こっそり仮想通貨をマイニングする侵入者たち

Zeljka Zorz

October 20, 2017 08:00
by Zeljka Zorz

仮想通貨を渇望しながら、購入やマイニングなどにお金を払いたくないハッカーたちは、ユーザーのウォレットやコンピューター、人気のウェブサイト、そしてパブリッククラウドコンピューティングー環境を利用して、仮想通貨を手に入れようとしている。

マイニングのソフトウェア・マルウェアは、すっかり周知となった厄介者だ。また、職員がこっそりと職場のコンピューターリソースを利用して仮想通貨をマイニングする、という事例も定期的に発覚している。しかし最近では、仮想通貨に飢えた攻撃者による「いくつかの独創的な戦略」が見られるようになってきた。

ブラウザーで仮想通貨をマイニング

数週間前、「Coinhive」(コインハイブ)が提供している「MoneroのマイニングのJavaScriptコード」が、CBSの子会社「Showtime」のいくつかのウェブサイトに備えられていることが発覚した。このスクリプトをウェブサイトのソースコードに埋めこんだ未知なる攻撃者により、ウェブサイトの訪問者たちは、自分のコンピューターのCPUパワーを使って仮想通貨のマイニングをさせられる羽目になった。

あるセキュリティ研究者が、百万の「人気のあるウェブサイト」をスキャンしたところ、先述のスクリプトや、それに似たスクリプトが多くのサイトで「正当に」使われていることが明らかとなった(彼らはユーザーに対して、その案内も行っていた)。不幸にも外部からウェブサイトに侵入され、秘密裏にスクリプトを埋め込まれたと思わしきサイトも多数存在していた。

「我々BBCは『Coin Hive』スクリプトが使われている英国のいくつかのサイトと接触を図った。取材に応えた人々は、『そのスクリプトを誰がウェブサイトに加えたのか分からない』と話している。現在、彼らの一部はマイニングのコードを削除し、自身の(ウェブサイトの)セキュリティポリシーを更新し、また『そのコードがどのようにして埋め込まれたのか』を調査している」とBBCは記した。それらのウェブサイトの中には、ファイル共有のウェブサイト、チャリティや学校のウェブサイトなどがある。

Coinhiveは、ウェブサイトの所有者に対し、「彼ら自身の機能の維持と利益」のためにJavaScriptコードを提供し、そこで採掘された仮想通貨Moneroの約30%を保有できるようにする合法的なプロジェクトだ。このプロジェクトは、サイトの管理者が訪問者に「マイニングのコードを利用している事実」を公開することを望んでいる。しかし残念ながら、彼らにはそれを強制することはできない。

同プロジェクトの運営チームは、マイニングのスクリプトを走らせる際に、エンドユーザーの明確なオプトインを要求する形となるよう、開発を行う予定だと語っている。また開発者らは、マイニングスクリプトを不正に利用したユーザーのアカウント凍結も行っている。

多くのアドブロッカーは、すでにCoinhiveのスクリプトをブロックしており、またCloudflareは自らのプラットホームで仮想通貨のマイニングを行っているサイトの凍結を開始している

安全性の低いクラウドコンピューティング環境を悪用する

セキュリティ企業RedLockは、クラウドセキュリティの傾向に関する最新のレポートの中で、「組織のクラウドコンピューティングのリソースを使ってビットコインをマイニングしている多数の攻撃者」の事例を説明した。

「Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform上で、パスワードで保護されていない数多くのKubernetesの管理コンソールが展開されていることを発見したとき、RedLockのCSIチームはその調査に乗り出した。これらのケースは事実上パブリックに公開されたもので、それはハッカーたちに機会を与えていた」と同社は説明している。

「同チームは、さらに深い分析により、ハッカーたちがKubernetesのコンテナのひとつからビットコインのマイニングのコマンドを実行しているのを発見した。このケースは効果的に、インターネットで悪質な活動をする『寄生ボット』となっていた」 

それらのKubernetesの管理コンソールは、AvivaやGemaltoといった大手の多国籍企業に所属しているものもいくつか発見されている。

Avitaのケースでは、コンソールがAWSアクセスキーや秘密のトークンなどの重要なインフラストラクチャのパスワード漏洩も行っていた。

「その攻撃者はランダム化されたメールアドレス(didi123123321@gmail.com)を作成していたので、主体を(攻撃者の正体を)特定して追跡することは困難だった」と、その研究者たちは述べており、また攻撃者たちが誤った設定のKubernetesコンソールのエクスプロイトを自動化した可能性が非常に高い、ということも指摘している
 
翻訳:編集部
原文:Hackers use organizations’ resources for stealthy cryptocurrency mining
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

閲覧者のリソースを利用して、仮想通貨のマイニングを行う行為は現在問題になっている。この行為が注目を集めたのは、ファイル共有検索サイト「The Pirate Bay」が、今回の記事にも出てきたCoinhiveを導入し、閲覧者のCPUパワーを無断で使用し仮想通貨Moneroを採掘していることが発覚したからだ。

Webページで収益をあげるには、広告をページに設置するのが一般的だ。しかし、現在のWeb広告はPV数と連動しており、PVが伸びないサイトは、広告料も伸びない。そこで登場したのが、閲覧者に仮想通貨の発掘をさせるシステムだ。Coinhiveでは、採掘で得た利益の7割がサイト管理者に配分され、残り3割はCoinhiveが受け取る。

このスタイルは、ユーザーが納得してPCリソースを提供するのであれば問題はない。しかし、無断で自分のPCリソースを使われたら、たいていの人は納得できないだろう。

日本でも、とあるブロガーが自身のブログにCoinhiveを導入し、サイト上に説明なくマイニングを行い、サイト上で謝罪をした。謝罪エントリーを書いた理由は、読者から「あなたのサイトを閲覧すると、アンチウイルスソフトによって警告されるけど、なぜ?」というコメントをもらったからだ。現在、多くのアンチウイルスソフトは、Coinhiveのスクリプトが入っているページを閲覧すると警告が出るようになっている。

今回の記事を読んで、「無断でマイニングされるのが怖い」と感じた人は、Coinhiveを検知するアンチウイルスや広告ブロッカーを導入するとよいだろう。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…