「マイニング」を悪用するマルウェアも登場、攻撃者の狙いは?

最近流行しているマルウェアで「マイニングマルウェア」というものがあります。このマイニングマルウェアは、名前の通り「採掘」を目的とした活動を行うもので、暗号通貨のマイニングに使われるケースが相次いで報告されています。

本来「マイニング」は暗号通貨を採掘する作業ですので、採掘することで報酬が得られることを目的にマイニングをしている正規のユーザーも世界中に多くいます。しかし、この報酬を狙って赤の他人のPCなど利用して採掘させる悪質なケースが散見されている現状もあります。

このマルウェアの検出状況ですが、2017年9月から2018年1月末までの日々の検出数を追ってみると多くなってきていることがわかります。

以下のグラフは、Webサイトにアクセスするとマイニングされるマルウェア「CoinMiner」を検出した量の推移です。昨年12月初めまで微量程度の検出量だったのに対して、あるサービスを悪用するケースが増えたことにあります。これがきっかけに1月末まで増加傾向が続いているのが状況です。

マイニングマルウェア「JS/CoinMiner」の国内検出数(マルウェア名はESET製品での検出名)

このようなサービスで、代表的なものでは「CoinHive」というものがあります。「CoinHive」は暗号通貨「Monero」を採掘するツールを提供しています。

このツールを組み込んだWebサイトを閲覧するとマイニングを行うスクリプトが実行されます。このサービス自身は、主に広告の代替となる収益をWebサイトの運営者に提供するものですが、現在は悪用するケースが続出しており、Webサイトを改ざんしてマイニングさせるスクリプトを埋め込む事例も多数確認されています。

その多くは閲覧しているユーザーの同意なく無断でマイニングしているものであり、この行為を「クリプトジャッキング」と呼ばれています。

実際に、どういうサイトで仕掛けられているかというと、動画サイト(特にアダルトサイト)やブラウザゲームなどの提供するサイトが多いように見受けられます。調べる方法としては、ソースコード検索を提供しているpublicwwwを活用するとすぐに分かります。

例えば、上記のCoinHiveを用いたJavaScriptファイル「coinhive.min.js」をキーワードとして検索してみると、実に2万を超えるWebサイトの検索結果がすぐに出てきました。これらの結果から適当にURLを選んでそのサイトへアクセスすると、早速同意なくマイニングが行われるサイトも確認されますし、すでにセキュリティソフトなどによってアクセス制限でブロックするドメインもあります。

Publicwwwサイトでの検索結果例 ※検索は4月上旬に調査したもの

当然ながら、読者のみなさんは単なる興味だけでアクセスはしないでください。そのサイトの仕掛けが必ずしもマイニングだけとは限りません。あくまでマイニングを行わせるサイトがどれだけあるかを認識いただくための情報としてご理解ください。

*  *  *

マイニングマルウェアそのものをひとことで言えば、「CPUの乗っ取り」であり、そのリスクは電力消費とその金銭面の負担増だけのように見えます。

では一体、マイニングマルウェアを容認するとなにが危惧されるのでしょうか。

次回は、さらにマイニングマルウェアの背景を探りつつ、容認することで生まれる危険性について紹介していきます。

著者紹介


石川 堤一 (いしかわ ていいち)
キヤノンITソリューションズ 基盤セキュリティ企画センター マルウェアラボ マネージャー シニアセキュリティリサーチャー

約20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。

現在はこれまでの経験を活かして、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動や、キヤノンITソリューションズ運営の、より安全なインターネット活用のためのセキュリティ情報を提供する「マルウェア情報局」の記事執筆をするほか、マルウェア解析サービスのマネージャーとしても活動中。