Skip to content

ニュース&トピックス

組織内のコンピュータを指令サーバ化する
持続的標的型攻撃「IXESHE(アイスシ)」
アジアや欧米を中心に60以上のC&Cサーバを確認

2012年5月30日


トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長兼CEO:エバ・チェン、東証一部:4704、以下、トレンドマイクロ)は、2009年より継続し、現在も活動を続ける持続的標的型攻撃「IXESHE(アイスシ)」の調査結果をレポートとして公開したことをお知らせします。
●セキュリティリサーチペーパー:「IXESHE」の全貌
https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81

「IXESHE」は、東アジア圏の政府機関や台湾の電機メーカ、ドイツの電気通信事業会社を標的としているとみられる持続的標的型攻撃です。攻撃手法として、組織・企業内の感染コンピュータを乗っ取り、他のコンピュータに指令を出すサーバ(Command & Control サーバ)として稼働させる点が大きな特徴であり、組織外との通信が目立たず、攻撃に気づきにくいため、長期化している例が見られます。
遠隔から組織内の感染コンピュータを操作できるため、情報の抜き取りなどの狙いが推測されます。当社では、世界で40種類以上の作戦活動、60以上のC&Cサーバを確認しています。攻撃は現在も継続しているため、感染有無の現状調査と共に今後も警戒が求められます。

「IXESHE」の概要

■攻撃・被害の範囲:
・2009年7月以降、同様の攻撃を確認し、現在も継続
・東アジア圏の政府機関、台湾の電機メーカ、ドイツの電気通信事業会社を標的
・世界で40種類以上の作戦活動 、60以上のC&Cサーバを確認
■代表的な攻撃手法(攻撃の流れ):
①PDFファイル(不正プログラム)が添付された標的型のメールで侵入
②Adobe製品のぜい弱性を利用して不正プログラム(「BKDR_IXESHE」など)をコンピュータ上に作成
③不正プログラムが感染したコンピュータを乗っ取る
④外部の攻撃者の指令に基づき、企業ネットワーク内の感染コンピュータの1台を指令サーバ
(C&Cサーバ)として、他の感染コンピュータを操作
⑤プロキシツールにより通信先を隠ぺい
⑥感染したコンピュータからデータの外部送信などの不正活動を実行

※TRENDMICROは、トレンドマイクロ株式会社の登録商標です。