はじめに
NICTのライブネットチームでは、NICTが管理するネットワークに届く攻撃通信やメールアドレス宛に届く不審ファイルの分析など、日々のSOCオペレーションを行っています。これまでもArkimeを使ったセキュリティオペレーションの手法1やフィッシングメールのターゲットの傾向分析2、Emotetの観測状況3 4などをブログで紹介してきました。今回はNICTに届いたメールに添付された不審なファイルの分析に焦点を当てて、NICTで利用している環境を紹介します。
[Read More]フィッシングメールのターゲットを傾向分析してみた
はじめに
著名な人や役職のある人ほど機密情報を保有している可能性が高くフィッシングやマルウェア感染を狙うメールが送信されるなど、攻撃の対象となりやすいと以前から言われていますが本当にその傾向はあるのでしょうか?本ブログでは、実際にNICT職員宛のフィッシングメールを集計し、攻撃対象となった職員を役職有無や勤務年数別に分けて受信件数を分析してみました。なお、調査対象期間のデータは、約1か月(2022/3/28-2022/5/1)となります。
[Read More]NICTに届いたEmotetへの感染を狙ったメール(2021年12月~2022年2月)
はじめに
2021年11月中旬以降,日本国内において Emotet と呼ばれるマルウェアの活動再開が確認されており,独立行政法人情報処理推進機構(IPA)や一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)が Emotet の活動再開に関する注意1 2 を呼びかけています. 本ブログでは,2021年12月から2022年2月にかけて,我々が観測した Emotet への感染を狙ったメール(以降,Emotet メール)ついて分析した結果を紹介します.
[Read More]VBScript を埋め込んだ RTF ファイルを用いたマルスパムキャンペーン
はじめに
2021年4月頃から、細工した RTF ファイルを使って WarzoneRAT、AgentTesla、SnakeKeylogger、NanoCore、Remcos への感染を狙うキャンペーンを確認しています。 このキャンペーンは、細工された RTF ファイルをメールに添付して配信しており、以下の特徴が見られます。
[Read More]Emotetに便乗するマルウェア(Zloader,IcedID,Agent Tesla)
Emotet に便乗するマルウェアを確認
NICT では,2020年10月から Emotet への感染を狙ったメールが減少し,Emotet と入れ替わるように,10月中旬から Emotet に便乗したマルウェアの感染を狙ったメール(以降,Emotet 便乗型メール)を観測しました.
[Read More]NICTに届いたEmotetへの感染を狙ったメール(2020年7月~9月)
はじめに
2020年7月中旬以降,日本国内において Emotet と呼ばれるマルウェアの活動再開が確認されており,独立行政法人情報処理推進機構(IPA)や一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)が Emotet の活動再開に関する注意1 2 3を呼びかけています.
[Read More]NICTに届いたEmotetへの感染を狙ったメール(2019年9月~2020年2月)
はじめに
2019年9月以降,日本国内において Emotet と呼ばれるマルウェアの感染報告が多数上がっており,独立行政法人情報処理推進機構(IPA)や一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)が Emotet に関する注意喚起1 2 3を発信しています.
[Read More]