このページの本文へ

暗号通貨の不正マイニング「クリプトジャッキング」の台頭にも警鐘

ミッコ・ヒッポネン氏に聞く「サイバー軍拡競争時代の“悪夢”」

2018年04月04日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 「犯罪者たちは本当にクリエイティブで頭が切れる。だからいつも思うんだ。敵がもう少しおバカさんだったら、私の仕事はどんなに楽だろうって」

 エフセキュア(F-Secure)の研究所主席研究員(CRO)、ミッコ・ヒッポネン氏は、冗談とも本気ともとれる表情でそう語った。暗号通貨(仮想通貨)が登場するやいなや、素早くマネタイズに取り組んで荒稼ぎを始めているサイバー犯罪者たち。彼らの動向について語る同氏の目には、サイバー犯罪と戦うという強い決意と、少年のような好奇心とが交錯する。

F-Secure 研究所主席研究員(CRO)のミッコ・ヒッポネン(Mikko Hypponen)氏。世界的に著名なサイバーセキュリティ&プライバシー研究者だ

暗号通貨を不正マイニングする「クリプトジャッキング」の台頭

 ヒッポネン氏が初めて“ビットコイン”という単語を耳にしたのは、2011年春のことだ。あるボットネットを調査していたところ、マルウェアが感染した端末からビットコインの不正マイニングツールが仕込まれているのを発見した。ビットコインの運用が開始されたのが2009年1月、最初の商取引成立が2010年5月と言われているので、それから半年も経たずして犯罪ツールが登場していたことになる。

 「何よりも驚くのは、まだマイニング専用のASICも高性能なGPUもない時代に、こうしたツールを積極的に取り入れていること。犯罪者は収益化のチャンスを見逃さず、速やかに実行に移す。ちなみに、その犯人はいまだに捕まっていない」

 暗号通貨をマイニングするには大量のコンピュートリソース(計算資源)が必要であり、そのための設備(サーバー群)導入や使用電力には大きなコストがかかる。そこで攻撃者は他人のサーバーやPCに侵入し、そのコンピュートリソースを無断で使ってマイニングを行い、利益を得る。これが不正マイニングだ。

 そして現在、不正マイニングの主流は「クリプトジャッキング(Cryptojacking)」になっていると、ヒッポネン氏は説明する。クリプトジャッキングとは、JavaScriptベースのマイニングツールを他人のブラウザ上で実行させる不正マイニングの手法である。攻撃者は、こうしたコードを訪問者数の多い正規サイトやブラウザプラグインに埋め込んで他人にマイニングさせ、暗号通貨が手に入るのを待つ。

 ヒッポネン氏は、クリプトジャッキングの発祥について説明した。最初は「不正な」マイニングを意図するものではなかったという。

 「1~2年ほど前、ドイツの画像掲示板『pr0gramm』が、さまざまな特典が利用できる有料アカウントを設置した。しかし、匿名性を保ちたいユーザーはクレジットカード登録に難色を示し、登録者数は伸び悩んだ。そこで運営者はビットコインによる支払い受け付けを開始し、登録者数が微増したところで次の一手を繰り出した。それは画像掲示板の利用中、指定されたポップアップウィンドウを開いているかぎりは有料会員特典を利用でき、閉じれば無料アカウント会員に切り替わるというものだ。このポップアップウィンドウこそが仮想通貨をマイニングするJavaScriptツールであり、その後の『Coinhive』だ」

 つまりpr0grammは、クレジットカードやビットコインを通じてサービス代金を回収する代わりに、ユーザーのPCリソースを提供してもらうことで、サービスの収益化を図るという新たなモデルを考えたわけだ。これはユーザーにとっても手軽な方法であり、pr0grammの目論見は見事に当たった。

