仮想通貨の取引所が不正アクセスを受け、仮想通貨が流出した事件。被害額の多さから注目を集めているものの、「自分は取引をしていないから平気だ」と思っていないだろうか。実はあなたのパソコンが、勝手に仮想通貨を稼ぐ踏み台にされているかもしれない。
仮想通貨を入手するために、外部のコンピューターのリソースを使うサイバー犯罪者がいる。「クリプトジャッキング」と呼ばれる手法で、他人のブラウザ セッションを乗っ取り、そのシステムのリソースを利用して、仮想通貨のマイニング(採掘)を勝手に実行するものだ。
たとえばビットコインは、ブロックチェーンと呼ばれる分散型の台帳技術によって支えられている。複数の参加者が分散して取引を記録することにより、どこにいくら発行され、誰から誰にいくら支払われたか、誰でも閲覧できる取引台帳の維持が可能になる。取引台帳の各ブロックはそれぞれ次のブロックにリンクされ、チェーンを形成するので、ブロックチェーンと呼ばれる。
ブロックチェーンのデータと新規取引のデータの整合性を取る作業には、膨大な計算量が必要になるため、協力する人間のコンピューターのリソースを使うことでまかなっている。ビットコインの場合、この追記処理を成功させた人には、報酬として新たに発行されたビットコインが支払われる。
以上の流れをマイニングと呼ぶ(マイニングを排している仮想通貨も多い)。そこで、他人のパソコンの処理能力を勝手に利用してマイニングし、ごっそり横取りしようとする悪意のあるソフトウェア(マルウェア)があるわけだ。
仮想通貨のマイニングに関する事件が急増したのは2017年後半~2018年初頭。マイニングマルウェアの増加は、仮想通貨の価値の上昇と相関関係にある。前述したビットコインも、2017年初頭は1ビットコインあたりおよそ10万円程度だったが、12月半ばには200万円を超えるほどに価格が上昇。劇的な変動を経験し、サイバー犯罪者にとっても“おいしい”市場になっている側面がある。
現在では、仮想通貨に興味がある人のみならず、取引をしないつもりの人でさえも、サイバー犯罪のターゲットになる可能性がある。仮想通貨を狙った攻撃について詳しくなることは、自らの身を守るリテラシーを高めることにつながるだろう。
今回はMcAfee Blogから「Cyber Threat Allianceが不正な仮想通貨マイニングの分析結果を発表」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
Cyber Threat Allianceが不正な仮想通貨マイニングの
分析結果を発表:McAfee Blog
Cyber Threat Alliance(CTA)は、2017年第4四半期の仮想通貨マイニング攻撃の爆発的増加を受け、脅威を評価するための仮想通貨マイニングに関するサブコミッティを発足させました。同コミッティは、マカフィーをはじめとする主要なサイバーセキュリティー企業の専門家で構成されています。同コミッティはこのほど、違法な仮想通貨マイニングの現状に関する調査分析報告書「The Illicit Cryptocurrency Mining Threat(不正な仮想通貨マイニングの脅威)」(英語)を公表しました。リポートでは、仮想通貨マイニング型のサイバー攻撃の増加の背景、攻撃の影響、奨励される保護措置、将来攻撃がどう高度化するかについての予測について説明しています。CTAのメンバーとして、そしてサイバーセキュリティーコミュニティの一員として、個人・企業がサブコミッティの調査結果を利用することによって、この脅威から身を護り、グローバルセキュリティーを向上させるよう願っています。
不正な仮想通貨マイニングの増加
仮想通貨マイニングの脅威を理解するためには、仮想通貨マイニングに関する事件が急増した2017年後半~2018年初頭に戻る必要があります。2017年以来、多くのCTAメンバーが報告したデータを合算すると、検知されたマイニングマルウェアは459%も増加しています。
マイニングマルウェアの増加は、仮想通貨の価値の上昇と相関関係にあります。たとえば、2017年後半にBitcoinの価値が1コイン=20000米ドルに達し、その高価値がサイバー犯罪者を引きつけ、仮想通貨は通貨の歴史で例がない劇的な変動を経験しました。サイバー犯罪者は仮想通貨に真っ先に順応し、闇の経済をあおるために利用しています。他人のコンピューターのパワーを盗んでマイニングを行ない、資金を集めるこの方法は「クリプトジャック」とも呼ばれることもあります。
