マイニングマルウェアが蔓延する理由

第10回も前回に引き続き、マイニングマルウェアの危険性について紹介してきます。

「CoinHive」が採掘する「Monero」はなぜウケた?

マイニングマルウェアが話題になる一方、一般ユーザー間でも「CoinHive」で採掘できる暗号通貨「Monero」の人気が高まっています。

この理由は、他の通貨と異なり匿名性の高さで人あり、第三者が取引履歴を確認することができません。「Monero」の取引においても、今から1年前が約2,000円台を推移していたのに対し、今年1月には約40,000円台に跳ね上がるなど時期によって上下激しいところはあれども、それでも取引が盛んに行われています(参考：以下CoinGecko Monero相場チャートより)。

ここまでであれば、良い話のようにも見えますが、裏を返せばその匿名性の高さから犯罪者にとっても格好の攻撃手段と化してきているのもまた事実としてあります。

昨年までランサムウェア感染を狙ったケースでは、感染させた後の身代金要求に「Bitcoin」での取引が多くありました。ところが、「Bitcoin」の取引履歴から身代金送金に使われているものを特定しSNSツールなどで情報共有されるケースも相次いで見られました。その後取引停止させ攻撃者へ渡らなくさせることにより、送金を防ぐという意味ではある程度の効果があったものと思われます。

そして現在、攻撃者は「Monero」を身代金送付させるランサムウェアが確認されています。「Bitcoin」を用いらずに、取引確認ができないことが特徴である「Monero」へシフトしているものと見てもいいのではないかと思われます。

脆弱性悪用しマイニングさせるケースも

マイニングマルウェアが活動させるきっかけとしてはWebサイトへのアクセスだけではありません。これまでにも複数のパターンでの仕掛けが確認されています。直近で確認されているものでは、CPU性能を持つサーバにマイニングさせるケースがありました。

フローとしては以下の通りですが、攻撃者は最初からOracle WebLogic Serverの脆弱性を悪用することを目論んで設計しており、後にセキュリティパッチが適用されていないサーバがターゲットとなりました。これにより感染したサーバはそのハード性能を存分に発揮してマイニング作業が行われ、その成果報酬は攻撃者があらかじめ用意したウォレットに支払われるよう仕込んでいます。

Google Chrome 拡張機能によるマイニングも禁止に

現在、日本のみならず世界中で暗号通貨の取引およびマイニングに絡んだトラブルは相次いでおり、広告などの対応だけではなく、マイニングプログラムそのものにも然るべき対応が行われつつあります。

つい先日になりますが、Google社よりGoogle Chrome の拡張機能に取り付ける「仮想通貨マイニングのエクステンションを禁止」することが発表されました。この発表の背景にマイニングを組み込んだ拡張機能は多く確認されており、サイバー攻撃の温床になりかねないという見解から禁止する方針となりました。すでにマイナビニュースでも記事として取り上げていますのでご参考ください。

今回は、マイニングマルウェアについて解説をしましたが、特徴を簡単にまとめると、

1. OSなどプラットフォーム問わずマイニングができる(JavaScriptだけで書かれた小さいプログラムかつ互換性あればあらゆる環境で実行できる)
2. 正規のアプリケーションを通じてマイニングができる(ベンダー提供のブラウザやWebサービスの脆弱性を悪用して実行できる)
3. 正規のサービスを通じてマイニングができる(CoinHiveのように正規のサービスを悪用して実行できる)

ということになるのではないでしょうか。

マイニングマルウェアそのものだけで見ると一言でいえば「CPUの乗っ取り」だけであり、そのリスクは電力消費とその金銭面の負担増だけのように見えてしまいますが、私が最も危惧するのは、こうした手段や仕組みを活用した新たな標的型攻撃やランサムウェア感染などを狙ったサイバー攻撃が今後現れる可能性はゼロではないです。

また、スマートフォンでマイニングさせるアプリなども確認されていますので、小さなプログラムでも十分に動くことから、以前より課題となっているマルウェア対策がしづらいIoT機器などにも注意しなければならないです。

*　　*　　*

したがって、今回のマイニングマルウェアも対岸の火事として見るのではなく、まだ悪意のある活動としてマイニングが行われていただけで済んでいたに過ぎず、このような事例から今後のセキュリティ対策に、どのように強化や改善を繰り返し実施していくかを考えて、取り組んでいくべき事案ととらえれば思います。