不正なマイニングが増加、クリプトジャッキングから身を守る術とは?

クリプトマイニング(暗号通貨の採掘)とは、分散型ネットワークで新たに発生したトランザクションの正当性を検証するため、その検証者が計算処理能力を使う見返りとして報酬が得られることを、貴金属の採掘に喩えたものです。このプロセスの結果、ブロックチェーン、すなわち暗号通貨取引の公開台帳に、新たなブロックが追加されることになります。

2018年のオンラインセキュリティ動向の記事にも書かれていますが、クリプトマイニングは顕著な伸びを見せており、この傾向は今後も続きそうです。

採掘者は、自身のハードウェアの計算処理能力を投入して複雑な暗号問題を解き、チェーン内の新たなブロックとなる各トランザクションが正当なものであることを、11つ検証します。このプロセスはプルーフ・オブ・ワークと呼ばれ、略称はPoWです。採掘者の利用できる計算処理能力が大きいほど、そのブロックの正解を最初に出せる確率が高まります。この競争の勝者となった採掘者は、一定量の暗号通貨を受け取る一方、ブロックチェーンに新たなブロックが追加されるのです。検証方式としては、PoWの他に、より計算量や消費電力が少なくて済む、PoSことプルーフ・オブ・ステークなども使われています。現在では、ビットコイン、イーサリアム、モネロなど、既存のデジタル通貨の多くが正当な決済方法として認められており、検証方式にも幅がありますが、それらのベースとなっているのはPoWです。

クリプトマイニングの現状

暗号通貨の合法性や、採掘の規制方法について決めかねている国もありますが、特にインターネットの暗部ともいわれるダークWeb上では、このような通貨が従来の通貨に取って代わりました。

価値が不安定であるにも関わらず、暗号通貨はかつてないほどの人気を集めています。人気の理由は明らかで、多くの場合、暗号通貨によって買う側も売る側も匿名性を高められるためです。たとえば、モネロの開発者は、トランザクションを追跡不能にするメカニズムを実装したことを誇っています。さらに、多数の取引所が存在するおかげで、デジタル通貨と米ドルその他の通貨との引き換えが比較的簡単に行えるようになりました。そのため、概してビットコインなどの暗号通貨の成長ぶりは、2017年に目を見張るようなものとなり、存在感の高まりこそが採掘への意欲をかき立ててきたのです。

クリプトマイニング、そして「クリプトジャック」を働く動機

PoWに基づく暗号通貨の採掘効率は、コンピュータのリソースと電力に大きく依存します。ビットコインをはじめとするいくつかの暗号通貨では、多大なエネルギー資源と高価な採掘装置が要求されるのが実情です。それは、数社の大規模な採掘業者が、計算処理能力を激しく競い合っているためでもあります。

こういった強力な事業者は、高速かつ高確率でトランザクションの解を得ることが可能です。そのため、小規模な事業者が独力で採掘するのは難しい状況にあり、事実上、ビットコイン採掘というゲームへの参加を阻まれています。しかも、採掘の報酬は、採掘が進むにつれて徐々に下がっていくのです。一方、モネロやバイトコインのような暗号通貨は必要とする電力が比較的小さく、マイニング専用ではないコンピュータでも、CPU負荷を部分的に割り当てて数台組み合わせれば、採掘が可能です。

ところが、その特性を利用して第三者のコンピューテングパワーを拝借する、クリプトジャッキングという手法が注目されるようになりました。

クリプトジャッキング流行の兆しは、20179月下旬に、コインハイブというマイニングツールがリリースされたときに始まりました。このコインハイブは、Webサイトのオーナーにとって、広告に代わる収益源となる可能性を秘めています。その仕組みは、サイトオーナーがWebページにJavaScriptのコードを埋め込んで、Webサイトの来訪者がページを閲覧する間に、来訪者のコンピュータのCPUパワーを使ってモネロを採掘できるというものです。

