最近、さまざまなセキュリティベンダーがサイバー攻撃の最新動向として「不正な仮想通貨のマイニングの増加」を挙げている。その一方、警察は今年6月に「違法なマイニング」を行ったとして16人を検挙したが、逮捕は行き過ぎという声もある。

Avastが8月22日、警察庁が2018年6月に出した「仮想通貨を採掘するツール(マイニングツール)に関する注意喚起」に対し、Avast脅威研究所のセキュリティ研究者であるマーティン・フロン(Martin Hron)氏の仮想通貨マイニング用Webスクリプトの合法性に関する見解を発表した。

現在のところ、仮想マイニングを取り締まる法規制はないが、仮想マイニングは違法となる線引きはどこになるのか。同社の発表をもとに、整理してみたい。

サイバー犯罪の主流になった仮想通貨マイニング

仮想通貨のマイニングでは、プロセッサやグラフィックカードといったハードウェアを用いて計算を行い、仮想通貨の取引の承認・確認作業を行う。計算作業に協力した人のうち、マイニングに成功した人に対し、報酬として仮想通貨が支払われる。

一般的に、仮想通貨マイニングは合法的なビジネスだが、サイバー攻撃者は数年前より、他者のPCやスマートフォンを踏み台にして仮想通貨マイニングを行うマルウェアの開発に着手しており、これによって、自前の演算能力や演算インフラストラクチャへの投資を回避しているという。

昨年、セキュリティベンダーの調査により、ブラウザベースの仮想通貨マイニングが急速に普及したことが明らかになった。ブラウザベースのマイニングの場合、マイニング用スクリプトはWebサイトのコードに実装される。ユーザーがそのWebサイトにアクセスすると、埋め込まれたスクリプトが仮想通貨のマイニングを開始する。

Coinhiveが提供するようなJavaScript形式の仮想通貨マイニングツールを使用すれば、仮想通貨マイニングのスクリプトはWebサイトに簡単に実装できるという。スクリプトはブラウザベースなので、Windows、Mac、iOS、Androidなどクロスプラットフォームで実行可能であり、ユーザーがWebサイトにアクセスするだけでアクティブになる。

「合法の仮想通貨マイニング」の定義とは?

ブラウザベースの仮想通貨マイニングは、「Webサイトの所有者自身がスクリプトを実装した場合、またはサイト所有者が認識した上で第三者がスクリプトを実装した場合」、「Webサイトの訪問者に通知され、且つ訪問者に同意を求める場合」において、合法とされている。

ただしAvastでは、悪意あるブラウザベースの仮想通貨マイニングとして、「攻撃者がWebサイトをハッキングしてスクリプトを秘密裏に注入した」「多少の金銭を追加で得るために、Webサイトの所有者がスクリプトを意図的にコードに挿入した」といったケースを確認しているという。

警察庁は2018年6月、「仮想通貨を採掘するツール(マイニングツール)に関する注意喚起」を行った。この中で、「 自身が運営するWebサイトに設置する場合であっても、マイニングツールを設置していることを閲覧者に対して明示せずにマイニングツールを設置した場合、犯罪になる可能性がある」という見解を示している。

仮想通貨のマイニングを行っている端末では、多大なリソースが消費されるため、パフォーマンスが大幅に低下するほか、デバイスの温度上昇を引き起こすため機器の損耗が早まるなどの影響を受ける可能性がある。当然、消費電力も増加する。

このように、仮想通貨のマイニングに加担させられると実害が生じることから、フロン氏は「通知を伴わない仮想通貨マイニングスクリプトを警察が禁止することに正当な権限がある」という見解を示している。

また、犯罪者は自前のサイトではなく第三者のWebサイトを感染させることで匿名性を維持していることから、攻撃を受けたWebサイトの所有者と、意図的にスクリプトを実装して閲覧しているユーザーに通知をしないWebサイト所有者を区別することが重要となるという。

Avastはこれまで、企業に属するWebサイトの中に、サイト訪問者に警告することなく、仮想通貨マイナーが実装されているサイトを検出している。同社がこの問題を明るみにすると、Webサイトの所有者は自分たちが被害者だと主張したが、マイナーの実装形態に着目すると、コードはスムーズに記述されていた上、Webサイトのコードに完璧に実装されていた点から、外部の攻撃者がこれを行うのは困難という見方を示している。

今回の警察庁の注意喚起は、Webサイトの所有者にとって遵守すべき規則に関する指標であり、マイニングスクリプトを実装しておきながら訪問者への通知をしないWebサイトは今後減っていくと見られるという。

加えて、フロン氏はWebサイトの所有者に対し、訪問者への警告なくWebサイトが仮想通貨マイニングを行った際の責任として、運営サイトのセキュリティ保護に対してこれまで以上に注意を払う必要があると指摘している。その理由として、攻撃者にマイニングスクリプトを実装された場合、それを証明するのは非常に困難であることが挙げられている。