※この件はブライアン・クレブス氏の記事でも取り上げられており、それに反応してpr0gramm創設者のひとり、ドミニク・シュブレフスキー氏もコメントしている。

pr0gramm創設者のひとり、ドミニク・シュブレフスキー氏のCoinhiveに関するコメント

 その後、Coinhiveの成功を追って同様のマイニングツールが次々に登場する。暗号通貨のMoneroをマイニングする「BroMiner」、JSECoinをマイニングする「JSECoin」などがその例だ。「特にJSECoinは興味深い。通常は何らかの(既存の)暗号通貨をマイニングするためにツールを作成するんだけど、JSECoinはツール自体が目的で、このツールを普及させるために暗号通貨を用意した。わざわざICOトークン(資金調達のための新規仮想通貨)まで発行してね」。

ヒッポネン氏の2013年4月9日付ツイート。「グーグルはGoogle.comでJavaScriptのスニペットを埋め込んでビットコインをマイニングし、トラフィックを収益化したらどうだろう」という、現在を予見するようなアイデアが書かれている

 もっとも、こうしたツール自体は犯罪ではない。Webコンテンツの提供時に広告表示を消す対価として、マイニングツールのインストールと稼働への同意をユーザーに求める情報サイトなどもすでに存在する。

 「まだ的確な表現が見つからないんだけど」と前置きしつつ、ヒッポネン氏も「現時点でWebサイトにアクセスした多数のPCのブラウザ上で有用なコードを実行できるわけで、たとえば分散ストレージとか分散スパコンとか、私の想像をはるかに超える何かを実現する、巨大な可能性を秘めていると感じる」と、このテクノロジーへの期待を示す。

 問題は、ユーザーの同意を得ることなくマイニングツールを稼働させる不正行為だ。サイバー犯罪者は、上述したような正当なツールのソースコードを入手し、本来表示すべき同意確認の画面を削除した改ざん版などを駆使して利益を得ているという。

 「この攻撃が何よりいやらしいのは、被害者にとってはそれほど大問題じゃないという点だ。ランサムウェアでデータを人質に身代金を要求されたり、クレジットカード情報や認証情報を盗られて預金を奪われたりするのに比べたら、PCの処理能力や電力をちょっと盗られるなんて大した話じゃない。そこが悪質。サイバー犯罪者は本当にずるがしこい。彼らがもうちょっとおバカさんだったら、私の仕事も楽なんだけどね」

「ビットコインの“実物”って見たことある? これだよ。以前は大きな“B”が書かれた例のやつも持ち歩いてたんだけど、今はちょっと高価過ぎるからやめた」(ヒッポネン氏)

 クリプトジャッキングは今後も確実に継続するトレンドだと、ヒッポネン氏は断言する。エフセキュアのセキュリティ製品では、不正なマイニングツールを「リスクウェア」として検知する機能を提供している。

 「もっとも、敵は検知の網をかいくぐろうと手を変え品を変えてくる。いたちごっこだろうね」

加熱するサイバー軍拡競争、「サイバー兵器は『使う』インセンティブが高い」

 ヒッポネン氏は、組織化の進むサイバー犯罪者/攻撃者を大きく4つに分類した。金銭目的の組織犯罪集団、何らかのメッセージを社会に知らしめたいアノニマス(ハクティビスト)、反社会的な過激派組織やテロリスト、そして軍隊や諜報機関などの国家支援組織だ。

 このうち国家支援組織の活動は、イランのウラン濃縮施設を狙ったマルウェア「Stuxnet」で明るみになった。2017年5月に150カ国23万台以上のコンピューターに感染した「WannaCry」、2017年6月に財務会計ソフトウェア「MeDoc」のソフトウェアアップデート機能の脆弱性を悪用して大規模感染を引き起こした「NotPetya」(別名:Nyetya)も、それぞれ北朝鮮、ロシアが背後にいると指摘されている。

 そして、両マルウェアが採用したのは、皮肉にも米国NSA(国家安全保障局)製のエクスプロイト「EternalBlue」だった。EternalBlueは、Windowsに存在した未知の脆弱性(MS17-010)を悪用してターゲットのPCやサーバーに侵入する攻撃コードである。