少なくとも、当初のアイデアはそのようなもので、それ自体は悪いものではありませんでした。

しかし、リリースから数日のうちに、いくつかのサイトが、ユーザーに通知せずにコインハイブを使用していることが暴露されました。残念ながら、こうした状況は今も改善されていません。

当然ながら、サイバー犯罪者が、そのような収入源を見過ごすはずはなく、それ以来、「クリプトジャッキング」と呼ばれる行為をビットコインの採掘に対応させたネガティブな進化形が、数多く目撃されています。そのような状況の中で、201712月、セキュリティサービス企業であるソフォスの研究者は、暗号通貨ビットコインの価値と、コインハイブによるWebマイニング感染件数との相関関係を明らかにしました

Bitcoin-Coinhive infections |StopAd blog

ビットコインの価格上昇とコインハイブのクリプトマイニングコードへの感染増加との相関グラフ。出典:ソフォス・ラボ

Growth of Monero correlates with Coinhive infections|StopAd blog

コインハイブによるWebマイニング感染件数と、XMRこと暗号通貨モネロの価格上昇との相関。出典:ソフォス・ラボ

このように、暗号通貨による利益が増大するにつれ、クリプトジャッキングも増加する傾向にあるのです。

JavaScriptによるブラウザマイニングとクリプトジャッキングが人気を集める理由

  • JavaScriptは、現在普及しているWebブラウザやコンピュータプラットフォームのすべてにおいて互換性があり、マイニングのためのコードも同様です。つまりWebアプリなどを介して、同じコードをモバイル機器でも実行可能なので、より多くのコンピューティングパワーを利用しやすいことになります。
  • Webサイトへの、JavaScriptによるWebマイニング機能の組み込みは容易に行えます。特別なスキルは、必要ありません。
  • マイニングの実行に、ユーザーの介在は不要です。コインハイブ、もしくは同様のWebマイニングツールを持つWebサイトに、アクセスさせるだけでよいためです。あるいは、明確に悪意のあるコードを、システムやインフラストラクチャのバックグラウンドで、密かに実行することもできます。
  • Webサイトのオーナーとクリプトジャッキングの実行者は、マイニングスクリプトがユーザーのCPUリソースを利用する割合を、ユーザーごとに決定するようなカスタマイズが簡単に行えます。100%の負荷をかけて、すべてのコンピューティングパワーを自分たちのマイニングのために奪うことすら可能なのです。
  • このような手法により、高い投資利益率がもたらされます。なぜなら、クリプトジャッキングに必要なリソースは、すべてWebサイトにアクセスしたユーザーのシステムが負担してくれるからです。

クリプトジャッキングの危険性

最近の調査によると、コインハイブベースのクリプトジャッキングが実装されたWebサイトとして検出できるものは、少なくとも4万件存在しています。それとは別に、コインハイブのクローンも9,028件のWebサイトから発見されており、しかもその数は増加の一途をたどっているのが現状です。

簡単にいえば、Webマイニングを用いているサイトをユーザーが訪問したとき、そのユーザーのCPU負荷は増大します。CPUが、自動的にトランザクションの計算処理を開始するためです。こうしたクリプトジャッキングの副作用として、すぐに現れる兆候としては、CPUのパフォーマンス低下やチップの過熱が見られ、さらにコンピュータ自体が機能を停止する可能性もあります。単純にクリプトジャッキングの実行者が、ユーザーのCPUパワーの100%を利用するようにマイニングツールをカスタマイズすれば、Webサイト訪問者のマシンは、本来のタスクに使用できなくなるでしょう。しかし幸いなことに、通常はWebサイトを閉じさえすればシステムの悪用も止まります。

ところが残念なことに、より高度なマルウェアの作成者により、グーグルのクロームを対象として、Webブラウザが閉じられた後もマイニングを続けさせるという、永続的なクリプトジャッキング技術が開発されました。これを利用すると、サイトオーナーは、ユーザーの画面解像度に合わせて見えない位置に開かれるブラウザウィンドウを使って、マイニングを続けさせることができるのです。

そのため、ローピというアンドロイド向けのクリプトマイニング用マルウェアに感染したモバイル機器が、マイニングプロセス中の過剰なCPU負荷によって過熱し、物理的に壊されたという報告もあります

ユーザーのシステムは、クリプトジャッキングによって他人の利益のため人質に取られるわけですが、その意味で、ランサムウェアと同様に悪質といえるでしょう。

それどころか、実のところクリプトジャッキングは、ランサムウェアよりも多くの利益を上げています。なぜなら、ランサムウェアの場合、ターゲットにされたユーザーが要求を飲むかは状況次第のところがあり、攻撃者にとって不確実であるのに対し、マイニングは基本的には発見されることなく、持続的な利益を確実にもたらすからです。企業にとっては、2017年におけるランサムウェアと同じくらい、クリプトジャッキングが2018年の大きな問題となる可能性があります。調査会社のチェック・ポイントによる報告では、クリプトマイニングに関連する脅威は、世界全体の55%の企業に影響を与えているほどなのです。

クリプトジャッキングによるネットワークの悪用

重要な社会インフラや企業に関わる状況では、永続的なクリプトジャッキングを行うマルウェアが、長期間にわたって業務に深刻な影響をもたらす可能性があります。その一例が、インフラストラクチャ関連のセキュリティ会社であるラディフローによって発覚した、ヨーロッパの水道管理施設のケースです。それと同じように、マルウェアの作成者は多数の検知回避ツールを使用して、クリプトジャッキング用のマルウェアをネットワーク全体に広げることも考えられ、そうなれば次は社会インフラの障害という、真のリスクを突きつけられることになりかねないといえるでしょう。

このように不正なマイニングがもたらす結果には、多少の苛立ち程度で済むのものから、大惨事に至る可能性を持つものまで大きな幅があります。もしも、原子力発電設備がマイニングのため故意に悪用されたらどうなるかを想像してみれば、この問題の深刻さがおわかりになるはずです。

クリプトジャッキングがこれほどまでに広まった要因

クリプトマイニングの実行者が重視するのは、最大限の計算処理能力の獲得です。彼らが、オンライン業界によって以前から存在が確認されているマルウェアツールや感染戦略の一部を巧妙に再利用し、完璧なものに仕上げることで成果を上げていることもわかっています。

マルウェアによって広告表示を行うマルバタイジングは、長年、広告テクノロジーを推進するアドテック業界を悩ませる脅威でした。そして、現在では、こうしたマルバタイジング技術に対して、クリプトマイニング実行者からの大きな需要があります。理由は明らかで、この技術によってマイニング用コードを単なる広告に見せかけることができ、秘密裏に被害者のブラウザ内に配信して採掘作業を開始することができるからです。現実にそのような事例としては、アバストというアンチウイルスアプリによってブロックされた、コインハイブのコードを含むユーチューブのバナー広告がありました。同様のコードは、後に他のウイルス対策提供企業でも確認されています。このマルバタイジングでは、攻撃者はグーグルのオンライン広告ソリューションであるダブルクリックプラットフォームとそのリーチの広さを利用し、悪意のある広告をばらまいたのです。

また、広告ネットワーク業者によっては、出稿先のサイトに掲載する広告とともに、ブラウザ内でマイニングを行うツールを故意に配置しているところもあり、この分野では、さらに興味深い事実が判明しました。それは、ある研究者によって発見された、マルウェアのアプローチを応用するアドブロッカーの回避技術です。中国のセキュリティ企業、キフー・ネットラボのチャン・ツアイフェン氏は、悪意を持つ広告ネットワーク業者が、DGAこと複数のドメインを自動的に生成するドメイン生成アルゴリズムを利用してアドブロッカーを回避できる理由を説明しています。それによれば、生成されたドメインは、一部のマルウェアによる攻撃の最中に、その後の処理に必要なコードを送り込むために侵入者が用意した、自前のコマンド・アンド・コントロール・インフラに接続する目的で用いられます。このようにしてコードのインストールを段階的に行い、法的な処罰とセキュリティ研究者による監視を逃れようというわけです。

