クリプトジャッキングとは？

クリプトジャッキングは仮想通貨を秘かにマイニングするためにウイルスに感染したデバイスを使う、攻撃です。このために、ハッカーは被害者の処理能力と帯域幅を利用します。たいていの場合、ハッカーは被害者に同意なく、知られることなく行います。一般的に、そのような不正な操作を行うためのクリプトマイニングマルウェアはできる限り気付かれないぐらいのリソースを使うように設計されています。仮想通貨のマイニングは大量の処理能力を要求されるので、ハッカーは複数のデバイスを利用しようとします。この方法で、彼らはローリスク、ローコストでマイニングを行うのに十分な計算能力を集めることができます。

以前のバージョンのマイニングマルウェアは、悪意のあるリンクや電子メールの添付ファイルを被害者がクリックする必要があり、クリックされたら隠された仮想通貨マイニング用のシステムに被害者のシステムが感染していました。しかしながら、これらのマルウェアのより洗練されたタイプがここ数年で開発され、このクリプトジャッキングアプローチをまったく新しいレベルにしました。現在、大半のマイニングマルウェアはウェブサイトに実装されたスクリプトによって稼働しています。このアプローチはウェブベースのクリプトジャッキングとして知られています。

ウェブベースクリプトジャッキング

ウェブベースクリプトジャッキング(クリプトマイニングからの別名)は最も一般的んあクリプトマイニングマルウェアの形態です。たいてい、この悪意のある捜査はウェブサイト内で稼働するスクリプトによって実行され、被害者が滞在中、自動的にブラウザで仮想通貨のマイニングを行います。このようなウェブベースのマイニングソフトウェアは人気やカテゴリーに関わらず、秘かに様々なウェブサイトに実装されています。たいていの場合、Moneroがマイニングする仮想通貨として選ばれます。なぜなら、Bitcoinのマイニングと違い、マイニングプロセスが大量のリソースと処理能力を要求しないからです。さらに、Moneroはプライバシーと匿名性のレベルが高く、トランザクションを追跡するのは他の通貨と比べても難しいです。

ランサムウェアとは違い、クリプトマイニングマルウェアはコンピュータとそこに格納されているデータを危険に晒すことはほとんどないです。クリプトジャッキングの最も気付きやすい影響はCPU性能の提供です。(たいてい、このためファンのノイズが大きくなります。) しかしながら、ビジネスや大規模な組織にとってはCPU性能の減少は作業の妨げとなる可能性があり、潜在的に相当な損失や機会損失となるかもしれません。

CoinHive

クリプトジャッキングのウェブベースアプローチは2017年11月に、CoinGiveというマイニング用のソフトウェアが公開されたことで初めて確認されました。CoinHive はウェブサイトのオーナーが広告を表示することに頼ることなく、無料で利用可能なコンテンツからマネタイズできるようにという目的で作られた、JavaScriptoで構成されたソフトウェアです。

CoinHiveウェブサイト

CoinHiveは全ての主要なブラウザと互換性があり、デプロイするのも比較的簡単です。このソフトウェアの制作者はコードを通じてマイニングされた全仮想通貨の30％を入手します。CoinHiveはどのアカウントが残された70％を受け取るべきかを特定するために暗号鍵を使用します。

最初は面白いツールとして発表されましたが、CoinHiveは現在ではオーナーの認識や許可なく、サイバー犯罪者がいくつものハックされたウェブサイトに、訪問者をマイナーとして利用するために、悪意を持って挿入されているために批判されています。

CoinHiveが当初の意図通りに適切に実装されているケースはほとんどないですが、JavaScriptベースのクリプトジャッキングとしてはAuthedMineというオプトインバージョンが提供されています。AuthedMineはCoinHiveの修正版で、訪問者からの同意を得ない限りはマイニングを行いません。

当然ながら、AuthedMineはCoinHiveと同規模では採用されていません。パブリックWWWでの簡易的な検索が示すには、最低でも14,900ウェブサイトがCoinHiveを実行しており、その中の5,700がWordPressのウェブサイトです。一方で、AuthedMineはだいたい1,250ウェブページで実装されています。

2018年の前半、CoinHiveはアンチウイルスプログラムとサイバーセキュリティ企業によって、もっとも脅威として追跡されたマルウェアでした。しかしながら、最近の報告書によると、クリプトジャッキングはもはや最大の脅威ではなく、現在の1番目と2番目はバンキング型トロイの木馬とランサムウェア攻撃になっています。

クリプトジャッキングの急速な普及と衰退は、多くのクリプトジャッキング用のコードがブラックリストに登録され、ほとんどのウイルス対策ソフトウェアによって迅速に検出されるようになったため、サイバーセキュリティ会社の働きによるものかもしれません。さらに、最近の分析によるとウェブベースのクリプトジャッキングは思われていたほど収益性が高くないと言われています。

クリプトジャッキングの例

クライアントが報告している通り、2017年12月、CoinHiveのコードはブエノスアイレスにあるスターバックスの複数店舗のWiFiネットワークに潜かに実装されました。このスクリプトはWiFiに接続した全てのデバイスの処理能力を使って、Moneroをマイニングしていました。

2018年初頭、CoinHiveのコードはGoogleのDoubleClickプラットフォームを通じて、YouTube Adsで実行されていることがわかりました。

2018年7月から8月にかけて、あるクリプトジャッキング攻撃で、ブラジルの200,000以上のMikroTikルーターにマルウェアが感染し、大量のWebトラフィックにCoinHiveコードを注入しました。

クリプトジャッキング対策

もしも、パソコンのCPUが普段よりも使用されていて、冷却ファンが理由もないのにうるさくなっていたら、そのデバイスは仮想通貨のマイニングに使用されているかもしれません。そのデバイスが感染しているのか、それともブラウザによってクリプトジャッキングが行われているのかを見分けることが重要です。ウェブベースのクリプトジャッキングは比較的簡単に発見して、止めることができますが、コンピュータシステムとネットワークをターゲットとするマイニングマルウェアは検知するのは簡単ではないです。なぜなら、これらは通常、正当なものとして振る舞ったり、隠れたりするように設計されているからです。

効率的に大半のウェブベースのクリプトジャッキング攻撃を防ぐことができるブラウザエクステンションがあります。ウェブベースのマイニングに限らず、こういった対策はたいていスタティックなブラックリストに基づいているため、新しいクリプトジャッキングのアプローチがデプロイされると急速に陳腐化します。それゆえ、OSを常に最新版にして、さらにアップデートされたアンチウイルスソフトウェアを導入することが推奨されます。

ビジネスや大規模な組織においては、不正なメールとなりすましウェブサイトなどによる、クリプトジャッキングとフィッシング技術について従業員に知らせて、教育することが重要です。

要約

デバイスパフォーマンスとCPUの活動に注意
MinerBlockやNoCoin、Adblockerなどのウェブブラウザエクステンションのインストール
メールの添付資料とリンクに注意
信頼できるアンチウイルスソフトをインストールし、ソフトウェアアプリケーションとOSを最新にしておく
企業向けとしては、クリプトジャッキングとフィッシング技術関する教育を従業員に実施