 「NSAにはアメリカ国民の安全を守るという責務がある。MS17-010の脆弱性を独自に発見したとき、彼らには2つの選択肢があった。ひとつはマイクロソフトに報告すること。もうひとつはマイクロソフトに報告せず、敵対者のコンピューターに侵入するためのエクスプロイトに利用すること。NSAは後者を選んだが、そこでは最悪の事態も想定される。それは、敵対者に脆弱性を逆用され、アメリカ国民が被害を受けることだ。そんな悪夢のシナリオが現実のものとなった例が、WannaCryやNotPetyaだった」

 たとえどんな立場で正当化を試みようとも、サイバー攻撃や破壊活動で幸せは生まれない。ワームの拡散力を持ち、MBR(マスターブートレコード)を上書きしてシステムを再起不能にするNotPetyaでは、本来の標的と思われる国以外でも何千台ものシステムが不能に陥った。巻き添えを食らった企業の損失は計り知れない。

 「私たちはサイバー空間での軍拡競争時代に突入した。これまではミサイルや戦闘機を軍事パレードで公開し、他国に対する抑止力に変えていた。だけど、サイバー兵器はこうした展示が難しい。膨大な予算を投じて開発しても、抑止力にすらならない。しかも、もしも悪用しようとした(未知の)脆弱性が誰かに発見されてパッチを当てられたら、それで終わりだ。つまり、サイバー兵器は攻撃に使用しないかぎり投資のリターンが得られない。サイバー兵器はこれまでの兵器以上に“使うこと”へのインセンティブが存在する」

 また、諜報活動(スパイ活動)も新たな時代に入った。5年前、ヒッポネン氏が新聞のインタビューで「諜報活動は実在の世界からオンライン世界に移行した」と話したところ、翌朝、諜報機関に所属する友人から電話があった。「ミッコ、それは違う。諜報活動は実在の世界からオンライン世界へと活動領域を“拡張”させただけだ」。

「サイバー戦争で最強の国は?」との質問には「現時点で最高のサイバー攻撃力を備える国はアメリカ。次いでイスラエル、ロシア、中国、そのほか北朝鮮やイランかな」と答える。「アメリカはノウハウや専門性、リソース共に充実し、どこよりも長く取り組んでいるから、明らかにナンバーワン。2位のイスラエルとも緊密に連携している」

「それでもインターネットは多くの素晴らしいものをもたらした」

 世の中のほとんどの人は諜報に値する存在ではないが、問題は収集できる情報とその量だ。ヒッポネン氏は、自分のスマートフォンと著者のそれとを指さしながら話を続ける。

 「近くの基地局が収集した情報から、私たちが同じ部屋にいることが分かる。デバイスの通信内容からは、いつも誰と会話しているのか、どんなことに興味を持っているのかが分析できる。しかもこうした情報は永遠に保持できる。これまで不可能だった、こうしたレベルの監視が何を意味するのかは私にもわからない。人間の誕生から死亡まで追跡できるなんて、人類史上なかったことだ。私たちはモルモット。SF小説の世界に生きている気分だ」

 なかなかに恐ろしい現実だが、私たちに身を守る術はあるのだろうか。

 「絶望的な話になっちゃったね」と笑うヒッポネン氏。「怖がるのはとても簡単なことだ。でも、忘れないでほしい。インターネットは、悪いものよりもはるかに多くの素晴らしいものを私たちにもたらした。インターネットは最高の発明。私はインターネットが大好きだ。何ものにも変えられない存在だ」。

 新しいビジネス、どこでも誰とでもつながる世界、エンターテインメント――。今挙げたものだけでも、インターネットのマイナス面を補って余りあるとヒッポネン氏は断言する。

 「確かに、インターネットはこれまで存在もしなかったようなリスクや課題を生み出した。私たちはそれも含めて受け入れなければならない。データを守り、暗号化し、バックアップし、それを継続する。そして、それを誰もが遂行できるよう支援するのが、セキュリティ業界にいる私たちの仕事だ。私たちの仕事に終わりはない」

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード