にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

ウイルス付メール(ばらまきメール)情報をまとめたシートを作ってみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

さてさてさて。

最近、、、というかここ1、2ヶ月くらいウイルス付メール(ばらまきメール)の注意喚起が増えている気がします。

自称セキュリティウォッチャーの僕としては、

注意喚起情報や実際にメールが届いた方のTweetを見ることが増えたな、と感じています。

 

まず現状、ウイルス付メール(ばらまきメール)の注意喚起情報をいち早く得るならココがオススメです。

注意情報|一般財団法人日本サイバー犯罪対策センター

情報提供|一般財団法人日本サイバー犯罪対策センター

 

その他にも、コチラ↓や

blogs.yahoo.co.jp

 

コチラ↓

セキュリティ情報アーカイブ - 情報基盤センターからのお知らせ

 

Twitterでの注意喚起情報ではコチラ↓

内閣サイバー(注意・警戒情報) (@nisc_forecast) | Twitter

警視庁サイバーセキュリティ対策本部 (@MPD_cybersec) | Twitter

NISC内閣サイバーセキュリティセンター (@cas_nisc) | Twitter

フィッシング対策協議会 (@antiphishing_jp) | Twitter

電気通信大学情報基盤センター (@itc_uec) | Twitter

東工大CERT (@T2CERT) | Twitter

C-csirt (@CCsirt) | Twitter

 

上記情報は参考になるかと思いますので、ぜひウォッチする際には活用してみてください。

 

ここまでの内容でも、ウイルス付メール(ばらまきメール)の情報を得ることはできるとは思うのですが、セキュリティクラスタの方々のTweet等をウォッチしていると、

例えば、メールの本文に記載のある不審なリンク先URL情報であったり、マルウェアダウンローダのHash値、実際のマルウェアのHash値…等がつぶやかれていることをよく見かけます。

 

僕はふと、これらの情報をひとつにまとめたいな、と感じてしまいました。

※僕は仕事でSOCアナリストをしているので、こういった情報が監視等に実は非常に役に立っているということもあるんですけどね。。。

 

 

と、前置きはここまでにして実際に僕が作成したシートはコチラになります。

 

goo.gl

 

※現状コチラのシートの共有範囲は『リンク先を知っている全員が閲覧可』という設定にしております

※情報をまとめだしたのが2017年11月6日からですので、それ以前の情報は記載しておりません

※あくまでも、僕が収集できた情報のみ、となっておりますのでご了承ください

※定期的に更新はしていく予定です 

 

シートの各列の説明は以下のとおりです。

※2018年2月23日に一部を修正しました

 <修正箇所>
マルウェアの【Hash値(SHA-256)】の列を追加
・不審なリンク先URLからDLされるファイルorメールに添付されているファイルの【Hash値(SHA-1)】の列を削除

 

▼日付

実際にばらまかれた日付です。主にJC3で注意喚起された日付をあてはめています。

▼件名

ばらまかれたメールの件名です。

▼送信元メールアドレス

ばらまかれたメールの宛先メールアドレスです。

▼メール記載 不審なリンク先URL

ばらまかれたメール内に記載されている不審なファイルをダウンロード(以下DL)させるURL情報です。

メールを開封しても、このURLへのアクセスがなければ、問題はないと思います。

不審なファイルが添付されているメールの場合は『添付』とシートには記載しています。

▼不審なリンク先URLからDLされるファイル or メールに添付されているファイル

上記『メール記載 不審なリンク先URL』へアクセスした場合にDLしてしまうファイルの情報です。以下3つのカテゴリに分けてあります。

・ファイル名

Virustotal結果&Hybrid-analysis結果

・Hash値(MD5、SHA-256、SHA-1

マルウェア

上記『不審なリンク先URLからDLされるファイル or メールに添付されているファイル』からDLさせられてしまうマルウェア(バンキングマルウェア系が多い傾向にありますが)の情報です。以下3つのカテゴリに分けてあります。

マルウェアDL先URL

マルウェアDL先IPアドレス

・Hash値(SHA-256)

Virustotal結果&Hybrid-analysis結果

ここに記載してあるURLやIPアドレスにアクセスしていた場合はマルウェアに感染している可能性があります。

 ▼備考・参考情報

調査にあたって参考になった情報等を記載しています。

 

以上となっております。

 

しかしながら、

▼メール記載 不審なリンク先URL

マルウェア>・マルウェアDL先URL

上記2つの情報については一部を伏字とさせていただきました。

※不正な2次利用などを防ぐため

ただし、セキュリティ情報としてどうしても知りたいという方は、僕にTwitterでリプもしくはDMにて連絡をください。

twitter.com

 

※【外部公開用_ウイルス付メール本文まとめ(11月6日~)】というメールの本文内容を記載したタブも追加いたしました(2017/12/18 AM)

 

こちらのシートを作成するにあたり、

参考にさせていただいたセキュリティクラスタの皆さんはコチラとなります。

🔜Ͷow or Ͷever🔙(ΦωΦ) (@catnap707) | Twitter

Takayuki Kurosawa (@Ta_ka_y_u_ki) | Twitter

Miyuki Chikara (@harugasumi) | Twitter

Naomi Suzuki (@NaomiSuzuki_) | Twitter

Autumn Good (@autumn_good_35) | Twitter

hiro_ (@papa_anniekey) | Twitter

いつも参考にさせていただいております。

この場を借りてお礼申し上げます。

本当にありがとうございます。今後ともよろしくお願いいたします。

 

 

このシートが、セキュリティ監視や運用に役立てていただければ幸いです。

ではでは。

 

<更新履歴>

2017/12/17 PM 公開

2017/12/18 AM シートに【外部公開用_ウイルス付メール本文まとめ(11月6日~)】タブを挿入

2018/02/23 AM シートを一部修正

<修正箇所>
マルウェアの【Hash値(SHA-256)】の列を追加
・不審なリンク先URLからDLされるファイルorメールに添付されているファイルの【Hash値(SHA-1)】の列を削除)