1 つの記事で「マイニングハイジャック」を理解し、「フリーマイナー」になることを拒否する

クリプトジャッキング（クリプトジャッキングとも呼ばれる）は、他人のコンピューターを不正に使用して暗号通貨をマイニングすることです。

通常、ハッカーは、被害者に電子メール内の悪意のあるリンクをクリックさせたり、被害者のブラウザに読み込まれると自動的に実行される JavaScript コードで Web サイトやオンライン広告を感染させたりして、仮想通貨マイニングコードをコンピュータに読み込みます。

いずれにしても、何も知らない被害者がコンピューターを通常通り使用できる間、マイニングコードはバックグラウンドで実行されます。彼らが気付く唯一の兆候は、コンピュータのパフォーマンスの低下や実行の遅れです。

なぜマイニングハイジャック事件が頻繁に発生するのでしょうか?

ハッカーがクリプトジャッキングを通じてどれだけの仮想通貨を採掘したかは誰にも分からないが、その行為が増加していることは間違いない。

ブラウザベースのクリプトジャッキングが急速に増加しています。昨年11月、Adguardはブラウザ内クリプトジャッキングの31%増加率を報告した。 Adguardの調査により、合計33,000のウェブサイトがマイニングハイジャックスクリプトを実行しており、これらのウェブサイトへの訪問数は月間10億回に達すると推定されていることが判明しました。今年 2 月、Bad Packets Report は Coinhive を実行しているサイトを 34,474 件発見しました。 Coinhive は、合法的な暗号通貨マイニング活動にも使用される最も人気のある JavaScript マイニングプログラムです。

「仮想通貨のマイニングはまだ初期段階にあり、発展と進化の余地が大いにある」と、サイバーセキュリティソリューションプロバイダーのウォッチガード・テクノロジーズの脅威情報アナリスト、マーク・ラリベルテ氏は語った。同氏は、Coinhive プログラムは導入が簡単で、最初の 1 か月で 30 万ドルの価値を生み出したと指摘した。

「そこから、Coinhive は急速に成長しました。この方法でお金を稼ぐのは本当に簡単でした。」

1月に研究者らは、主にロシア、インド、台湾で50万台以上のマシンに感染したSmominru暗号通貨マイニングボットネットを発見した。ボットネットの目的は、Windows サーバーを利用して Monero をマイニングすることです。サイバーセキュリティ企業プルーフポイントは、1月末までに360万ドルの価値が生まれたと推定している。

クリプトジャッキングには特別な技術的スキルさえ必要ありません。 Digital Shadows のレポート「新たなゴールドラッシュ: 暗号通貨が詐欺の新たなフロンティアに」によると、クリプトジャッキングキットはダークウェブでわずか 30 ドルで販売されています。

クリプトジャッキングがハッカーの間でますます人気になっている理由の 1 つは、リスクを抑えながらより多くの金銭を獲得できるからです。「ハッカーにとって、クリプトジャッキングはランサムウェアよりも安価で利益率の高い代替手段だ」とSecBIのCTO兼共同創設者であるアレックス・ヴァイスティク氏は語る。ランサムウェアを使用すると、ハッカーは 1 回につき 100 台のコンピュータに感染させて 3 人だけに金銭を支払わせることになるかもしれません。クリプトジャッキングでは、感染したコンピューター 100 台を使用して暗号通貨をマイニングできます。彼は、クリプトジャッキングとランサムウェアの使用で得られる金銭は同じかもしれないが、マイニングは時間の経過とともに価値を生み出す可能性があると説明した。

さらに、マイニングハイジャックが発見され特定されるリスクは、ランサムウェアの場合よりもはるかに低くなります。マイニングコードはサイレントに実行され、長い間検出されない可能性があります。たとえ発見されたとしても、その発生源を辿ることは困難であろう。何も盗まれたり暗号化されたりしていないため、被害者が追跡する動機はほとんどありません。ハッカーはビットコインではなく、モネロやジーキャッシュなどの匿名の暗号通貨を選択する傾向があります。これらの通貨の背後にある違法行為を追跡することが難しいためです。

マイニングハイジャックはどのようにして起こるのでしょうか?

ハッカーが被害者のコンピューターに侵入して暗号通貨を密かに採掘させる方法は主に 2 つあります。

1 つの方法は、被害者を騙してコンピューターにマイニングコードを読み込ませることです。ハイジャックはフィッシングに似た方法で実行されます。被害者は本物に見える電子メールを受信し、リンクをクリックするように誘導されます。このリンクは、マイニングスクリプトをコンピューターに読み込むコードを実行します。マイニングスクリプトコードは、被害者がコンピューターを使用している間にバックグラウンドで実行される可能性があります。

もう 1 つの方法は、広く配布できる Web サイトや広告にスクリプトを埋め込むことです。被害者が感染したウェブサイトにアクセスしたり、ブラウザでポップアップ広告をクリックしたりすると、スクリプトが自動的に実行されます。被害者のコンピュータにはコードは保存されません。

使用される方法に関係なく、マイニングコードは被害者のコンピューターを使用して暗号通貨をマイニングし、その結果をハッカーが管理するサーバーに送信します。

ハッカーは利益を最大化するために、この 2 つの方法をよく使用します。「攻撃者は、より信頼性が高く持続的なマルウェアを被害者のコンピュータに送り込むためのフォールバックとしてマルウェア技術を使用する」とヴァイスティク氏は述べた。たとえば、ハッカーが暗号通貨をマイニングするデバイス 100 台のうち、10% は被害者のデバイス上のコードを通じて収益を生み出し、90% は Web ブラウザーを通じて収益を生み出す可能性があります。

他のほとんどの種類のマルウェアとは異なり、クリプトジャッキングスクリプトはコンピューターや被害者のデータに害を及ぼしません。 CPU 処理リソースを盗みます。個人ユーザーにとって、コンピュータのパフォーマンスが遅いことは単なる煩わしいだけかもしれません。企業にとって、多くのシステムがマイニングのために乗っ取られると、コストが増加する可能性があります。この問題を解決するには、ヘルプデスクと IT 部門がパフォーマンスの問題を追跡し、コンポーネントまたはシステムを交換する作業に時間を費やす必要があります。

マイニングハイジャックの実際の事例

クリプトジャッカーは賢く、他人のコンピューターを悪用して暗号通貨をマイニングする多くの計画を考案してきました。これらのスキームのほとんどは新しいものではなく、その配布方法は通常、ランサムウェアやアドウェアなどの他のマルウェアから借用されています。以下に実際の例をいくつか示します。

不正な従業員が会社のシステムを乗っ取る

今年の EmTech Digital カンファレンスで、Darktrace はヨーロッパの銀行の事例を紹介しました。銀行のサーバーは異常なトラフィックが発生し、夜間に動作が遅くなったが、銀行の診断ツールでは異常は検出されなかった。ダークトラックは、その期間中に新しいサーバーがオンラインになったことを発見したが、銀行はそれを所有していないと主張していた。最終的に、ダークトラックのデータセンター現地調査により、不正な従業員が床下に暗号通貨のマイニングシステムを構築していたことが判明しました。

GitHubを使ってマイニングソフトウェアを広める

3月にソフトウェア会社アバストは、クリプトジャッカーがGitHubを悪意のあるマイニングソフトウェアのホストとして利用していると報告した。正当なプロジェクトを見つけてフォークを作成し、そのフォークされたプロジェクトのディレクトリ構造内にマルウェアを隠します。クリプトジャッカーは、Flash Player の更新を促すリマインダーやアダルトゲーム Web サイトに偽装するなどのフィッシング詐欺を使用して、ユーザーにマルウェアをダウンロードするよう誘導します。

rTorrent の脆弱性を悪用する

Cryptojackers は、XML-RPC 通信認証を必要とせずに一部の rTorrent クライアントにアクセスできる rTorrent の誤った構成の脆弱性を発見しました。彼らはインターネットをスキャンしてパッチが適用されていないクライアントを探し、そこに Monero マイニングソフトウェアを導入します。 F5 Networks は 2 月にこの脆弱性を報告し、rTorrent ユーザーに対してクライアントが外部接続を受け入れないようにするようアドバイスしました。

