-GandCrab v5.1 download request 3
ランサムウェアである「GandCrab」のダウンローダーによる
通信を検出するシグネチャです。
不審なスパムメールに添付してあるURLにアクセス・添付ファイルを
開いた可能性があります。
心当たりのないメールは開かないでください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。
==============================================
シグネチャID
-2001073 – 2001074 (防御)
シグネチャ名及び内容
-Ransomware download request 1
-Ransomware download request 2
ランサムウェアのダウンローダーによる通信を
検出するシグネチャです。
不審なスパムメールに添付してあるURLにアクセス・添付ファイルを
開いた可能性があります。
心当たりのないメールは開かないでください。
また、送信元IPアドレスの端末のウイルスチェックを行ってください。