誤検知？login.live.comでScript:SNH-gen [Trj] (0)

[さま]

マイクロソフトアカウントでログインしようとすると毎回ではないのですがScript:SNH-gen [Trj] (0)を検知してウェブシールドによってブロックされます
履歴をみても
https://login.live.com/〇〇〇(どこまでかいていいかわからないので伏せます)みたいな感じで偽物のサイトに誘導されてアクセスさせられかけたわけではなさそうでした。
あと決まってこうなるのがマイクロソフトのページからではなくマイクロソフトサポートページからサインインした時だったように思えます
いまのところ検知回数は3回(うち１回はもう一度アクセス試みたため)、10日と昨日で全部同じ脅威に対してのウェブシールドでブロックでした

[polonus]

アカウントに疑わしいアクティビティがないか確認する: Microsoft アカウントのセキュリティ ページにアクセスし、最近のサインイン アクティビティを確認してください。異常なサインインや認識されないサインインがある場合は、Microsoft に報告してください。

ウイルス対策ソフトウェアでフル スキャンを実行する: ウイルス対策ソフトウェアが最新であることを確認し、システムのフル スキャンを実行します。これにより、問題の原因となっている可能性のあるマルウェアを検出して削除できる場合があります。

ブラウザーのキャッシュと Cookie をクリアする: ブラウザーのキャッシュと Cookie をクリアすると、疑わしいスクリプトの問題が解決する場合があります。これらをクリアしてから、もう一度サインインしてみてください。

Microsoft のフィッシング対策を使用する: ブラウザーに組み込まれている Microsoft のフィッシング対策機能を有効にします。これにより、悪意のあるサイトを検出してブロックできます。

Microsoft にインシデントを報告する: ブロックされたサイトがフィッシングの試みではないことが確実な場合は、Microsoft のサポート チームに報告できます。サポート チームはスクリプトに関する詳細情報を提供して、問題の解決を支援できる場合があります。
Web Shield が疑わしいスクリプトをブロックするのは良いことですが、オンラインで機密情報にアクセスするときは注意が必要です。

特に機密アカウントにログインするときは、アクセスする Web サイトの信頼性を常に確認することをお勧めします。サイトの正当性に確信が持てない場合は、関係当局に連絡するか、信頼できる専門家に支援を求めてください。

polonus

As this is the English speaking forum - translation - Check your account for suspicious activities: Go to the Microsoft Account security page and review the recent sign-in activity. If you see any unusual or unrecognized sign-ins, report them to Microsoft.
Run a full scan with your antivirus software: Ensure that your antivirus software is up-to-date and run a full scan of your system. This may help detect and remove any malware that could be causing the issue.
Clear browser cache and cookies: Clearing your browser's cache and cookies can sometimes resolve issues with suspicious scripts. Try clearing them and then trying to sign in again.
Use Microsoft's phishing protection: Enable Microsoft's built-in phishing protection feature in your browser. This can help detect and block malicious sites.
Report the incident to Microsoft: If you're sure that the blocked site is not a phishing attempt, you can report it to Microsoft's Support team. They may be able to provide more information on the script and help you resolve the issue.
It's good that Web Shield is blocking the suspicious script, but it's still important to be cautious when accessing sensitive information online.

Please keep in mind that it's always a good idea to verify the authenticity of any website you visit, especially when logging into sensitive accounts. If you're unsure about the legitimacy of a site, don't hesitate to contact the relevant authorities or seek assistance from a trusted expert. (e,g, a qualified malware remover at MBAM forum)

polonus

[polonus]

Make that live link non-clickable. hxtps://login.live.com (because of possible new IDAT loader).

Fake Update Utilises New IDAT Loader To Execute StealC and Lumma Infostealers
according to source ArcSight Threat Intelligence, 10 months ago

Contextual Indicators: The domain’s Cisco Umbrella rank is 94 Contextual Indicators: The URL is known to be benign by Check Point's Threat Cloud Contextual Indicators: The domain is popular among websites with good reputation Contextual Indicators: The domain is popular in the world Created On: 1994:12:28 00:00:00 VirusTotal Link: https://www.virustotal.com/gui/domain/login.live.com/detection Classification Description: Legitimate website which does not serve any malicious purpose.

Translated: ライブリンクをクリックできないようにします: hxtps://login.live.com

偽のアップデートは新しい IDAT ローダーを利用して StealC および Lumma インフォスティーラーを実行します -
ソース ArcSight Threat Intelligence によると - 10 か月前

コンテキスト インジケーター: ドメインの Cisco Umbrella ランクは 94 です コンテキスト インジケーター: URL は Check Point の Threat Cloud によって無害であると認識されています コンテキスト インジケーター: ドメインは評判の良い Web サイトの間で人気があります コンテキスト インジケーター: ドメインは世界中で人気があります 作成日: 1994:12:28 00:00:00 VirusTotal リンク: https://www.virustotal.com/gui/domain/login.live.com/detection 分類の説明: 悪意のある目的に使用されない正当な Web サイトです。

polonus

[さま]

コメントありがとうございます。
一応avastの確認して最新版であり、アップデートする必要なかったので該当のパソコンのフルスキャン、ブートタイムスキャン全部やって感染ゼロでした。マイクロソフトアカウントのアクティビティー調べても不正アクセスなどは見当たらなかったです。
URLもaguseやトレンドマイクロなどのチェックサイトにかけたけどマイクロソフトのものという結果でした。個人的には偽物サイトに飛ばされた可能性は低いと考えてますが間違ってますでしょうか？

[NON]

フルスキャン等で異常は出なかったとのことなので、あとはpolonus さんのアドバイスされている通り、ブラウザのキャッシュクリアやCookieのクリアをお試しください。
また、ブラウザの拡張機能に原因がある場合もありますので、拡張機能も一度止めてみるなどすることをお勧めします。

また、（正当に見えるとはいえ）疑わしいURLを張る際は、http の部分を hxxp にするなどして、クリックできないように加工するようにしてください。

[polonus]

L.S.,

The provided output appears to be the SSL/TLS certificate of the domain graph.windows.net.
The certificate is issued by DigiCert SHA2 Secure Server CA and is valid from May 12, 2024, to May 12, 2025.

Here are some key information extracted from the certificate:

Certificate Type: This is a public key certificate, specifically a TLS Web Server Authentication and Web Client Authentication certificate.
Certificate Validity: The certificate is valid for 1 year, from May 12, 2024, to May 12, 2025.
Subject Alternative Names: The certificate is issued for multiple domains, including graph.windows.net, *.aadg.windows.net, *.aadkds.ppe.reporting.msidentity.com, etc.
Key Usage: The certificate allows for digital signature and key encipherment.
Extended Key Usage: The certificate also allows for TLS Web Server Authentication and Web Client Authentication.
Based on this information, it appears that the certificate is legitimate and has not been tampered with.

polonus

[さま]

わかりました。キャッシュ削除とアドブロックなどで起きてるかもしれないので色々設定いじって様子みたいと思います。
URLの件はすみませんでした気をつけます
わざわざ証明書まで調べてくださりありがとうございました

[polonus]

その特定のサイトだけのために設定を調整してください（時々、すべてが正常に動作しているように見えても、クラウドの一時的な問題が原因かもしれません）。

polonus