悪質な Chrome 拡張機能 Facexworm

このマルウェアは、2017年にカスペルスキー研究所によって初めて発見されたもので、Facebook Messengerを利用してユーザーのコンピューターに感染するGoogle Chromeのアドオンである。当初、Facexworm はアドウェアを拡散するために使用されていました。トレンドマイクロは今年初め、暗号通貨取引所を標的とし、暗号通貨マイニングコードを拡散する能力を持つ Facexworm の複数の亜種を発見した。依然として、侵入した Facebook アカウントを使用して悪質なリンクを拡散していますが、Web アカウントや認証情報を盗み、それらのページにクリプトジャッキングコードを埋め込むこともできます。

凶悪なマイニングウイルス WinstarNssmMiner

5月に、360 Security Guardsは急速に拡散する可能性のある暗号通貨ハイジャックプログラムであるWinstarNssmMinerを発見しました。この悪意のあるプログラムの特別な点は、アンインストールすると被害者のコンピュータがクラッシュすることです。 WinstarNssmMiner はまず svchost.exe プロセスを起動し、そこにコードを埋め込み、次にプロセス属性を CriticalProcess に設定します。コンピュータはこれを重要なプロセスと見なすため、プロセスが強制終了されると、コンピュータはブルースクリーンになります。

マイニングハイジャックを防ぐには？

以下の手順に従えば、会社がマイニング目的で乗っ取られるリスクを最小限に抑えることができます。

企業のセキュリティ意識向上トレーニングには、クリプトジャッキングの脅威に関する内容を含める必要があります。特に、フィッシングによってクリプトジャッキングスクリプトがユーザーのコンピューターにロードされる方法に重点を置きます。

ラリベルテ氏は、トレーニングが役立つだろうと確信しており、フィッシングは今後も攻撃者がさまざまな種類のマルウェアを配信する主な手段であり続けるだろうと考えています。正規のウェブサイトにアクセスすることで自動的にマイニングハイジャックを実行する手法については、どのウェブサイトにアクセスできないかをユーザーに伝えることができないため、トレーニングは効果的ではないとVaystikh氏は述べています。

Web ブラウザに広告ブロックまたはマイニング対策プラグインをインストールします。

クリプトジャッキングスクリプトはオンライン広告を通じて拡散されることが多いため、広告ブロッカーをインストールすると、スクリプトをブロックするのに効果的です。 Ad Blocker Plus などの広告ブロッカーには、マイニングスクリプトを検出する機能があります。 Laliberte 氏は、マイニングスクリプトを検出してブロックできる No Coin や MinerBlock などのブラウザプラグインを推奨しています。

既知のマイナーを検出できるエンドポイント保護テクノロジーを使用します。

多くのエンドポイント保護/ウイルス対策ソフトウェアベンダーは、暗号通貨マイナーを検出する機能を追加しています。「ウイルス対策はエンドポイントでのクリプトジャッキングを防ぐ一つの方法だ」とアノマリのセキュリティ戦略ディレクター、トラビス・ファラル氏は言う。「プログラムが知られていれば、検出される可能性が高い。」同氏は、クリプトジャッキングプログラムの作成者はエンドポイントでの検出を回避するために常に手法を変えていることに注意することが重要だと付け加えた。

Web フィルタリングツールを更新します。

ウェブサイトがマイニングスクリプトを実行していることが判明した場合は、すべてのユーザーがそのウェブサイトにアクセスしないようにします。

ブラウザプラグインをメンテナンスします。

一部の攻撃者は、悪意のあるブラウザプラグインまたは感染した正規のプラグインを使用して、暗号通貨マイニングスクリプトを実行します。

モバイルデバイス管理 (MDM) ソリューションを使用して、ユーザーデバイス上のコンテンツをより適切に制御します。

BYOD（個人所有デバイスの持ち込み）ポリシーにより、違法な暗号通貨マイニングを効果的に防止できます。ラリベルテ氏は、MDM によって BYOD を長期的に安全に保つことができると考えています。 MDM ソリューションは、企業がユーザーデバイス上のアプリケーションとプラグインを管理するのに役立ちます。 MDM ソリューションは大企業向けに設計されている傾向があり、中小企業にとっては手が届かない場合が多くあります。しかし、ラリベルテ氏は、モバイルデバイスはデスクトップコンピュータやサーバーほど危険ではないと指摘した。モバイルデバイスは処理能力が低い傾向があるため、ハッカーにとってはあまり利益になりません。