同氏の説明によると、ある広告ネットワーク業者は、アドブロッカーに知られていない複数のDGAドメインを利用していました。もちろん、その目的は、コインハイブの系統に属する、クリプトマイニングスクリプトの亜種が入った広告を受け入れ、配信することにあります。

同じ業者は、アドブロッカーを利用していないユーザーに対してはDGAドメインを利用する必要がないため、デフォルトのホスティングドメインをそのまま使用していました。こうした行いは、201712月以降に開始されたと見られています。

あるいは、対策の進化にマルウェアの作成者がツールを適合させるスピードが際立つともに、感染を防ぐパッチ適用の重要性がわかる事例もありました。それは、昨年から大きな被害をもたらしてきた、ワナクライというランサムウェアによる攻撃です。このケースで印象的なのは、NSAことアメリカ国家安全保障局から流出したハッキングツールのエターナル・ブルーを使用することで、ネットワークのいたる所にたちまち広がったという点です。しかも、皮肉なのは、攻撃に先立つ数週間前から、悪用されたサーバメッセージブロック、通称SMBと呼ばれるファイル共有プロトコルの脆弱性に対するマイクロソフトのパッチが利用可能となっていたことでしょう。これを適用していさえすれば、大規模な感染は防げたと考えられます。

メールセキュリティ専業ベンダーのプルーフポイントによる最近の調査結果では、ボットネットの一部としてマルウェアをコンピュータを感染させ、暗号通貨のモネロを採掘させるために、上記と同じ脆弱性が利用されていました。こちらの行為が始まったのは20175月のことで、それ以来、感染したコンピュータの総数は526千台以上にのぼると推定されます。そして、そのほとんどが、パッチを適用されていないサーバーだったのです。

このようなボットネットの運用者は、脆弱性を抱えていそうなシステムを割り出すため、Webをスキャンし続けており、NSAから流出した他のハッキングツールも使用しています。そして、ボットネット全体では、こうした不正採掘によって最大360万ドルが獲得されたと推定されるのです。セキュリティ研究者は、クリプトマイニングを行うマルウェアへの感染は、ファイル転送などの目立つ作業なしに行われるため、検知がより難しいと指摘しています。したがって、システムをパッチ適用済みの状態に保っておくことが、極めて重要なのです。

クリプトジャッキングからの保護

不正なマイニングは増加を続けており、2018年中には、さらに多くの事例を目にすることは間違いありません。最後に改めて、CPUリソースの流出を示す兆候をまとめておきましょう。こうした兆候が感じられたら要注意といえます。

  • 原因不明のパフォーマンス低下が見られる
  • CPUが過熱し、コンピュータのファンが停止する
  • ウィンドウズであればプロセスモニタ、マッキントッシュの場合にはアクティビティモニタによって、各アプリのリソースの利用状況を確認した際に、ブラウザのプロセスによる使用量が著しく増加している

また、不正行為者と公衆道徳に反するWebサイトのオーナーによって行われる、ユーザーの同意を伴わないCPUリソースの濫用を防ぐために、自分でできる対策も存在しています。いずれも、比較的簡単に導入できるものばかりですから、何か重大なことが起こる前に、備えを怠らないことが大切です。

  • 不正な広告がもたらすものを含め、大部分のクリプトジャッキングツールを検出し、ブロックしてくれる、アドブロッカーを導入する。
  • ノーコインノーマイナーのような、マイニング対策用のブラウザ拡張機能を使用する。
  • デスクトップとモバイル機器の両方でウイルス対策ソフトを利用する。
  • システムとブラウザを常に最新の状態に保つ。

この記事の初出は、ストップアド・ブログに掲載されたものです。

この記事はBusiness2Community向けにGeroge Paliyが執筆し、NewsCredパブリッシャーネットワークを通じてライセンスされたものです。ライセンスに関するお問い合わせはlegal@newscred.comにお願い致します。