仮想通貨とマイニング
仮想通貨は、従来の電子マネー(eマネー)に代わって急速に普及しました。電子マネーは、米ドルなどの法定通貨に基づいています。 最も一般的なものはプリペイドのクレジットカードで、現金がなくてもお金の代わりとして通用します。仮想通貨は法定通貨によって信用が与えられたものではありません。実際、仮想通貨は分散型、すなわち権限の中心が存在しないと考えられています。
プライバシーと匿名性に関していえばモネロはビットコインに比べ利点がありますが、これが攻撃側にとっては好都合なのです。匿名性以外にも、モネロのマイニングに必要なリソースはとても少ないため、より多くのユーザーの参加を促しボットネットの収益性を高めています。
コインを生成することをマイニングと呼び、これには複雑な数学的問題を解決するためのシステムリソースが使われます。大部分の主要コインは、CPUリソースを使って解決する「プルーフオブワーク」(実証作業)を採用しています。ボットネットなど大規模なマイニンググループは、一つの問題にリソースを集約するプールマイニングを実行できます。マイニングによって数学的な方程式の解が求められ、新たに発行されたコインがシステムに戻され、新しい取引が検証されます。
不正な仮想通貨マイニングの現状
昨今の不正な仮想通貨マイニングは、コンパイラーによって生成された実行可能ファイルを通じて行なわれます。この方法は、バイナリベースのマイニングと呼ばれています。ブラウザーの文脈ではブラウザベースのマイニングと呼ばれます。バイナリベースの仮想通貨マイニングマルウェアは、多くの場合、スパムやエクスプロイトキットを使ったペイロードとして配信されます。オープンソースのツールは、しばしばマイニングを容易にします。XMRigはモネロをマイニングするための正当なツールですが、悪意のあるアクターによって不正な仮想通貨マイニングにも頻繁に使用されています。
最も一般的なブラウザベースのマイナーはCoinhiveです。合法的に使用される場合、Coinhiveはシステムリソースを収益化できるため、広告収入の代替策になり得ます。しかし実際には、ユーザーに通知することなく使われるという事態が蔓延しています。サービスのオーナーがマイニングコードを認識していないというケースもままあります。最近では、Facebook MessengerとStarbucksのWi-Fiへの攻撃がそのケースでした。7月2日の時点で公共ネットでは少なくとも2万3000のウェブサイトがCoinhiveコードをホスティングしています。
ブラウザーを使用してシステムリソースを収集する以外の方法でも、マルウェア作成者はますます高度化しています。EternalBlueのように良く普及している脆弱性を利用して増殖し、また検知されないためにも他の手法を用いるのです。Smominru攻撃は、このアプローチを活用して利益を得たのです。彼らは環境寄生型(living off the land)手法を用いて 検知を避けつつモネロをマイニングする能力を増大しました。
不正な仮想通貨マイニングの被害
仮想通貨マイニングは組織やユーザーのセキュリティーに短期的にも長期的にも被害を与える可能性があります。
・潜在的なセキュリティー上の欠陥が新たな攻撃を招く可能性
・物理的ダメージ
・業務や生産性への影響
デバイスが許可なく使用される場合、対処を必要とする潜在的なセキュリティー上の欠陥があるといえます。2017年後半、FTPを使ったデバイスの誤設定のせいで、消費者向けデバイスを使用する数十万人のモネロのマイナーが被害を被りました。この欠点はシステムへの追加的攻撃に悪用が可能で、実際悪用されたのです。
物理的ダメージもまた深刻です。マイニングのためにCPUを集中的に使用すると、余分な熱と電力が消費されます。小型デバイスの場合、すぐに問題となるのはバッテリの寿命ですが、大規模なシステム、特にデータセンターでは、コンポーネントの障害率が増大するおそれがあり、システムに大きな影響を与える可能性があります。最終的には、過重になった負荷を維持するため、高額な修理代の支払いや、ハードウェアの増大が必要となりかねません。