クリプトジャッキングを検出するには？

ランサムウェアと同様に、企業がクリプトジャッキングを防ぐために最大限の努力を払ったとしても、影響を受ける可能性があります。特に、侵害されたシステムが少数の場合、クリプトジャッキングを企業が検出するのは困難です。有効な方法は次のとおりです。

ヘルプデスクをトレーニングして、クリプトジャッキングの兆候を検出できるようにします。

SecBIのVaystikh氏は、クリプトジャッキング攻撃の最初の兆候は、コンピュータのパフォーマンスが遅いというユーザーからのヘルプデスクへの苦情である場合もあると述べた。企業はこれを真剣に受け止め、さらなる調査を行うべきだ。

ヘルプデスクが確認すべきその他の兆候としては、CPU または冷却ファンの故障につながる可能性があるシステムの過熱があります。ラリベルテ氏は、CPU 使用率の上昇によるシステムの過熱により損傷が発生し、デバイスの寿命が短くなる可能性があると指摘した。これは特にタブレットやスマートフォンなどのモバイルデバイスに当てはまります。

ネットワーク監視ソリューションを導入します。

Vaystikh 氏は、ほとんどの消費者向けエンドポイントソリューションではクリプトジャッキングを検出できないため、企業ネットワークでのクリプトジャッキングは家庭ネットワークよりも検出しやすいと考えています。クリプトジャッキングは、ほとんどの企業が導入しているネットワーク監視ソリューションを通じて簡単に検出できます。

しかし、ネットワーク監視ツールとデータがあっても、この情報を分析して正確な検出を行うツールと機能を備えている組織はほとんどありません。たとえば、SecBI はネットワークデータを分析し、クリプトジャッキングやその他の特定の脅威を検出する AI ソリューションを開発しました。

ラリベルテ氏は、ネットワーク監視がクリプトジャッキングを検出するための最善の選択肢であると考えています。すべてのネットワークトラフィックを確認するネットワーク境界監視ソリューションを使用すると、マイニングアクティビティを検出する可能性が高くなります。多くの監視ソリューションでは、各ユーザーをドリルダウンして、影響を受けるデバイスを特定します。

ファラル氏は、企業のサーバーに出口エンドポイントでのネットワーク接続要求を監視する信頼性の高いフィルターが装備されていれば、悪質なマイニングソフトウェアをうまく検出できると述べた。しかし、マイナープログラマーはマルウェアを書き換えてこの検出方法を回避する能力を持っていると警告した。

ウェブサイトを監視して、マイニングハイジャックコードが埋め込まれていないかどうかを確認します。

ファラル氏は、クリプトジャッカーがウェブサーバーにJavascriptコードを埋め込もうとしていると警告した。サーバー自体は標的ではありませんでしたが、サイトを訪問した人は誰でも感染の危険にさらされていました。彼は、企業が Web サーバー上のファイルの変更を定期的に監視するか、ページ自体に変更を加えることを推奨しています。

クリプトジャッキングのトレンドを常に把握しましょう。

クリプトジャッキングが拡散される方法とマイニングコード自体は常に進化しています。ファラル氏は、クリプトジャッキングソフトウェアとその動作を理解することで、企業がクリプトジャッキングを検出するのに役立つと述べた。賢明な企業は最新の動向を常に把握しています。クリプトジャッキングがどのように広がるかを理解しているなら、特定の開発キットがマイニングコードを送信していることがわかります。開発キットを保護することは、マイニングハイジャックを防ぐための対策にもなります。

マイニングハイジャック攻撃にどう対処するか?

ウェブサイトから送信された悪意のあるスクリプトを閉じてブロックします。

ブラウザ内 JavaScript ハイジャック攻撃の場合、マイニングハイジャックが検出されると、悪意のあるスクリプトを実行しているブラウザタブを閉じる必要があります。 IT 部門は、スクリプトを送信する Web サイトの URL を認識し、それらをブロックするように会社の Web フィルターを更新する必要があります。企業は、将来の攻撃を防ぐために、マイニング対策ツールの導入を検討する必要があるかもしれません。