コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=mimecast-cases

Mimecast のケーススタディ

API メール

Sophos MDR チームは Mimecast について次のケースをエスカレーションしました。

ケース

2024年 2月 6日、 Sophos MDR チームはMimecastから一連のセキュリティ警告を受信した。警告の種類は、'Default URL Def' であり、MITRE ATTACK 手法の下に 'Spearphishing Link' としてマップされています。警告セキュリティ制御により、アクティビティが 'unactioned' (元の警告アクション:許可) であることが確認されました。外部 IP アドレス 141[.]193[.]71[.]8 を持つメールアドレス no-reply@xpressim[.]com から発信された件名見出し 26 hours a day now possible in 24 - Wiz kid shares his secret を持つメールを受信したホスト User-LT に関連する user@domain[.]com についての MDR 調査。この警告の URL は hxxps[://]jharedcruzada[.]myclickfunnels[.]com/_tracking/email_click/broadcast/NPobBO?contact_id=BqlnPlG&url=hxxps%3A%2F%2Flevelup[.]go2im[.]com%2Foffer です。

警告 URL myclickfunnels[.]com の OSINT は、悪意に関するレピュテーションがないことを示しています。IP 141[.]193[.]71[.]8 上の OSINT は、ISP ClickFunnels USA に属していることを示しており、悪意のあるレピュテーションは示していません。URL xpressim[.]com のさらなる調査では、それが ISPのAmazon Technologies Inc に属しており、フィッシングや詐欺に関連する信頼度の高い悪用スコアを持っていることが示されています。さらに、ホスト上のソケット User-LT が開いているかどうかを確認した結果、疑わしい接続は確認されていません。この段階では、次の推奨事項があります。

推奨事項

  • 以下の「技術情報」に記載されている悪意のある URL をブロックします。
  • クリックファネルが業務で使用されていない場合は、IP 141[.]193[.]71[.]8 をブロックします。
  • 予防措置として、ユーザーがメール内のリンクをクリックした場合は、ユーザー user@domain[.]com の認証情報をリセットします 。

技術情報

  • 検出 ID: XDR-mimecast-Phishing-for-Information:-Spearphishing-Link
  • 受信者: user@domain[.]com
  • 送信者: no-reply@xpressim[.]com
  • 送信者 IP: 141[.]193[.]71[.]8
  • URL: xpressim[.]com

推奨事項を確認した後で、行った動作と結果を MDR にお知らせください。ご不明な点やご不明な点がございましたら、お気軽にお問い合わせください。