ビジネスの業務も打撃を受けるでしょう。公共事業性の高いマスコンピューティングのプロジェクトに参加しても同じような問題が発生します。タンパク質の理解を目的とした医学研究プロジェクトFolding @ Homeでは、ソフトウェアをインストールすれば、同研究支援のため、自分のコンピュータリソースを活用してもらうことが可能になります。しかしこういったプロジェクトに参加するとビジネス業務で生産性の低下や追加的コストの影響が出る可能性があります。多くの企業では、想定外のコストや障害を阻止するために、こうしたタイプのコンピューティングプロジェクトのインストールを禁止しています。
奨励されるベストプラクティス
幸いにも、仮想通貨マイニングの防御策は、ほかの脅威への対抗措置と非常に似ています。仮想通貨マイニングマルウェアは同じツールと方法を使用しており、セキュリティーのベストプラクティスを実践することはとても効果的です。これには、通常とは異なるネットワークトラフィックの分析、システムの適切な設定と修正が含まれます。仮想通貨マイニングに限った追加的な方策は以下の通りです。
・異常な電力消費とCPU動作の監視
・Crypto、Coinhive、XMR、Monero、cpuminerなどマイニング系に関連するログの探索
・マイニングプール交信をブロックする
・ブラウザー拡張を使用し、ブラウザベースの仮想通貨マイニングを防御する
奨励されるSnortルールなど、さらに詳細についてお知りになりたい方は、報告書の「推奨ベストプラクティス」のセクションを参照下さい。
不正マイニングの高度化
不正な仮想通貨マイニングはビットコインの価値と正比例しています。ビットコインのような仮想通貨が価値を持っている限り、利益を得ようとする悪意の者がマイニングを続けることを覚悟しなければなりません。ビットコインのように公開されている仮想通貨の場合は貨幣価値に密に縛られている一方、プライベートもしくはカスタムなブロックチェーンはリスクにさらされており、先々の攻撃に備える必要があります。
プライベートブロックチェーンには、通貨とは無関係なものも含め、独自のリスクが伴う可能性があります。 ビットコインのような大きなブロックチェーンは、元帳データの履歴を変更するのが困難なため、ずっと改ざんすることはできないと考えられていますが、プライベートブロックチェーンは本質的に規模が不足しているため、攻撃を受けやすいのです。「51%攻撃」はよく知られた脅威で、ネットワークが小規模であることにつけ込み、ブロックチェーンの完全性に深刻な影響を与えることができます。
いくつかの国では既に経済問題を解決するために仮想通貨を導入していますが、マカフィーが報告書で明らかにしたように、収入を得るために不正なマイニングを行う国家が出てくる可能性があります。既に国家の支援を受けた仮想通貨窃盗については当社の2月公開のブログ記事(翻訳版)で報告しています。正当にマイニングされた仮想通貨が、国が支援したサイバー攻撃をうやむやにするために利用され、VPNアカウントの購入、サーバー、ドメイン登録を隠すのに利用されてきたのです。
結論
「不正な仮想通貨マイニングの脅威」は、企業や消費者に仮想通貨マイニングの脅威が高まっていることについて周知する業界初の共同イニシアティブです。セキュリティーポスチャーを改善し、適切なセキュリティー対処を行なうことが、これらの攻撃の実行を困難にし、悪意のある行動を阻止することにつながります。不正な仮想通貨マイニングは一時的なトレンドではありません。この問題は、仮想通貨の価値の上昇に伴って増大するでしょう。現在の感染方法は、新しい技術や悪用へと進化するでしょう。仮想通貨が普及するにつれ、仮想通貨を盗む誘惑にかられプライベートなブロックチェーンへの攻撃を開発する者が増えるはずです。不正な仮想通貨マイニングの脅威に関する詳細は、調査結果の主要点の要約を紹介するブログ(英語)、およびリポート全文(英語)をお読みください。
※本ページの内容は、2018年9月19日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Cyber Threat Alliance Releases Analysis of Illicit Cryptocurrency Mining
著者:Charles McFarland
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト